WannaCrypt a fait d’énormes ravages la semaine dernière. Des centaines d’entreprises et d’institutions ont en effet été touchées par ce ransomware particulièrement agressif. Windows XP avait d’ailleurs été largement pointé du doigt, mais il semblerait qu’il ne soit pas le seul fautif dans l’histoire. Bien au contraire, même. Le système le plus touché serait en effet bien plus récent… et bien plus répandu.
L’attaque a été fulgurante et elle a touché d’innombrables postes. Environ deux cent mille d’après les derniers chiffres. Tous les pays ont en outre dû faire face à ce ransomware.
Grâce à WannaCrypt, les hackers responsables de l’attaque ont réussi à chiffrer des millions de données.
WannaCrypt, l’une des pires attaques de ces dernières années
Pour réussir ce tour de force, les assaillants n’ont pas eu besoin d’aller chercher bien loin. Ils ont en effet utilisé des failles intégrées à Windows, des failles dont la NSA avait parfaitement connaissance. Seul problème, la célèbre agence de renseignement n’a pas fait remonter l’information à l’éditeur afin de pouvoir l’exploiter elle-même.
BitSight a lancé une vaste enquête afin de mieux déterminer les circonstances de la propagation du malware. L’étude menée par ses experts a révélé que la plupart des ordinateurs touchés fonctionnaient sous un système relativement récent : Windows 7. Les deux tiers, en réalité.
Windows XP a bien évidemment été touché lui aussi, mais dans une moindre mesure. WannaCrypt a effectivement fait planter la plupart des ordinateurs impactés, et ce avant même de pouvoir en prendre le contrôle.
Windows 7 a été le plus touché
Si vous avez suivi l’affaire, alors vous savez sans doute que Microsoft a rapidement déployé un patch sur Windows XP après avoir entendu parler de l’attaque. Ce correctif n’a donc pas été de grande utilité.
Mais ce n’est pas le plus intéressant. En poussant plus loin leurs investigations, les experts de BitSight ont aussi réalisé que la version la plus touchée était Windows 7 x64 Edition, une version très répandue dans les grandes entreprises. Plusieurs machines sous Windows 7 Home auraient aussi été prises dans l’attaque, mais dans une moindre mesure.
Contrairement à ce que l’on pensait, WannaCrypt ne s’est pas uniquement répandu par courriels. Afin de maximiser l’infection, les hackers ont en effet utilisé une faille présente dans le protocole SMB. Ce serait d’ailleurs en partie ce qui explique pourquoi l’attaque a été aussi virulente.
Il faut tout de même signaler que cette étude a été établie à partir des données en provenance de 160 000 ordinateurs touchés par l’attaque.
En outre, il existe un patch pour retrouver la clé du malware : Wannakey. Disponible sur GitHub, elle a été développée par Adrien Guinet et il est malheureusement loin d’être parfait puisqu’il fonctionne uniquement sur Windows XP et… sur des machines qui n’ont pas été redémarrées.