L'informaticien qui a permis d'endiguer le virus WannaCry

L'informaticien qui a permis d'endiguer le virus WannaCry
Source : Sciencesetavenir.fr
19/05/2017 13:01

Un blogueur britannique en cybersécurité de 22 ans a réussi a stopper la propagation du virus informatique WannaCry, grâce à un peu d'intuition et beaucoup de chance. Voici comment.

HÉROS. Marcus Hutchins a tout de l'homme providentiel. Ce Britannique de 22 ans a réussi à ralentir l'attaque informatique WannaCry, qui a touché 300.000 postes informatiques dans le monde cette semaine. Et ce presque par hasard, grâce à une intuition gagnante. Désormais, le nombre de machines contaminées n'augmente quasiment plus. Le 13 mai 2017, il relatait l'historique de sa fortuite découverte sur son site internet, Malware Tech. Une histoire cocasse, car elle repose sur une imprécision technique des pirates ayant écrit le code source du malware. Explications.

Une opération low-cost à 10,69 dollars pour réserver un nom de domaine

Comme l'explique le jeune homme sur son blog, il parvient à se procurer un échantillon du code-source du programme malveillant (malware) avec l'aide d'un chercheur en cybersécurité. Lorsqu'il cherche à l'exécuter dans un environnement de test contrôlé (c'est-à-dire sur une machine spécialement configurée pour tracer toutes les actions du logiciel, et notamment ses appels au réseau extérieur), il réalise rapidement que le malware cherche à se connecter... à un nom de domaine improbable (jugez en plutôt : iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea point com) mais surtout inexistant. Intrigué, Marcus Hutchins achète le nom de domaine, pour la modique somme de 10,69 dollars. Conséquence inattendue : l'attaque cesse de faire de nouvelles victimes.

ASTUCE. Mais pourquoi inclure une requête vers un nom de domaine inexistant ? Les pirates ne sont pas stupides : en fait, leur intention initiale était de duper les chercheurs en cybersécurité, et plus particulièrement les outils informatiques utilisés pour étudier le fonctionnement des virus, en les exécutant en environnement contrôlé et isolé. L'objectif, pense le Britannique : "Dans certains environnements de tests, les appels extérieurs vers les noms de domaine ne sont pas effectués, l'ordinateur considère qu'ils existent dans tous les cas", écrit-il. De quoi savoir, pour le code malveillant, s'il est exécuté sur une machine infecté ou par un bidouilleur en informatique... Et dans le second cas, de fermer le programme de façon anticipée afin d'éviter de révéler plus d'informations sur son fonctionnement. ...

 

 


Recherche
En bref Voir plus


Les articles les plus lus
Buzz
Newsletter
Conformément à la loi 09-08, vous disposez d’un droit d’accès, de rectification et d’opposition au traitement de vos données personnelles.
Ce traitement a été autorisé par la CNDP sous le n°……

*: champ obligatoire

Météo

En poursuivant votre navigation sur notre site internet, vous acceptez que des cookies soient placés sur votre terminal. Ces cookies sont utilisés pour faciliter votre navigation, vous proposer des offres adaptées et permettre l'élaboration de statistiques. Pour obtenir plus d'informations sur les cookies, vous pouvez consulter notre Notice légale