Directeur de la publication : Edwy Plenel
www.mediapart.fr
Le virus WannaCry rvle les lacunes de la
cyberscurit mondiale
PAR JRME HOURDEAUX
ARTICLE PUBLI LE LUNDI 22 MAI 2017
Une dizaine de jours aprs l'apparition du logiciel-
ranon, de nombreuses responsabilits peuvent tre
pointes : celle de la NSA qui a directement inspir
le virus, celle des tats qui laissent se dvelopper un
vritable march des failles informatiques et celle des
entreprises qui avaient t prvenues d'une attaque.
Il a fallu tout juste une semaine pour quun groupe de
chercheurs labore une solution permettant de mettre
en chec le virus WannaCry qui, depuis le vendredi
12 mai et dans 150 pays, a infect plus de 300 000
ordinateurs dont les donnes ont t prises en otage.
Cet outil, qui permet de d-chiffrer son PC sans avoir
payer la ranon demande par les cybercriminels,
a t baptis WanaKiwi et a t dvelopp par
trois Franais : Adrien Guinet, Matthieu Suiche et
Benjamin Delpy. Vendredi 19 mai, Europol a annonc
avoir test avec succs le logiciel sur lequel le trio
travaillait de manire informelle depuis plusieurs jours
et nuits. Mis gratuitement la disposition du grand
public, WanaKiwi devrait mettre un coup darrt
la propagation du virus et clore, temporairement,
un pisode peu glorieux de lhistoire de la scurit
informatique.
Il y aura beaucoup de leons tirer de
laffaire WannaCry, trop vite rsume une
cyberattaque sans prcdent . En ralit, WannaCry
ntait aucunement une cyberattaque et cest justement
lexistence de nombreux prcdents qui inquite le
plus. WannaCry est larbre qui cache la fort. Un
impressionnant emballement mdiatique a conduit
1
surestimer son impact, tout en masquant les lacunes
critiques des principaux acteurs chargs dassurer la
scurit informatique des tats.
Cest donc le vendredi 12 mai que WannaCry sest
rpandu comme une trane de poudre. Lalerte
est donne en dbut de soire et, en quelques
heures, la situation parat catastrophique. Des milliers
dordinateurs sont infects. Lattention se porte
principalement sur la Grande-Bretagne o plusieurs
hpitaux sont touchs, l'incident entranant de
nombreuses perturbations. Mais des rseaux sensibles
du monde entier sont galement viss : le ministre de
lintrieur et la banque centrale russes, le groupe de
tlcommunications espagnol Telefonica, la Deutsche
Bahn (la SNCF allemande) ou encore le gant
amricain de la livraison FedEx.
En France, lentreprise Renault fait partie des
premires victimes et doit fermer plusieurs sites de
production, une mesure de protection pour viter
la propagation du virus . Ds le samedi 13 mai,
Europol affirme que lattaque est dun niveau sans
prcdent .
Pour toutes ces victimes, le constat est le mme.
Lorsquelles veulent utiliser leur ordinateur, un
message saffiche : Oups, vos fichiers ont t
encods. Leurs fichiers ont t chiffrs par le virus
et ne pourront tre dcrypts quavec un mot de passe.
Pour lobtenir, elles doivent dbourser la somme de
300 dollars payables en bitcoins, la principale crypto-
monnaie. Si elles ne sexcutent pas, les donnes
seront dfinitivement perdues.
Une semaine plus tard, la propagation du virus
semble endigue. Ds le 13 mai, un jeune chercheur
en cyberscurit britannique, rpondant au pseudo
de MalwareTech, avait dcouvert par hasard
une faille dans le code source du virus lui-mme,
permettant de freiner considrablement la diffusion.
Au bout du compte, selon des estimations fournies
mercredi par la socit de scurit informatique
Kryptos Logic, sur les 300 000 victimes, 30 % rsident
en Chine et 20 % en Russie, contre 7 % aux tats-
Unis et 2 % en France, en Grande-Bretagne et en
Allemagne. Ce qui frappe le plus, cest la pauvret
1/4
Directeur de la publication : Edwy Plenel
www.mediapart.fr
du butin amass par les cybercriminels. Selon des
chiffres cits par Reuters, vendredi 19 mai, seules
309 ranons avaient t verses. Soit seulement une
victime sur mille, pour un montant total de 94 000
dollars.
