psdesign1 - Fotolia
Mais qui a écrit le ransomware WannaCry ?
Selon certains, l’origine du désormais célèbre rançongiciel est à charger du côté de la Corée du Nord et du groupe Lazarus. Pour d’autres, c’est moins évident, mais ses auteurs parleraient Chinois.
Il n’a fallu que quelques jours après le début de la propagation de WannaCry pour que certains attribuent ce rançongiciel au groupe Lazarus. Neel Mehta, chercheur chez Google, a ainsi publié dès le 15 mais des indicateurs plaidant en ce sens. Les équipes de Kaspersky se sont penchées dessus. Selon elles, Neel Mehta a bien mis la main sur un jeune échantillon de WannaCry, remontant à février dernier et présentant des similarités. Matthieu Suiche, de Comae Technologies, s’interrogeait également. Mais, les équipes de Kaspersky restaient très prudentes : pour elles, il était encore impossible de conclure.
Une semaine plus tard, Symantec l’assure : selon lui, il existe des « liens étroits » avec le groupe Lazarus, supposé lié au pouvoir nord-coréen. Pour étayer son propos, l’éditeur explique dans un billet de blog que les échantillons de plusieurs logiciels malveillants attribués à ce groupe ont été trouvés sur les réseaux des victimes de WannaCry. Il relève en particulier que l’outil utilisé pour diffuser le ransomware lors de précédentes vagues, en mars et en avril, est « une version modifiée » d’un outil précédemment attribué à Lazarus. Et cela vaut aussi pour certaines adresses de serveurs de commande et de contrôle, ou encore sur des techniques de dissimulation de code. Voire sur des éléments de code entiers.
Ben Read, analyste chez FireEye, est arrivé aux mêmes conclusions. A nos confrères de Bloomberg, il a ainsi assuré que « le code partagé implique probablement que, à minima, les opérateurs de WannaCry partagent des ressources de développement logiciel avec des opérateurs de l’espionnage nord-coréen ».
Mais Digital Shadows n’en revient pour autant pas sur son analyse. Ce spécialiste du renseignement sur les menaces a procédé à une étude contradictoire des « informations disponibles via diverses sources » avant que Symantec et FireEye ne publient leurs assertions. Et pour lui, « le scénario le plus plausible est qu’un acteur cybercriminel non sophistiqué a lancé la campagne WannaCry ».
Digital Shadows relève notamment plusieurs points plaidaient en faveur de cette hypothèse : les failles d’implémentation et de coordination ; l’absence de motif perceptible quant aux cibles ; la création de seulement trois portefeuilles bitcoin pour la collecte des rançons ; l’incapacité à monétiser effectivement l’opération ; et l’échec des mesures d’évasion des systèmes d’analyse. Autant « d’incohérences qui ne sont pas des erreurs que l’on associe normalement à une opération cybercriminelle sophistiquée ».
Un autre spécialiste du renseignement sur les menaces, Flashpoint, s’est lui penché les aspects linguistiques de WannaCry. Et il se garde bien de pointer vers le groupe Lazarus et la Corée du Nord. Dans ses conclusions, il estime « avec une confiance élevée » que les notes de demande de rançon ont été rédigées par des personnes parlant couramment Chinois, « le langage utilisé étant cohérent avec celui utilisé dans le Sud de la Chine, à Hong Kong, Taïwan ou Singapour », mais « familières de l’anglais ».
La note de demande de rançon en Chinois aurait pu servir de base à la version anglaise, depuis laquelle les autres versions auraient été produites à l’aide d’un outil de traduction automatique. Mais là encore, rien de tout cela « n’est suffisant en soi pour déterminer la nationalité du ou des auteurs » de WannaCry. Ni encore des commanditaires, si tant est qu’il y en ait.