Une récente cyberattaque internationale, basée sur le logiciel malveillant WannaCry / WannCrypt a affecté plus de 200 000 ordinateurs dans 150 pays d’après Europol, bloquant l’accès aux données des victimes tant qu’une rançon en Bitcoins n’est pas payée.

Parmi les victimes les plus éminentes : FedEx, Renault, Telefónica, des universités chinoises, le transport ferroviaire allemand, le ministère de l’intérieur russe, et de nombreux hôpitaux anglais.

La particularité de cette vague d’attaque est l’utilisation de vulnérabilités jour zéro stockées par la NSA, qui ont été piratées puis rendues publiques par un groupe appelé Shadow Brokers (les courtiers de l’ombre).

Elles exploitent une vulnérabilité de Windows pour laquelle Microsoft avait pourtant publié un correctif en mars, téléchargeable par simple Windows Update.

Certaines organisations prennent plus de temps que les autres pour installer les mises à jour, soit par paresse coupable, soit parce que les mises à jour sont testées avant d’être distribuées et installées.

On a pu constater à nouveau ces derniers jours, à quel point les hôpitaux sont sensibles à ce type de logiciels malveillants, n’installant pas ou rarement les mises à jour. Le blocage de l’infrastructure informatique d’un hôpital peut avoir des conséquences désastreuses sur la santé des patients et le traitement des urgences.

La plupart du temps, les établissements de santé victimes de rançongiciels n’ont d’autre choix que de payer la rançon en espérant que le rançonneur tienne sa parole et débloque l’accès aux données.

Brad Smith, le président et directeur juridique de Microsoft, a rappelé à cette occasion que Microsoft emploie 3 500 ingénieurs affectés à la sécurité, et critique à nouveau les agences de renseignement qui stockent les vulnérabilités logicielles, afin de pouvoir les utiliser quand bon leur semble dans une attaque. Au lieu d’en informer les éditeurs de logiciels afin qu’ils puissent corriger leurs systèmes avant que quelqu’un ait pu profiter de la faille.

Une situation aggravée quand l’agence étatique est incapable de se protéger des pirates, et se fait voler ces vulnérabilités jour zéro. Pour Smith, c’est l’équivalent de l’armée américaine se faisant voler des missiles Tomahawk.

Il réitère donc son appel aux gouvernements afin qu’ils se mettent d’accord sur une Convention de Genève numérique, qui interdise le stockage, la vente et l’utilisation des vulnérabilités logicielles, et impose leur dévoilement aux vendeurs.