Le bilan de cette cyberattaque sans prcdent
parat bien maigrelet compar ses nombreux
prdcesseurs, comme le rappelle notamment le site
Reflets. Ds lan 2000, le ver informatique I LOVE
YOU avait fait la une des mdias internationaux en
infectant 10 % des ordinateurs du monde entier, pour
un dommage estim 5 milliards de dollars. Et un an
plus tard, cest le virus Code Red qui touchait 359 000
ordinateurs, causant 2 milliards de dollars de dgts.
Dans lhistoire de la scurit informatique,
nombreuses sont les oprations ayant touch plus de
machines et fait plus de dommages que WannaCry. Le
plus inquitant dans cette affaire nest pas le nombre
de victimes, mais bien quelle ait pu se produire et ce
malgr les nombreux avertissements.
WannaCry est avant tout lhistoire de la faillite de
la cyberscurit. Il ne sagit mme pas dune
cyberattaque, mais dune simple opration mafieuse ,
confirme ric Filiol, chercheur en cryptologie et
virologie, directeur de recherche lESIEA. Cette
affaire est tout simplement dsolante. Cest se taper
la tte contre les murs ! Tout a naurait mme jamais
d arriver. Et encore, il ne sagissait pas dune attaque
dun niveau trs lev. Si nous avions eu affaire
un virus du type Conficker, je nose imaginer ce qui
serait arriv
Conficker est un autre exemple de virus bien plus
destructeur que WannaCry. Apparu en 2008, il avait
infect, selon les estimations, entre 3,5 et 9 millions
dordinateurs. Mais surtout, il stait propag au sein
de nombreux rseaux sensibles, dont le dpartement
de la dfense amricain et les ministres de la
dfense britannique et franais. Plusieurs sous-marins
britanniques avaient mme t infects et plusieurs
chasseurs Rafale franais auraient t clous au sol par
lincident.
2/4
2
Concernant WannaCry, le nombre de grandes
entreprises touches a de quoi surprendre. Cela faisait
plusieurs mois que son arrive tait annonce et les
directeurs de la scurit informatique (DSI) du monde
entier disposaient de tous les outils pour sy prparer.
La principale innovation de ce ranongiciel est en
effet de se propager non pas par mail, mais en utilisant
une faille bien identifie des logiciels de Microsoft.
Ds le mois de mars, la socit avait mme diffus un
patch permettant de la corriger.
La publication de ce correctif arrivait point nomm.
Car visiblement, la vulnrabilit avait dj t repre
par dautres, et notamment par la NSA amricaine.
Le 14 avril, un groupe de hackers se faisant appeler
Shadow Brokers publiait une srie doutils de lagence
amricaine utilisant des vulnrabilits 0 Day ,
cest--dire nayant fait lobjet daucune publication
ni correctif. Parmi ceux-ci figure ETERNALBLUE,
qui utilise exactement la mme faille que WannaCry.
La parent entre WannaCry et ETERNALBLUE a
trs vite t tablie. Ds le 13 mai, Microsoft publiait
dailleurs une alerte appelant ses utilisateurs mettre
jour leurs logiciels.
Cela veut donc dire que, durant deux mois, les
responsables en cyberscurit des entreprises victimes
ont ignor ces diffrentes mises en garde et omis de
mettre jour leurs rseaux. ric Filiol ne mche pas
ses mots : Cest rvoltant, scandaleux. Aujourdhui,
je vois plus de DSI faire les beaux dans les salons
de cyberscurit que de DSI faisant correctement
la base de leur travail. Je suis dsol, mais ceux
des entreprises vises devraient selon moi tre tout
simplement virs.
Cette incurie ne serait pas limite au cas de WannaCry.
Il y a un vritable problme non seulement de gestion
des attaques, mais tout simplement de culture. On
se souvient de la dcouverte en 2014 de la faille
de scurit HeartBleed qui touchait OpenSSL.
lpoque, cette grave vulnrabilit, qui existait dj
depuis deux ans, avait fait la une des journaux. Et
pourtant, il y a quelques mois a t publi un audit
rvlant que 200 000 serveurs ntaient toujours pas
scuriss ! Cela veut dire que, depuis 2014, ils nont
Directeur de la publication : Edwy Plenel
www.mediapart.fr
rien fait pour corriger une telle faille. Si les gens ne
font pas le travail de base, que voulez-vous, on court
forcment la catastrophe
Les citoyens sont en danger
Il est impossible de ne pas voquer la responsabilit,
ou plutt lirresponsabilit, des tats et de leurs
agences de renseignement qui ont men un travail
de sape de la scurit informatique mondiale. Cela
fait des annes que des hacktivistes et chercheurs
dnoncent lagressivit des mthodes employes
par les agences gouvernementales. Que ce soit en
imposant aux entreprises du Net dinstaller dans
leurs produits des backdoors, des portes drobes,
ou en dveloppant des outils pour exploiter des
vulnrabilits existantes, les hackers des services de
renseignement ont introduit autant de faiblesses dans
la scurit informatique mondiale.
