Cet informaticien a enrayé la propagation du virus WannaCry (presque) par hasard

Cet informaticien a enrayé la propagation du virus WannaCry (presque) par hasard
En ralentissant la propagation du virus informatique WannaCry, Marcus Hutchins a gagné un prix de 10.000 euros... ainsi qu'une année de pizzas gratuites. FRANK AUGSTEIN/AP/SIPA

Un blogueur britannique en cybersécurité de 22 ans a réussi a stopper la propagation du virus informatique WannaCry, grâce à un peu d’intuition et beaucoup de chance. Voici comment.

HÉROS. Marcus Hutchins a tout de l’homme providentiel. Ce Britannique de 22 ans a réussi à ralentir l’attaque informatique WannaCry, qui a touché 300.000 postes informatiques dans le monde cette semaine. Et ce presque par hasard, grâce à une intuition gagnante. Désormais, le nombre de machines contaminées n’augmente quasiment plus. Le 13 mai 2017, il relatait l’historique de sa fortuite découverte sur son site internet, Malware Tech. Une histoire cocasse, car elle repose sur une imprécision technique des pirates ayant écrit le code source du malware. Explications.

Une opération low-cost à 10,69 dollars pour réserver un nom de domaine

Comme l’explique le jeune homme sur son blog, il parvient à se procurer un échantillon du code-source du programme malveillant (malware) avec l’aide d’un chercheur en cybersécurité. Lorsqu’il cherche à l’exécuter dans un environnement de test contrôlé (c’est-à-dire sur une machine spécialement configurée pour tracer toutes les actions du logiciel, et notamment ses appels au réseau extérieur), il réalise rapidement que le malware cherche à se connecter… à un nom de domaine improbable (jugez en plutôt : iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea point com) mais surtout inexistant. Intrigué, Marcus Hutchins achète le nom de domaine, pour la modique somme de 10,69 dollars. Conséquence inattendue : l’attaque cesse de faire de nouvelles victimes.

ASTUCE. Mais pourquoi inclure une requête vers un nom de domaine inexistant ? Les pirates ne sont pas stupides : en fait, leur intention initiale était de duper les chercheurs en cybersécurité, et plus particulièrement les outils informatiques utilisés pour étudier le fonctionnement des virus, en les exécutant en environnement contrôlé et isolé. L’objectif, pense le Britannique : « Dans certains environnements de tests, les appels extérieurs vers les noms de domaine ne sont pas effectués, l’ordinateur considère qu’ils existent dans tous les cas« , écrit-il. De quoi savoir, pour le code malveillant, s’il est exécuté sur une machine infecté ou par un bidouilleur en informatique… Et dans le second cas, de fermer le programme de façon anticipée afin d’éviter de révéler plus d’informations sur son fonctionnement.

ARROSEUR ARROSÉ. « L’enregistrement du nom de domaine a fait croire à toutes les copies du code malveillant, exécutées sur les machines nouvellement infectées, qu’elles étaient dans un environnement de test, et donc à s’interrompre », explique-t-il, en précisant toutefois que la seule protection efficace reste d’installer les correctifs mis en ligne par Microsoft. Une aventure résumée comme suit par le webcomic français Commit Strip, qui décrit avec humour et phylactères le quotidien de développeurs en informatique.

Récompensé par Microsoft… et Alloresto (!)

L’histoire a déjà été relayée par de nombreux médias britanniques. Il n’en fallait pas plus pour que la plate-forme de hacking éthique HackerOne (initiée par Microsoft, Facebook et Google) décide de verser au jeune homme une récompense de 10.000 dollars. Joli taux d’intérêt pour une mise initiale de 10,69 dollars… L’informaticien compte en tout cas redistribuer la somme à des œuvres caritatives.

PIZZA. Autre honneur public, nettement plus inattendu : la réaction de la société Just Eat (branche britannique d’Alloresto), qui a offert au jeune héros … un an de pizzas gratuites. Une campagne promotionnelle virale, qui se base sur le préjugé selon lequel les programmeurs se nourriraient principalement de pizza et d’eau fraîche. « De la part de la nation, nous vous remercions, et ceci n’est qu’une petite portion de notre reconnaissance », a indiqué Just Eat dans un communiqué.

 

Sarah Sermondadaz

Voir aussi

Laisser un commentaire

Votre adresse électronique ne sera pas publiée. Les champs Exigés sont marqués avec *

Cancel reply