Cyberattaque mondiale : comment un Britannique de 22 ans aurait évité le pire

Un jeune chercheur en cybersécurité a trouvé par accident comment arrêter la propagation du ransomware WannaCry / WCry. Il raconte cet exploit au Parisien.

    On sait qu'il habite au Royaume-Uni, qu'il a 22 ans et qu'il est chercheur en cybersécurité. Pour le reste, il requiert l'anonymat le plus strict. Au cours de l'échange qu'il nous accorde, on tente quand même : «Vous pourriez-nous envoyer une photo de vous ?». Réponse de l'intéressé : «Certainement pas.»

    Cet individu aurait permis de ralentir la cyberattaque massive qui touche des dizaines de pays depuis vendredi. Et impacte le réseau hospitalier britannique, le géant des télécoms espagnol Telefonica, le leadeur de la livraison de colis FedEx et le constructeur automobile français Renault. Son intervention décisive serait aussi, ainsi que le titre la presse anglo-saxonne et comme il l'avoue lui-même, «accidentelle»! Ce qui ne l'empêche pas d'être congratulé par ses pairs sur les réseaux.

    Vendredi, alors que le ransomware WCry commence à se propager, celui qui se fait appeler sur Twitter «MalwareTech» étudie le code du programme malveillant. Il constate qu'il contient une suite illogique de 41 chiffres précédant l'extension «.com». C'est un nom de domaine qui n'appartient à personne. Il a été placé là pour permettre aux cybercriminels de stopper l'attaque au moment qu'il leur semble opportun. Si quelqu'un achète ce nom de domaine, le ransomware cesse de se propager. C'est ainsi que «MalwareTech» a pris de court les attaquants en déboursant une poignée de livres sterling.

    Environ «100 000» infections évitées

    Intervenant rapidement après le début de vague d'attaques, le jeune spécialiste en cybersécurité a permis, selon lui, de la freiner considérablement : «100 000 (terminaux) ont évité l'infection», annonce-t-il en appuyant sa démonstration sur sa plate-forme de surveillance de logiciels malveillants. La courbe montrant l'évolution du nombre d'infections décrit une chute brutale.

    Très humblement, notre cyberhéros a avoué sur Twitter avoir enrayé la contamination un peu par hasard : «J'avoue que je n'étais pas au courant qu'enregistrer un nom de domaine arrêterait le malware, donc au départ, c'était accidentel.» Utilisant habituellement ce procédé pour surveiller des botnets, —des ordinateurs mis en réseau à leur insu—, «MalwareTech» a employé cette technique, vendredi, par réflexe. Ce n'est que plus tard qu'il s'est rendu compte des bienfaits de son action.

    Interrogé samedi matin, il déclare n'avoir pas dormi de la nuit, juste «une sieste de 20 minutes». Quand on lui demande s'il est fier de son initiative, il répond : «Un peu». Il invite surtout les utilisateurs de Windows à installer les patchs que Microsoft met à disposition pour se prémunir contre toute nouvelle infection.

    Son intervention ne résout pas le problème des ordinateurs qui sont déjà infectés. Il empêche d'autres d'être contaminés, mais pas tous, prévient Darien Huss, expert en sécurité chez Proofpoint : «Selon certains scénarios, des ordinateurs continuent à être infectés, peut-être parce que la communication entre le malware et le nom de domaine est bloquée ou que la machine a été infectée via une connexion locale.» Il se pourrait, en outre, que d'autres versions du malware continuent à se propager.