Ces outils et failles sont censs rester secrets.
Mais lexprience montre que cest rarement le
cas. Lorsquune vulnrabilit est introduite dans
un systme, il se trouvera toujours un hacker, un
lanceur dalerte, un cybercriminel ou une agence
gouvernementale pour la reprer et soit la dnoncer
pour quelle soit corrige, soit lutiliser dans son
propre intrt.
Edward Snowden fait partie de ceux qui ont point
du doigt les mthodes de la NSA. Le 13 mai, il
soulignait sur Twitter lironie de la situation : Prenez
un moment pour vous demander pourquoi on nous
laisse avec des chercheurs, et non des gouvernements,
pour essayer de contrer la pagaille permise par le
ransomware de la NSA. Son tweet tait accompagn
dun lien vers un article faisant tat dun rapport
de la socit Cisco, selon lequel 90 % des dpenses
effectues dans le cadre de cyberprogrammes par
lensemble des agences amricaines taient ddies
des oprations offensives.
WannaCry aura au moins permis de pointer clairement
la responsabilit des tats. Vendredi, le fondateur
de Wikipedia, Jimmy Wales, a ainsi qualifi le
ransomware dnorme foirage du gouvernement
amricain. Cest quelque chose qui aurait d
tre rgl au moment o la NSA la dcouvert. Il
3
aurait d le notifier Microsoft pour quils puissent
discrtement publier un correctif. () Il est trs
problmatique de voir les services de scurit stocker
et armer des choses qui sont trs risques pour le
public , a dclar Jimmy Wales sur NBC.
De son ct, le prsident de Microsoft, Brad
Smith, a rclam, dans un texte publi le 14
mai, une convention de Genve numrique
qui protgerait les citoyens des cyberguerres que se
livrent les services. Celle-ci imposerait notamment
aux gouvernements de signaler toute vulnrabilit aux
entreprises.
Cette prise de conscience du gant de linformatique
ne convainc pas vraiment ric Filiol. Ce sont
des gesticulations, car ils savent trs bien quils ne
lauront jamais. Mais surtout, cest lhpital qui se
fout de la charit. Microsoft se fait des milliards
sur notre dos sans que lon ne puisse rien dire.
Quils commencent par faire leur boulot , assne le
chercheur.
Comme lont montr les rvlations dEdward
Snowden, les grandes entreprises du Net amricaines
ont toujours activement collabor avec leurs
agences de renseignement, sous la contrainte ou
volontairement. Et la firme fonde par Bill Gates est
connue pour avoir dj install volontairement des
backdoors dans ses produits. Malgr ses dmentis,
lexistence de ces fonctions caches a mme t
confirme ds 2000 par le gouvernement franais dans
un rapport du ministre de la dfense, class secret
mais cit dans un rapport parlementaire.
Le cur du problme est que la vulnrabilit
des systmes informatiques, qui devrait tre
lexception, est devenue une rgle, une condition
de fonctionnement indispensable. Il existe mme
un march des failles 0 Day , o des
vulnrabilits schangent pour quelques milliers ou
quelques millions de dollars. Une partie de cette
conomie est lgale et encadre, avec des socits
spcialises comme la franco-amricaine Vupen. Une
autre partie est souterraine. Mais sur ce point, les
intrts des agences de renseignement et des groupes
cybercriminels convergent.
3/4
Directeur de la publication : Edwy Plenel
www.mediapart.fr
La cyberguerre ncessite un march des
vulnrabilits , analyse ric Filiol. Celles-ci
nont un intrt que si lon veut des systmes
faibles. Et toute une conomique sest construite l-
dessus , poursuit le chercheur. Aujourdhui, les
tats ne peuvent agir que sils maintiennent un
certain niveau dinscurit permanente. Et cette
inscurit permanente est entretenue par le march
des vulnrabilits . Selon lui, la solution serait de
pnaliser les ventes de failles 0 Day. Or, non
seulement elles ne sont pas pnalises, et en plus on
les favorise .
