Cyberattaque, ransomware et Bitcoin

36
523

Touchant des centaines de milliers d’ordinateurs à travers le monde, la cyberattaque de vendredi est, de l’avis même d’Europol, « d’un niveau sans précédent ». A l’heure actuelle c’est plus de 200 000 victimes qui auraient été recensées dans le monde, parmi lesquelles le service public de santé britannique, le service de livraison FedEx, le ministère russe de l’Intérieur, des universités chinoises, l’opérateur télécom espagnol Telefonica, la compagnie ferroviaire allemande Deutsche Bahn ou encore Renault en France.

Le « ransomware » WanaCrypt0r 2.0 (alias Wanna Cry, WannaCry, Wcry ou Wanna Decryptor) s’appuie sur une faille de sécurité de Microsoft Windows et semble avoir surtout touché des machines utilisant d’anciennes versions du système d’exploitation. Le virus se propage lorsqu’un utilisateur ouvre une pièce jointe corrompue, mais aussi et surtout par le réseau local, ce qui le rend particulièrement virulent.

Sur tous les ordinateurs infectés mais également sur les panneaux d’affichage de certaines gares allemandes on a pu lire le même message d’erreur accompagné d’une demande de rançon de 300 dollars sous peine d’effacement des contenus, d’un logo Bitcoin et d’une adresse de paiement :

Trois adresses de paiement ont été rendues publiques par des victimes (il en existe probablement beaucoup d’autres) :
13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

Voir également sur oxt.me.

L’historique des transactions prouve qu’une même adresse a pu être utilisée plusieurs fois par les attaquants :

Adresse Premier paiement Montant total au 14 mai
 13AM…  12 mai à 11h07 GMT   5,33753667 BTC
 12t9Y…  12 mai à 12h33 GMT   7,30903882 BTC
 115p7…  12 mai à 14h27 GMT   3,64135075 BTC

 

Cette attaque massive ne manquera pas de jeter la suspicion sur Bitcoin, utilisé ici pour collecter les rançons. Mais avant d’envisager la réquisition des fermes de calcul chinoises et géorgiennes afin lancer une contre-attaque massive (et très improbable) contre le réseau Bitcoin, il ne faut bien comprendre que les monnaies numériques de pair à pair sont un phénomène irréversible et qu’on ne les dés-inventera pas et que de toute façon les alternatives à Bitcoin sont légions, certaines plus anonymes et plus décentralisées encore.

Face à une telle affaire on aurait au contraire avantage à s’appuyer sur les propriétés de Bitcoin et sur sa communauté pour s’en servir contre les auteurs des attaques. On pourrait par exemple rendre publique la totalité des adresses utilisées. Dès lors le moindre mouvement serait passé à la loupe par des centaines d’analystes bénévoles, compliquant considérablement le travail de brouillage que les auteurs tenteront probablement de faire. Les fonds issus d’une adresse ainsi marquée seraient probablement plus difficile à « mixer » car les utilisateurs de tels services (ou de plateformes de change sans KYC) ne seront peut-être pas très enthousiastes à l’idée d’accepter des bitcoins tagués « extorsion » et pistés par toutes les polices du monde.

Mais, évidemment, pour cela il faudrait que l’information (la liste des adresses connues) circule publiquement, ce qui n’est peut-être pas dans les habitudes des services de police, encore moins dans celles de la NSA, qui, selon le Financial Times connaissait depuis longtemps la faille de sécurité qui a permis la propagation du virus. Le quotidien britannique affirme ainsi que l’agence américaine, plutôt que l’alerter qui de droit, aurait exploité la faille en créant son propre outil de piratage, Eternal Blue, tombé entre les mains des pirates après une fuite, avec les conséquences que l’on connait aujourd’hui.

 

Sources : lemonde.fr – liberation.fr – ft.com