Hier dimanche, Microsoft a été obligé de confirmer qu'une vulnérabilité (SMB) concernant ses logiciels Windows XP, Windows Server 2008 et Windows 8 a affecté ses clients dans le monde. La propagation depuis vendredi dernier du ransomware WannaCry dans de nombreux pays est considérée par l’éditeur comme un bon exemple des problèmes causés par le stockage de vulnérabilités logicielles par les gouvernements. L’outil d’intrusion développé par la NSA à partir de cette faille a été dérobée et publiée par les hackers du groupe Shadow Brokers.

En se référant à l'attaque sous le terme « wake-up-call », le président et directeur des affaires juridiques de Microsoft, Brad Smith, a indiqué sur le blog de l’éditeur que les gouvernements doivent « considérer les dommages causés aux personnes par l'accumulation de ces vulnérabilités et l'utilisation de ces exploits. »

Windows XP, Server 2003 et Windows 8 concernés 

Le ransomware, également appelé WannaCryt ou WannaCryptor, fonctionne en exploitant une vulnérabilité SMB dans d'anciennes versions de Windows grâce à un outil de piratage baptisé EternalBlue et volé à la NSA. Microsoft confirme que les exploits de WannaCry utilisés lors de l'attaque du vendredi 12 mai sont issus des exploits volés à la NSA. « Jusqu'à l'attaque de ce week-end, Microsoft refusait de le confirmer officiellement, alors que le gouvernement américain refusait de confirmer ou de nier que c'était son exploit », a indiqué Edward Snowden dans un tweet.

Le 14 mars, la société avait publié une mise à jour de sécurité pour corriger cette vulnérabilité à destination de ses versions d'OS encore supportées. « Alors que des systèmes et ordinateurs Windows plus récents et protégés avaient permis à Windows Update d'appliquer cette dernière mise à jour, de nombreux ordinateurs sont restés vulnérables à l'échelle mondiale », a déclaré Brad Smith. « En conséquence, des hôpitaux, des entreprises, des gouvernements et des ordinateurs chez des particuliers ont été touchés ». Et ce week-end, l’éditeur a été obligé de déployer en urgence un patch pour Windows XP, Windows Server 2003 et Windows 8, dont le support n’est plus assuré par Microsoft mais sur abonnement par certaines entreprises.

Une deuxième vague attendue 

Vendredi, un certain nombre d'agences et d'entreprises du monde entier, dont Renault, Telefonica ou le Service national de santé du Royaume-Uni, ont été perturbées par ce ransomware. Plus de 100 000 organisations et entreprises dans 150 pays ont été touchées, selon une déclaration de Rob Wainwright, directeur exécutif d'Europol, à ITV.

Les experts en sécurité dont Guillaume Poupart de l’Anssi estiment qu'une deuxième vague d'attaques est attendue. Les pirates pourraient également revenir en arrière avec une variante du ransomware débarrassée du verrou (le nom de domaine) stoppant la propagation du malware trouvé par le chercheur connu sous le pseudonyme MalwareTech. « La version 1 de WannaCry était stoppable, mais la version 2.0 supprimera probablement le défaut. Vous n'êtes en sécurité que si vous patchez le plus tôt possible », a écrit le chercheur sur son compte Twitter.

Une Convention de Genève Numérique 

En février dernier à la RSA Conference, Microsoft a appelé à une « Convention de Genève Numérique » établissant les règles de protection des utilisateurs contre les cyber-attaques des États, avec notamment l’obligation pour les gouvernements de signaler les vulnérabilités aux fournisseurs plutôt que de les stocker, de les vendre ou de les exploiter. « Nous avons vu des vulnérabilités stockées par la CIA apparaître sur WikiLeaks, et maintenant cette vulnérabilité volée à la NSA a touché des clients à travers le monde", a indiqué Brad Smith.

Les exploits dans les mains des gouvernements se sont déjà diffusés à plusieurs reprises dans le domaine public et ont causé des dégâts importants, a déclaré Brad Smith, qui a comparé les fuites de vulnérabilités de la CIA et de la NSA aux vols de missiles Tomahawk stockés par les militaires américains. « Cette attaque récente représente un lien complètement involontaire mais déconcertant entre les deux formes les plus sérieuses de cybermenaces aujourd'hui dans le monde : l'action de l'État-nation et l'action de la criminalité organisée », a-t-il ajouté.