Passer au contenu

Le « héros » anglais qui a arrêté WannaCrypt récompensé par un an de pizzas gratuites

L’histoire est désormais bien connue, c’est grâce à un hacker anglais connu sous le pseudonyme MalwareTech que le ransomware WannaCrypt a connu un coup d’arrêt brutal. Désormais considéré par bien des internautes comme un « héros » (un peu malgré lui), MalwareTech a été récompensé par différentes sociétés. Outre 10 000 dollars provenant d’une association dédiée à la sécurité informatique, un Alloresto anglais lui a également promis un an de pizzas gratuites.

Un anonyme (mais qui n’est pas MalwareTech) mangeant une pizza devant son PC. Crédit image :

Petit rappel des faits. Vendredi dernier un ransomware nommé WannaCrypt a infecté à une vitesse incroyable des ordinateurs un peu partout dans le monde. Utilisant des failles de la NSA rendue publique par le groupe Shadow Broker (nous vous renvoyons à notre article « La NSA est-elle responsable du ransomware WannaCry ? » que nous avons publié hier pour plus de détails), ce ransomware a pris de court de nombreuses entreprises au début de la semaine et a forcé, par exemple, Renault a fermé ses usines lundi dernier le temps de trouver une solution.

Il achète un nom de domaine et stoppe l’infection mondiale

WannaCry (ou WanaCrypt0r 2.0, ou WannaCrypt) a pourtant été fortement ralentie en début de semaine grâce à l’action d’un hacker anglais surnommé MalwareTech sur Twitter. En fouillant dans le code du ransomware, ce dernier a trouvé une adresse web étrange et très précise : iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Sans réfléchir, il a alors acheté le nom de domaine. Quelques minutes après, il s’aperçoit que l’infection a ralenti considérablement.

Voici ce qu’affiche le ransomware Wannacry sur les ordinateurs infectés.

En fait, cette adresse était une mesure de sécurité mise en place par les développeurs du malware. À chaque infection d’un nouvel ordinateur, WannaCry vérifiait que le site web en question existait. S’il n’existait pas, il infectait de nouveaux PC, chiffrait les fichiers des PC et demandait une rançon. Si le site répondait, il arrêtait immédiatement. Grâce à l’achat de ce nom de domaine (qui lui a coûté un peu moins de 10 euros), MalwareTech a probablement sauvé des milliers de PC.

10 000 dollars de récompense et un an de pizzas gratuites

De MalwareTech, on ne sait pas d’ailleurs pas grand-chose. Sur son compte Twitter, ce hacker anglais indique vouloir rester anonyme pour des raisons de sécurité. C’est tout juste s’il a indiqué travailler actuellement dans une société de sécurité informatique (Kryptos Logic), être jeune et ne posséder aucun diplôme.

Cela ne l’empêche pas d’être plutôt bavard sur son compte Twitter. Hier, par exemple, on a appris que l’association HackerOne l’avait récompensé avec une somme de 10 000 dollars pour avoir mis un coup d’arrêt à WannaCry. MalwareTech a alors indiqué qu’il redistribuera l’argent entre des associations caritatives et d’éducation. Et de préciser qu’il achètera également des livres sur la sécurité informatique qu’il donnera à des étudiants qui n’ont pas les moyens d’en acheter. C’est d’ailleurs par ce moyen qu’il a acquis ses compétences en informatique.

Dernier point, et c’est sûrement le plus insolite de cette histoire, la société Just Eat UK – un équivalent d’Alloresto anglais – a aussi décidé de le récompenser, mais à sa manière. Elle lui offre en effet un an de pizzas gratuites. Une happy end comme on aimerait en voir plus souvent.

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

8 commentaires
  1. “En fait, cette adresse était une mesure de sécurité mise en place par les développeurs du malware. À chaque infection d’un nouvel ordinateur, WannaCry vérifiait que le site web en question existait”

    quelqu’un peut m’expliquer en quoi la vérification de l’existence d’un site web contribue à une quelconque sécurité?

    1. Bah concrètement, afin de permettre d’arrêter la propagation d’un virus autonome, qui se réplique et se propage tout seul d’un ordinateur à un autre, tu ajoute dans la routine de propagation une condition sur une requête qui tente d’accéder à un site improbable.

      Tant que ce site n’existe pas le virus continue sa routine de propagation.

      Si le site existe alors arrêter la routine de propagation.

      Comme ça il me suffit de créer le site pour stopper la propagation du virus au cas où il deviendrait “incontrôlable”.

      1. en plus de l’aspect “kill switch” que tu soulignes, l’article linké par Benjamin permet d’en savoir un peu plus sur cette pratique.

        Il semblerait que l’implémentation de ce style de pattern permette aux “virus/malware” de moins facilement se faire analyser lorsqu’ils sont sous le microscope d’un environnement de test “sandbox”.

        En gros (si erreur corrigez moi), l’analyse/execution dans une sandbox fait que les requetes réseau du code sous analyse vont être résolues par la sandbox plutot que par un DNS externe (d’où le concept de sandbox), et que par conséquent, si le malware fait voit ses requetes vers des noms de domaines improbables résolues/redirigées, il pensera être en train de se faire observer à la loupe, et stoppera ses activités pour ne fournir le moins d’infos possible à la sandbox qui l’analyse.

  2. “Un anonyme (mais qui n’est pas MalwareTech) mangeant une pizza devant son PC. Crédit image : Anne Helmond”

    Ok les gars … mdrrrrr

Les commentaires sont fermés.

Mode