Un avis que partage Bluetouff, hacker et journaliste de
Reflets. Dans un article publi le 17 mai, il appelle
pnaliser la btise numrique en interdisant
les ventes de failles 0 Day, mais galement en
sanctionnant les entreprises trop laxistes en matire de
scurit. Au risque den choquer certains, il devient
ncessaire de rprimer les personnes physiques ou
morales qui connectent quoi que ce soit Internet
alors quelles savent que plus aucun correctif de
scurit nest assur sur lobjet quils connectent
Internet , crit-il.
En dfinitive, WannaCry est bien plus inquitant
pour ce quil rvle de ltat de notre cyberscurit
que par les dgts quil a pu causer. Entre de
grandes entreprises qui nentretiennent pas leur
parc informatique, des fabricants de logiciels qui
fournissent des produits non scuriss et des agences
gouvernementales qui utilisent et entretiennent un
Directeur de la publication : Edwy Plenel
Directeur ditorial : Franois Bonnet
Le journal MEDIAPART est dit par la Socit Editrice de Mediapart (SAS).
Dure de la socit : quatre-vingt-dix-neuf ans compter du 24 octobre 2007.
Capital social : 24 864,88.
Immatricule sous le numro 500 631 932 RCS PARIS. Numro de Commission paritaire des
publications et agences de presse : 1214Y90071 et 1219Y90071.
Conseil d'administration : Franois Bonnet, Michel Brou, Laurent Mauduit, Edwy Plenel
(Prsident), Sbastien Sassolas, Marie-Hlne Smijan, Thierry Wilhelm. Actionnaires
directs et indirects : Godefroy Beauvallet, Franois Bonnet, Laurent Mauduit, Edwy Plenel,
Marie-Hlne Smijan ; Laurent Chemla, F. Vitrani ; Socit Ecofinance, Socit Doxa,
Socit des Amis de Mediapart.
4
march des vulnrabilits, les cybercriminels ne sont
peut-tre pas les plus craindre. Cette affaire pose
de nombreux problmes , rsume ric Filiol. Il y a
tout dabord les DSI qui ne font pas leur boulot. Mais
il y a galement notre hyper dpendance Microsoft.
Cette socit quipe aujourdhui une bonne partie
de nos administrations, du ministre de la dfense
lducation nationale. Que se passera-t-il si, un jour,
la France entre en conflit avec les tats-Unis ?
Pour ric Filiol, la solution passe par une prise
de conscience politique. Nous sommes dans une
situation qui met en danger les citoyens car les
tats ont peur de leur rle rgulateur , estime-t-
il. Mais les agences de renseignement ont galement
une grande part de responsabilit. Nous courons
la catastrophe , poursuit le chercheur. Il faut
une convention internationale, comme celle dOttawa
pour les mines antipersonnel ou celle de Paris pour
les armes chimiques.
En attendant cette ventuelle prise de conscience, les
cybercriminels poursuivent leurs affaires. Mercredi 17
mai, les Shadow Brokers ont annonc dtenir encore
de nombreux outils drobs la NSA. Ils comptent
les mettre en vente partir du mois de juin sous la
forme dun abonnement un club , le Shadow
Brokers Data Dump of the Months service . En
change dun abonnement mensuel, ses membres
recevront chaque mois un lot de donnes. Ce que les
membres font ensuite des donnes ne dpendra que des
membres , prcisent les Shadow Brokers.
Rdaction et administration : 8 passage Brulon 75012 Paris
Courriel : contact@mediapart.fr
Tlphone : + 33 (0) 1 44 68 99 08
Tlcopie : + 33 (0) 1 44 68 01 90
Propritaire, diteur, imprimeur : la Socit Editrice de Mediapart, Socit par actions
simplifie au capital de 24 864,88, immatricule sous le numro 500 631 932 RCS PARIS,
dont le sige social est situ au 8 passage Brulon, 75012 Paris.
Abonnement : pour toute information, question ou conseil, le service abonn de Mediapart
peut tre contact par courriel ladresse : serviceabonnement@mediapart.fr. ou par courrier
l'adresse : Service abonns Mediapart, 4, rue Saint Hilaire 86000 Poitiers. Vous pouvez
galement adresser vos courriers Socit Editrice de Mediapart, 8 passage Brulon, 75012
Paris.
4/4