Depuis le 7 mai, Baltimore se bat contre un ennemi invisible qui a utilisé une arme développée par les services américains de renseignement pour prendre la ville en otage. Les services municipaux sont partiellement paralysés à cause d’un virus informatique qui bloque l’accès aux ordinateurs, et le maire refuse de payer une rançon de 100 000 dollars lui permettant de ne plus être à la merci de ces cyberpreneurs d’otages.

Les habitants de la ville ne peuvent plus payer leurs amendes ou certaines factures en ligne, enregistrer des transactions immobilières ou encore recevoir des notifications par e-mail des services municipaux. Les cybercriminels ont utilisé un “rançongiciel” (virus qui bloque l’accès à l’ordinateur infecté jusqu’à paiement d’une rançon) baptisé RobinHood, qui avait aussi servi à prendre la ville d’Atlanta en otage en mars 2018. Mais surtout, les pirates informatiques ont pris le contrôle à distance du système informatique municipal pour y installer leur virus, grâce à EternalBlue, un outil redoutable développé par la NSA, a affirmé le New York Times, vendredi 25 mai. Le même modus operandi aurait aussi été utilisé dans d’autres villes américaines comme Allentown (Pennsylvanie) ou San Antonio (Californie). Une révélation contestée par la NSA.

De WannaCry à Baltimore

EternalBlue est devenu, en deux ans, l’un des principaux cauchemars des experts en cybersécurité. Elle n’aurait jamais dû quitter l’enceinte de l’agence américaine de cyberespions, mais une fuite massive, en août 2016, a mis la plupart des outils de la NSA à disposition du premier cybercriminel venu.

Les conséquences de ce raté ne se sont pas fait attendre. EternalBlue avait pour la première fois fait la une des médias en mai 2017, à l’occasion de l’attaque retentissante WannnaCry. Des pirates informatiques avaient installé ce “rançongiciel” sur le système informatique de près de 200 000 entreprises et organisations dans le monde, dont Hitachi, des hôpitaux aux États-Unis et des commissariats de police en Chine. Les cybercriminels avaient pu prendre le contrôle des ordinateurs pour y installer WannaCry grâce à l’outil de la NSA.

L’affaire avait suscité des appels tous azimuts – de Microsoft, des États – à mettre à jour les ordinateurs pour les protéger contre EternalBlue. Force est de constater, deux ans plus tard, que ces conseils n’ont pas été largement suivis. “Les attaques cherchant à exploiter cette faille des anciennes versions de Windows ont continué d'augmenter au fil des ans avec des centaines de milliers de tentatives d’intrusions par jour actuellement”, affirme Ondrej Kubovic, un expert de la société slovaque de cybersécurité Eset, dans un billet de blog consacr à EternalBlue. “Lors de l’écriture de cet article, il y a deux semaines, j’avais comptabilisé un peu plus de 900 000 ordinateurs vulnérables à une telle attaque, actuellement, il y en a plus d’un million dans le monde, dont environ 11 000 en France”, précise ce spécialiste à France 24.

Depuis WannaCry, "EternalBlue se retrouve dans l’arsenal offensif, aussi bien pour des cybercriminels à la recherche de profits que pour des agences de renseignement”, explique Ondrej Kubovic. Cet outil a servi à monter des arnaques aux cryptomonnaies, a été utilisé par un groupe de pirates informatiques russes en Ukraine, par des cyberespions iraniens et chinois au Moyen-Orient et probablement aussi par les Nord-Coréens, suspectés d’être à l’origine du virus WannaCry.

Efficace et facile à utiliser

“Sa force vient de son efficacité et de sa simplicité d’utilisation”, explique Gérôme Billois, expert en cybersécurité au cabinet Wavestone, contacté par France 24. Il permet de prendre le contrôle d’un ordinateur à distance “sans aucune intervention de l’utilisateur ciblé”, précise ce spécialiste. Un avantage incontestable sur la plupart des logiciels malveillants similaires qui nécessitent, par exemple, que la victime ouvre un e-mail contenant le virus ou se rende sur un site infecté. Les cybercriminels du monde entier ont pu profiter “d’un outil que la NSA a mis sept ans à peaufiner”, confirme Ondrej Kubovic. L’expert slovaque précise qu’EternalBlue a été développé de telle sorte qu’il suffit de trouver un ordinateur vulnérable dans un réseau d’entreprise “pour pouvoir facilement ensuite prendre le contrôle de tout le système”.

La popularité de cet outil illustre aussi une sécurité informatique à deux vitesses. Les multinationales ou les organisations les plus riches ont, grâce à leurs ressources, eu le temps de mettre à jour tout leur système informatique. Ce n’est pas forcément le cas des institutions plus modestes ou en manque chronique de fonds d’un grand nombre de villes américaines. “Les systèmes informatiques sont souvent tentaculaires et il suffit d’un vieil ordinateur pas mis à jour pour qu’une attaque exploitant la faille EternalBlue aboutisse”, explique Gérôme Billois.

Conclusion, les cybercriminels préfèrent s’attaquer à des institutions financièrement plus fragiles, qui n’ont probablement pas les moyens de payer de fortes rançons, et donc susceptibles d’être vulnérables, note la société américaine de sécurité informatique Secured Future, dans une étude d’une centaine de cyber-prises d’otages aux États-Unis. Il s’agit souvent de villes très endettées, d’écoles ou de services de police dans des zones où les populations ont, “justement davantage besoin que dans des villes riches de services publics qui fonctionnent”, écrivent les experts de Recorded Future. Ce coût social caché est l’une des raisons pour laquelle Thomas Rid, un expert en sécurité informatique à l’université Johns-Hopkins, juge, dans le New York Times, que “la perte par la NSA d’EternalBlue est probablement l’incident de sécurité le plus coûteux et destructeur de l’histoire de cette agence de renseignements”.