Le mois dernier, la cyberattaque mondiale par crypto-ransomware WannaCry a fait couler beaucoup d'encre. WannaCry a été la combinaison d'un ver informatique pour se propager avec un ransomware pour chiffrer des fichiers et exiger une rançon.

WannaCry s'est appuyé sur un exploit baptisé EternalBlue et fuité par le groupe Shadow Brokers en avril. EternalBlue tire parti d'une vulnérabilité dans l'implémentation du protocole SMB (Server Message Block) de Microsoft.

Cette faille avait été corrigée en mars par Microsoft pour les versions de Windows alors en cours de support. Au lendemain de la cyberattaque par WannaCry, Microsoft a publié en urgence un patch pour Windows XP, Windows 8 et Server 2003. Une mesure d'exception récemment réitérée.

EternalBlue est un exploit à l'origine développé par... l'agence américaine de renseignement NSA, même si cette dernière ne s'est pas prononcée sur ce point. C'est cette même NSA qui établit un lien entre WannaCry et la Corée du Nord selon une information du Washington Post ayant consulté un rapport interne. Là-encore, pas de commentaires publics.

C'est avec une confiance dite " modérée " que la NSA va ainsi dans le même sens que de premiers rapports de Symantec et Kaspersky Lab qui avaient identifié dans le code informatique de WannaCry des similitudes avec d'autres malwares ayant une piste nord-coréenne. Un lien devenu encore plus plausible grâce à de nouveaux éléments dont des adresses IP en Chine mais " historiquement " utilisées par une agence d'espionnage nord-coréenne.

En particulier, les soupçons se tournent vers le groupe Lazarus qui aurait le soutien financier de la Corée du Nord. Un nom qui avait déjà été évoqué et a notamment circulé pour le cas de l'attaque de Sony Pictures en 2014.

Reste cette bizarrerie d'une attaque par ransomware avec des tentatives d'extorsion faisant plutôt penser à des cybercriminels plus conventionnels. Avec peu de succès, c'est pourtant ce que la Corée du Nord aurait tenté de faire dans le but de soulever des fonds pour soutenir le régime.

Ransomware hopital UK
Nul doute que la bataille des experts va pourtant se poursuivre pour savoir qui se cache derrière WannaCry. C'est la piste asiatique qui tient la corde.