WanaCrypt : entre canari et traceur radioactif

Passé la surprise générale et maintenant que la presse généraliste décline à l’infini les « Que sait-on du virus WanaCrypt« (*), l’on va pouvoir pousser d’un cran l’analyse.

Nous reviendrons bientôt sur les causes racines de cette épidémie, mais avant d’aborder les sujets qui fâchent pourquoi ne pas voir d’abord le bon côté des choses : quels sont les points positifs de cette infection ? (certes, tout est relatif et nul doute que les confrères qui ont passé 40h en cellule de crise ce week-end ne sont pas les mieux placés pour apprécier ce point de vue rafraîchissant).

L’un des aspects positifs de cette épidémie est que le ransomware WanaCrypt peut être vu à la fois comme un canari et un traceur radioactif. Et dans les deux cas, il s’agit d’outils utiles.

Le sacrifice du canari

Un canari, d’abord. Le volatile cher aux mineurs des temps anciens (descendu avec eux au fond du puits, sa mort alertait d’une concentration létale de monoxyde de carbone) symbolise aujourd’hui le dispositif d’alerte qui, en « sautant », marque clairement le danger. Et l’on peut désormais considérer que les milliers de systèmes informatiques qui ont « sauté » ce week-end sont nos canaris involontaires : leur faiblesse extrême les a rendus utiles, à l’image du canari qui meurt à des concentrations de monoxyde de carbone encore supportables par les humains. Il signale ainsi qu’il est temps de quitter la mine. Si ces systèmes sont morts, c’est que l’air de nos réseaux commence à être vicié. Et si l’on continue à avancer sans tirer les leçons de cet incident, nous serions alors semblables à des mineurs qui ignoreraient la mort de leur canari, sachant que la concentration de monoxyde de carbone est encore trop faible pour les tuer. Pour l’instant.

Rendons donc hommage à ces vieux systèmes non corrigés et aujourd’hui verrouillés : leur sacrifice bien involontaire doit conduire à une réaction énergique et volontaire. Puisqu’il n’est plus possible de sortir de la mine, la seconde meilleure option est encore d’élever sérieusement le niveau de protection de nos réseaux et de nos entreprises. Les canaris virtuels ont identifié précisément des points de vulnérabilités soigneusement ignorés jusqu’à présent : ces fameuses zones fragiles qui, au pire, étaient inconnues et au mieux que personne ne voulait toucher lors des audits, parce que « on ne peut pas prendre le risque de tout casser, c’est de la prod, quand même ».

Et bien maintenant que tout est cassé, il est temps de renforcer. WannaCrypt a ainsi réalisé ce qu’aucun consultant en sécurité n’a eu l’opportunité de réaliser (et pour cause !). Il serait dommage de ne pas en tirer le bénéfice.

L'impertinence de l'isotope

Un traceur radioactif, ensuite. Il est courant en médecine, mais aussi dans le domaine des travaux public, d’ajouter des isotopes radioactifs à une substance afin de pouvoir en suivre le cheminement à l’aide d’un détecteur adéquat. Cela permet de tracer avec précision, par exemple, le chemin suivi par l’eau sous une structure de béton ou par divers fluides dans le corps humain. WannaCrypt a joué exactement le même rôle au sein de nos réseaux : son cheminement marque la route vers nos points les plus sensibles, vers ces machines industrielles ou médicales que l’on pensait déconnectées ou dont l’on ignorait même que l’arrêt pouvait avoir un impact aussi critique (des patients qui ne peuvent plus être identifiés au sein d’un hôpital ou une chaîne d’assemblage de véhicules, par exemple).

Les analyses post-mortem qui vont suivre seront probablement riches en enseignement : WannaCrypt, à l’image d’un isotope radioactif, va nous montrer comment un email arrivé sur le poste de travail du stagiaire au siège peut provoquer un arrêt de production dans l’usine. Comment, par le biais de réseaux pas si étanches que ça, de partages de fichiers un peu trop mutualisés ou de droits utilisateurs un peu trop relâchés, il est possible de tracer une route d’un point A non-critique à un point B parfaitement critique.

Et cette route n’est pas seulement jalonnée d’éléments techniques : il est probable que l’on se rende compte de la forte composante humaine à l’oeuvre dans de telles infections, qu’il s’agisse du lien sur lequel il a fallu cliquer ou de la clé USB personnelle qui a fait la navette entre deux systèmes qui n’auraient jamais dû se rencontrer. Cet incident doit ainsi être aussi vécu comme une excellente motivation pour créer ou renforcer une véritable culture de la sécurité au sein des organisations. Il y a bien entendu le besoin de sensibilisation, toujours fort (hasard du calendrier : l’un de mes Serious Games qui prend pour thème l’infection par un ransomware au sein d’un hôpital était présenté au MedTech de Dubai le mois dernier, où nous avons pu constater le fort besoin de sensibilisation sur le sujet). Mais au delà de la seule sensibilisation, l’épidémie WannaCrypt doit être le révélateur des besoins de « soft skills » et des sciences molles au sein de la cybersécurité : communication, juridique, sciences comportementales : toutes sont essentielles à la création et surtout à l’animation dans le temps d’une véritable culture de la sécurité

Alors, en ce lundi chaotique, et avant de retourner en cellule de crise, on respire et on prend le temps de se souvenir que toute crise est une opportunité. Et celle-ci est une belle crise.

(*) Sans oublier le titre spécial du lundi matin : « Attention à la reprise du travail lundi matin », mais celui-ci pourrait être fait tous les lundis, alors ça ne compte pas.  

Lire les articles précédents :
Bug Butter : la plateforme collaborative de mise en relation entre pirates et forces de l’ordre

La plateforme Bug Butter met en relation pirates et membres des forces de l'ordre autour d'une place de marché d'informations...

Fermer