Il fallait s’y attendre : les exploits EternalBlue et DoublePulsar de la NSA, mis à disposition de tous par le groupe Shadowbrokers le 14 avril 2017, ont été employés dans une cyberattaque d’envergure mondiale dont le coût, apparemment massif, reste encore à déterminer.
Le timing de l’attaque peut surprendre : ces exploits sont à disposition de tous depuis le 14 avril et des sondes Metasploit permettant de tester la présence du patch correctif de Microsoft existent depuis fin mars. Dans ces conditions, pourquoi cette première attaque de type ransomware survient-elle si tardivement ?
Une source anonyme proche de l’enquête sur l’origine de la fuite initiale des exploits, citée par Reuters en septembre 2016[1], suggère que la NSA était au fait de cette fuite dès sa survenance en 2013. Elle aurait activé ses propres sondes dès la découverte de la fuite afin de détecter une éventuelle utilisation de ces outils par des parties tierces, notamment celles qui possèdent les capacités de cyber espionnage les plus avancées comme la Chine ou la Russie. Mais comme les sondes citées par cette source (probablement des sondes de type IDS placées directement sur les dorsales Internet) n’ont pas signalé d’utilisation avérée des outils en question, l’agence n’aurait pas considéré nécessaire de prévenir les fabricants américains des solutions ciblées par ces exploits. La capacité de détection de telles sondes ne couvre certainement pas tous les exploits dévoilés par Shadowbrokers (certains servant uniquement à pivoter au sein d’un réseau déjà infiltré), mais elle peut s’appliquer à l’utilisation d’exploits tel EternalBlue directement sur Internet. On comprend donc bien la réticence d’utilisateurs potentiels à être les premiers à employer ces exploits de manière visible.
Le ransomware employé dans l’attaque lancée le 12 mai est initialement apparu en février 2017, sous une forme bien moins dangereuse qui n’avait alors pas marqué les esprits. Aujourd’hui, la nouvelle version surprend, pas seulement par sa virulence mais également par son manque d’efficacité sur le plan financier : les gains se porteraient à quelques dizaines de milliers de dollars, une somme ridicule au vu du nombre d’infections. Une marque d’amateurisme, qui porte à penser que les auteurs de l’attaque n’étaient pas conscients de la puissance des exploits qu’ils ont souhaité utiliser à leur profit. Un amateurisme sans doute nécessaire pour oser en faire usage avec un malware aussi visible qu’un ransomware, d‘ailleurs les auteurs de ransomware performants ne s’y sont eux pas risqué pour l’instant. Et lorsqu’un cybercriminel, même reconnu, se risque à proposer sur le marché noir des outils d’exploitation clé en main basés sur ces exploits, il subit les foudres de ses congénères qui s’inquiètent du risque d’attirer l’attention des services de police et des agences de renseignement sur leur communauté. Ils considèrent d’ailleurs qu’il faut être fou pour souhaiter prendre le risque d’utiliser cet exploit en ce moment, comme l’attestent les échanges sur ces plateformes :
Inconscience, folie ? Ou peut-être les auteurs du ransomware du 12 mai ont-ils tout simplement considéré qu’ils avaient peu à perdre s’ils venaient à se voir attribuer l’attaque de façon crédible ? Ainsi, il ne serait pas incohérent que les auteurs de l’attaque se révèlent effectivement être nord-coréens, dont la réputation sur la scène internationale oscille entre celle de parias et de wildcard. C’est ce que semble suggérer l’utilisation d’éléments de code identique à ceux repérés dans des créations du groupe nord-coréen Lazarus. C’est celui-là même qui est notamment à l’origine des attaques à l’encontre de Sony Pictures, de la banque du Bangladesh et de l’opération DarkSeoul[2]. Il pourrait d’ailleurs s’agir d’une opération de nature plus politique, une utilisation massive permettant de démontrer l’efficacité de l’armement cyber des Etats-Unis et rappeler leur responsabilité dans la création et la prolifération de ces armes.
On notera quoiqu’il en soit que Shadowbrokers aura attendu un mois après la publication d’un patch correctif (MS17-010) par Microsoft[3] pour mettre à disposition ces exploits, ce qui en diminue la portée et la puissance. Nul besoin de les remercier toutefois : la publication du correctif avait d’ores et déjà entamé leur utilité. Peut-être Shadowbrokers a-t-il conclu qu’une utilisation massive des exploits par des acteurs tiers leur permettrait de les utiliser plus discrètement à leurs propres fins. Le risque de surexposition, associé à la première utilisation mondiale d’EternalBlue, n’empêchera toutefois pas celui-ci d’être réutilisé à l’avenir par de nombreux autres malwares lorsque la tempête initiale sera passée. On rappellera que le vers Conficker, qui utilisait une vulnérabilité d’une criticité similaire (MS08-067) et qui avait eu des conséquences comparables, représentait encore une part significative des infections en 2016, presque dix ans plus tard.
[1] http://www.reuters.com/article/us-cyber-nsa-tools-idUSKCN11S2MF
[2] https://arstechnica.com/security/2017/05/virulent-wcry-ransomware-worm-may-have-north-koreas-fingerprints-on-it/
[3] https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
