Wannacry met au chômage technique une usine Honda au Japon

Jacques Cheminat,

Un mois après la crise WannaCry, Honda a fermé temporairement une de ses usines au Japon, victime à retardement du ransomware.

Il y a d’abord les faits : lundi dernier, Honda a fermé temporairement l’usine de Sayama au Japon. La raison de cette fermeture ? La détection du ransomware WannaCry dans les systèmes informatiques de l’usine. L’épisode a été rapporté par Reuters.

Une fois ces faits connus, il y a maintenant les interrogations. WannaCry a mené sa campagne néfaste à la mi-mai en utilisant une vulnérabilité dans le service SMB de Windows, provenant des outils de la NSA livrés par le groupe Shadow Brokers. Or, depuis plus d’un mois, les sociétés ont été invitées par Microsoft notamment à appliquer en urgence des correctifs y compris pour les systèmes sous Windows XP, particulièrement visés.

On se souvient aussi que l’attaque avait été contenue grâce à la découverte par un jeune hacker, Malaware Tech, d’un processus de kill switch, une sécurité imaginée par les développeurs du ransomworm probablement afin d’éviter les analyses par les systèmes de sécurité basés sur des sandbox. Or, les spécialistes de la sécurité craignent toujours l’apparition d’une déclinaison de WannaCry sans kill switch, une mouture par essence plus difficile à bloquer.

Plusieurs théories pour la propagation

Dans le cas de l’usine de Sayama, plusieurs théories s’affrontent pour expliquer cette infection à retardement. Pour Malware Tech et d’autres experts, le ransomworm aurait été amené par des employés de Honda à travers des PC portables infectés par une version neutralisée de WannaCry, les PC ayant ensuite été intégrés sur des réseaux offline de Honda. Ne disposant pas d’un accès à Internet et ne pouvant pas se connecter au domaine du kill switch, le virus s’est propagé sur des systèmes encore vulnérables.

Une autre théorie penche pour une propagation à travers les proxys que Honda déploie pour gérer son trafic interne.  WannaCry n’étant pas configuré pour gérer les proxys, il ne peut donc pas se connecter au domaine du kill switch et poursuit ainsi son travail de chiffrement des fichiers sur les PC.

Malware Tech constate encore 200 000 visites quotidiennes sur le domaine du kill switch qu’il avait déposé pour endiguer le virus. Cela montre que le malware continue d’infecter des PC tous les jours, sans pour autant chiffrer les fichiers, et que des entreprises n’ont toujours pas corrigé les failles SMB au sein de leur système d’information.

A lire aussi :

WannaCry : le ransomware qui n’a plus besoin du phishing

WannaCry : des millions de machines infectées ?

Photo credit: portalgda via Visual Hunt / CC BY-NC-SA