Celui qui s'était trompé de chemin (1/3)

Mai 2017: le malware WannaCry sème la désolation dans son sillage. Mais un jeune britannique de 22 ans va réussir à l'arrêter net.

nov. 19, 2022

Bonsoir,

Bienvenue pour ce nouvel épisode de Pwned. Si vous n’êtes pas inscrit, voici le formulaire.

Ce soir, on va parler d’un homme qui a trouvé sa rédemption après s’être égaré dans les bas-fonds du web.

Le vendredi 12 mai 2017 est un jour noir dans la sécurité informatique. Ce jour-là, le rançongiciel auto-répliquant WannaCry se répand dans les ordinateurs du monde entier. En quelques jours, on compte plus de 300 000 machines Windows infectées qui affichent le même message de rançon, 300 puis 600 dollars en bitcoins.

Des hôpitaux du Royaume-Uni sont sévèrement touchés: le coût pour le système de santé anglais sera évalué plus tard à 115 millions d’euros. En France, le constructeur automobile Renault, l’un des quatre grands groupes français touchés, doit interrompre sa chaîne de production dans certaines de ses usines pour se débarrasser du virus.

Pourquoi le virus a-t-il été aussi destructeur? Eh bien c’est parce qu’il s’est appuyé sur des techniques de pro. On comprend très vite que pour se répliquer le rançongiciel utilise la vulnérabilité EternalBlue, développée par les américains de la NSA, la plus puissante agence cyber du monde.

Une arme informatique dont les américains ne voulaient visiblement pas se priver en alertant l’éditeur, ici Microsoft, sur cette vulnérabilité critique. Ce qui ne pose pas de problème tant qu’elle reste dans les placards de l’arsenal cyber américain.

Sauf qu’elle fuite en avril 2017, divulguée par un mystérieux groupe, The Shadow Brokers, actif depuis quelques mois. La NSA devait s’y attendre, car un mois plus tôt, Microsoft avait fini par sortir un patch, signe que l’éditeur avait finalement été averti de la faille. C’est comme si “l’armée américaine s’était fait voler quelques-uns de ses missiles Tomahawk”, résumera plus tard le président de Microsoft.

On ne sait pas qui est derrière The Shadow Brokers. Pour WannaCry, c’est par contre un peu moins trouble. On soupçonne très vite des hackers de la Corée du nord, à cause de la présence de commentaires de scripts en langue coréenne, d’être derrière cette catastrophe informatique.

Plusieurs entreprises, comme Symantec, vont en effet remarquer des similitudes entre WannaCry, dont l’origine est désormais datée en février, et des outils utilisés par un groupe de hackers associés à la Corée du Nord, Lazarus. Les chercheurs remarquent l’emploi d’infrastructures communes ou encore du partage de code.

Plus d’un an plus tard, la justice américaine précise ses soupçons en mettant à prix la tête de l’informaticien nord-coréen Park Jin-Hyok, accusé d’être l’un des programmeurs du rançongiciel. Mais ce n’est pas de lui dont on va parler ce soir.

Car même si l’attaque informatique causée par WannaCry a été dévastatrice, le pire a été évité grâce à Marcus Hutchins. Ce jeune anglais de 22 ans qui tweete sous le pseudo de MalwareTech, va réussir à stopper le programme. C’est assez incroyable, mais le virus avait bien un gros bouton OFF prévu pour tout stopper.

Après avoir analysé le code du logiciel malveillant, Marcus Hutchins réalise que le programme tente d’envoyer un message à une adresse internet correspondant à un nom de domaine non enregistré.

Intrigué, avec 10 dollars en poche, Marcus Hutchins enregistre le nom de domaine. Sans le savoir, il vient d’arrêter net l’attaque. Car voici comment WannaCry fonctionnait. Quand un ordinateur était infecté, le logiciel malveillant tentait de se connecter au nom de domaine découvert par Marcus Hutchins.

Si le logiciel réussissait à se connecter, il mettait alors en sommeil ses fonctionnalités de propagation. Il s'agit d'un coupe-circuit qui devait sans doute permettre aux créateurs du logiciel de garder les rênes de la bête.

La parade donne lieu à des contre-parades, avec une attaque en déni de service basée sur le botnet Mirai contre le nom de domaine, mais le chercheur en sécurité tiendra bon. Des répliques de WannaCry sans ce coupe-circuit apparaissent également, mais les administrateurs systèmes consciencieux avaient déjà eu le temps de patcher leurs machines.

“Je ne suis certainement pas un héros”, dira plus tard Marcus Hutchins à l’Associated Press, complétement dépassé ensuite par la curiosité insatiable des tabloïds anglais. “Je suis juste quelqu'un qui fait sa part pour arrêter les botnets.”

Il se dit ému par ces messages venant de victimes du rançongiciel l’implorant de les aider à trouver un moyen de récupérer les photos perdues de leurs enfants ou de leurs proches décédés.

Après ce coup d’éclat, l’avenir de Marcus Hutchins, alias MalwareTech, le fils d’une infirmière écossaise et d’un travailleur social jamaïcain, semble tout tracé. Ce surfeur accompli, qui a grandi dans une ferme à l’ouest de Londres et qui travaille pour la firme de cybersécurité Kryptos Logic, vient de gagner de très belles lettres de noblesse.

Il est si demandé qu’il s’envole vers Las Vegas pour participer à la Defcon 2017, l’un des plus grands rassemblements de hackers au monde. Pendant une semaine, Marcus Hutchins alterne des Mcdo, quelques joints - légaux au Nevada -, et des rencontres. C’est lui, la star.

Mais la Defcon est surtout un prétexte pour la débauche. Avec ses amis, il se rend sur un champ de tir pour pilonner des cibles à la mitrailleuse. Ils louent des grosses cylindrées de luxe pour parader dans la ville, et ils passent de fête en fête. Bon, vous n’avez jamais eu 22 ans?

Puis c’est déjà l’heure du retour vers l’Angleterre. Un Uber direction l’aéroport, les contrôles de sécurité, un coca et l’attente de son vol - il est arrivé bien en avance.

Le jeune homme est nonchalamment en train de tweeter quand trois hommes s’approchent de lui. “Vous êtes bien Marcus Hutchins?”, lui demande-t-on. Il confirme. Shit. On lui passe les menottes et on l’emmène vers un escalier de service. MalwareTech vient de se faire embarquer par le FBI.

La suite la semaine prochaine,

Bonne soirée,

Relecture: Mnyo

PS: L’histoire vous a plu? Pour me payer un café c'est ici ou sur mon wallet BTC (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex).

Sources:

Renault, un mois et demi après WannaCry

WannaCry responsable du trou de la Sécu au Royaume-Uni

Ransomware : le nettoyage se poursuit après le chaos WannaCry

WannaCry, un an après : aux origines d’une des plus grandes cyberattaques de tous les temps

ÉTAT DE LA MENACE RANÇONGICIEL

The Confessions of Marcus Hutchins, the Hacker Who Saved the Internet

His life got weird after saving the Internet: ransomware hero Marcus Hutchins