Vers 2h30 ce vendredi après-midi, Marcus Hutchins est revenu après avoir pris le déjeuner dans sa boutique de poisson-frites locale à Ilfracombe, s’est assis devant son ordinateur et a découvert qu’Internet était en feu. « J’ai choisi une putain de semaine pour partir au travail », a écrit Hutchins sur Twitter.

En quelques minutes, un pirate informatique qui s’appelait Kafeine a envoyé à Hutchins une copie du code de WannaCry, et Hutchins a commencé à essayer de le disséquer, son déjeuner toujours assis devant lui. Tout d’abord, il a fait tourner un ordinateur simulé sur un serveur qu’il a exécuté dans sa chambre, avec de faux fichiers que le ransomware doit chiffrer, et a exécuté le programme dans cet environnement de test en quarantaine. Il a immédiatement remarqué qu’avant de crypter les fichiers leurres, le malware envoyait une requête à une certaine adresse Web très aléatoire: iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

Cela a frappé Hutchins comme significatif, sinon inhabituel: lorsqu’un logiciel malveillant renvoyait à ce type de domaine, cela signifiait généralement qu’il communiquait avec un serveur de commande et de contrôle quelque part qui pourrait donner des instructions à l’ordinateur infecté. Hutchins a copié cette longue chaîne de sites Web dans son navigateur Web et a découvert, à sa grande surprise, qu’il n’existait aucun site de ce type.

Il a donc rendu visite au registraire de domaine Namecheap et, à quatre secondes après 15 h 08, a enregistré cette adresse Web peu attrayante au coût de 10,69 $. Hutchins espérait que ce faisant, il pourrait voler le contrôle d’une partie de la horde d’ordinateurs victimes de WannaCry loin des créateurs du malware. Ou au moins, il pourrait obtenir un outil pour surveiller le nombre et l’emplacement des machines infectées, un geste que les analystes de logiciels malveillants appellent «sombrer».

Image De L'Article

Effectivement, dès que Hutchins a configuré ce domaine sur un cluster de serveurs hébergés par son employeur, Kryptos Logic, il a été bombardé de milliers de connexions depuis chaque nouvel ordinateur infecté par WannaCry dans le monde entier. Hutchins pouvait désormais voir l’énorme échelle mondiale de l’attaque. Et alors qu’il tweetait sur son travail, il a commencé à être inondé de centaines de courriels d’autres chercheurs, journalistes et administrateurs système essayant d’en savoir plus sur la peste dévorant les réseaux mondiaux. Avec son domaine de gouffre, Hutchins récupérait maintenant soudainement des informations sur ces infections que personne d’autre sur la planète ne possédait.

Publicité

Pendant les quatre heures suivantes, il a répondu à ces e-mails et a travaillé frénétiquement pour déboguer une carte qu’il était en train de construire pour suivre les nouvelles infections apparaissant dans le monde, tout comme il l’avait fait avec Kelihos, Necurs et tant d’autres réseaux de zombies. À 18h30, environ trois heures et demie après l’enregistrement du domaine par Hutchins, son ami pirate Kafeine lui a envoyé un tweet posté par un autre chercheur en sécurité, Darien Huss.

Le tweet a présenté une déclaration simple et concise qui a choqué Hutchins: « L’exécution échoue maintenant que le domaine a été englouti. »

En d’autres termes, depuis que le domaine de Hutchins était apparu pour la première fois en ligne, les nouvelles infections de WannaCry avaient continué de se propager, mais elles n’avaient en fait pas fait de nouveaux dégâts. Le ver semblait être neutralisé.

Le tweet de Huss comprenait un extrait du code de WannaCry qu’il avait rétroconçu. La logique du code a montré qu’avant de crypter les fichiers, le logiciel malveillant vérifiait d’abord s’il pouvait atteindre l’adresse Web de Hutchins. Sinon, il a continué à corrompre le contenu de l’ordinateur. S’il atteignait cette adresse, il s’arrêtait tout simplement. (Les analystes de logiciels malveillants débattent toujours de l’objectif de cette fonctionnalité, qu’elle soit conçue comme une technique d’évasion antivirus ou une sauvegarde intégrée au ver par son auteur.)

Hutchins n’avait pas trouvé l’adresse de commande et de contrôle du logiciel malveillant. Il avait trouvé son kill switch. Le domaine qu’il avait enregistré était un moyen de désactiver simplement et instantanément le chaos de WannaCry dans le monde entier. C’était comme s’il avait tiré deux torpilles à protons à travers l’orifice d’échappement de l’étoile de la mort et dans le cœur de son réacteur, qu’il l’avait fait exploser et avait sauvé la galaxie, le tout sans comprendre ce qu’il faisait ni même remarquer l’explosion pendant trois heures et demie.

.

Rate this post
Publicité
Article précédentUn ancien employé de Rockstar Games s’associe à PUBG Mobile Devs pour créer des jeux de nouvelle génération
Article suivantMarché Humira par application, type et région pour les prévisions – 2020 à 2024 – 3w Market News Reports
Avatar De Violette Laurent
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici