Le constat est affligeant, les pirates à l’origine de l’attaque massive WannaCry ont écrit un processus de paiement de la rançon d’une qualité si mauvaise que la victime qui a cédé au chantage n’a aucune garantie d’être libérée et de récupérer ses fichiers. A moins que son auteur n’ait visé autre chose…

Mais dans quel monde vit-on ? Qui sont ces développeurs si négligents ? Et en qui peut-on faire confiance ? Pas aux pirates à l’origine de WannaCry, semble-t-il ! Aux victimes de l’attaque massive qui se posent encore la question « faut-il payer ? », la réponse est sans appel : quoi qu’elles fassent, il est peu probable qu’elles puissent se sortir de l’impasse dans laquelle se trouve leur PC, les pirates ne répondront pas !

La révélation provient de plusieurs experts en sécurité qui ont analysé WannaCry (ou WannaCrypt, ou encore WanaDecryptor). Le mode opératoire du rançongiciel est connu, nous l’avons en partie révélé dans notre article « WannaCry : tout savoir sur l’attaque massive qui fait trembler DSI et RSSI ». Une fois le PC infecté et les fichiers cryptés, l’utilisateur voit s’afficher sur son écran une demande de rançon d’un ‘petit’ montant de 300 ou 600 dollars à régler en Bitcoins.

Une efficacité redoutablement… faible

Probablement plus de 300.000 PC sous Windows, principalement Windows 7, dans 150 pays auraient été touchés. Combien de victimes ont payé la rançon ? Difficile de le dire avec précision… Cependant, nous connaissons une partie de la réponse, 4 jours après l’attaque, les dossiers de 3 portefeuilles Bitcoin prévus pour le paiement affichaient 56.000 dollars au compteur. Rapporté au montant de la rançon, cela ne représente que 100 à 200 paiements.

Le constat de nos experts va plus loin : le code du processus de paiement de la rançon serait d’une si mauvaise qualité qu’il pourrait ne donner lieu à aucune réponse des pirates à leurs victimes. Qui ont pour la plupart payé ola rançon pour rien ! Après paiement, le ransomware ne libère pas automatiquement le PC ni ne décrypte les fichiers. Il ne leur reste plus qu’à attendre que le pirate vienne libérer le PC à distance, manuellement. Sauf qu’en l’absence de moyen de prouver quel paiement est associé à quel PC, même le processus manuel est voué à l’échec… A ce jour, selon Symantec, aucun cas de libération du PC après paiement de la rançon n’a été confirmé !

Interrogations autour de l’attaque

L’erreur commise dans le code de l’attaque fait tâche. Comment les auteurs de Wannacry, qui plus est en s’appuyant sur des développements de la NSA, ont-il pu négliger un tel ‘détail’ ? Le modèle même de la demande de rançon interpelle : quand on mesure le volume de l’attaque, pourquoi les pirates - devenus experts en ingénierie sociale - n’ont-ils pas fixé le montant de la rançon à 10 dollars ? Au lieu de bloquer les victimes, une rançon faible aurait pu générer un gain énorme !

Nos experts en viennent à s’interroger sur les motivations de l’attaque… Les pirates ont accompagné un cryptage quasi-parfait d’une demande de rançon élevée et d’un processus de paiement de mauvaise qualité, loin des standards des ransomwares. On a découvert qu’ils ont même intégré un ‘kill switch’ dans le code pour arrêter temporairement l’attaque. De vrais amateurs qui fait ce qu’il faut pour ne pas inciter les victimes à payer !

Voilà, c’est dit… Après avoir un temps envisagé une attaque cachée, destinée à tester son modèle et nos défenses, nous voici plutôt invités à voir nos pirates comme des amateurs, qui ont bâclé une partie de leur travail !

Certes, mais dans le même temps on nous met en garde contre la menace de nouvelles attaques de WannaCry par le biais de nouvelles variantes. Alors, au lieu de se gausser de l’amateurisme de leurs auteurs, commençons par mettre à jour Windows et nos antivirus et systèmes de protection à jour pour éviter de laisser en pâture nos PC…

Image d’entête 675744112 @ iStock Chaliya