Un doctorant a créé un outil pour casser le chiffrement du rançongiciel Avaddon. Problème : il a détaillé quelle vulnérabilité son outil exploitait, ce qui a permis aux cybercriminels de la réparer.

Eh oui, les cybercriminels lisent aussi la presse et les publications de recherche. Le doctorant espagnol Javier Yuste de l’université Rey Juan Carlos de Madrid retiendra la leçon, après sa mésaventure repérée par ZDNet. Le 9 février, l’étudiant a publié sur GitHub (la plateforme de dépôt de code la plus utilisée) un outil pour contrer le rançongiciel Avaddon.

Il a découvert que si la victime vidait la mémoire vive (RAM) d’un appareil infecté, elle pouvait fouiller dans son contenu pour en extirper des morceaux de la clé de chiffrement utilisée par les cybercriminels. Son outil exploite ces informations pour inverser le chiffrement appliqué par les cybercriminels.  Seul limite de la combine : elle ne fonctionne plus si les victimes ont éteint les machines infectées, car les données liées à la session disparaissent.

Un décrypteur peut faire voler en éclat le modèle économique des cybercriminels. // Source : Christoph Meinersmann/Pixabay

Javier Yuste pensait avoir bien fait : il a publié l’outil gratuitement, avec un tutoriel, et l’a rendu accessible au plus grand nombre. Grâce à lui, des victimes infectées par Avaddon ont pu récupérer leurs fichiers chiffrés. Mieux, l’outil aurait pu permettre de mettre un coup d’arrêt, au moins temporaire, à l’activité des cybercriminels.

Mais 2 jours après la publication de l’outil, les développeurs d’Avaddon ont déjà réparé la faille. Puisque le doctorant avait détaillé la vulnérabilité, les cybercriminels n’ont même pas eu besoin de la chercher pour la corriger. Autrement dit, le doctorant a participé malgré lui à une amélioration du malware, et son décrypteur n’a plus aucune utilité pour les victimes à venir d’Avaddon. Ce genre d’erreur est malheureusement récurrent : début janvier, l’entreprise BitDefender avait publié un décrypteur pour le rançongiciel Darkside, et là aussi, les malfrats s’étaient ajustés dans les jours suivants.

Le décrypteur, seule bonne échappatoire au rançongiciel

L’utilisation d’un décrypteur est, de loin, la meilleure option contre un rançongiciel, car elle permet de restaurer les données dans un délai réduit. Non seulement les victimes n’ont pas à payer la rançon — qui peut s’élever à plusieurs dizaines de millions d’euros — demandée par les cybercriminels, mais en plus, elles évitent les coûts encore plus importants liés à l’arrêt de leur production causée par le rançongiciel.

Grâce à la création de décrypteurs, certains gangs sont contraints d’arrêter leur activité, car leur modèle économique entier s’écroule. Michael Gilespie, aka demonslayer335, a développé des dizaines d’outils du genre, disponibles gratuitement sur le site du Bleeping Computer. Lorsqu’un groupe de cybercriminels prend sa retraite et publie ses clés de chiffrement, tout le monde de la cybersécurité se tourne vers lui, dans l’attente de son décrypteur. D’autres sites, comme No More Ransom, ou celui d’Emsisoft en mettent également à disposition.

Plutôt que de présenter publiquement le décrypteur, plusieurs experts du secteur conseillent de le diffuser aux victimes par des canaux privés en s’appuyant sur les entreprises de réponse à incident ou les communautés d’aide au victime. Ainsi, même si les cybercriminels prennent connaissance de l’existence d’un décrypteur, ils devront identifier eux-mêmes la vulnérabilité de leur malware. Et si les développeurs tiennent absolument à publier leur décrypteur, certains experts conseillent d’au moins ne pas divulguer les détails techniques de son fonctionnement. Reste que les malfaiteurs pourraient télécharger l’outil pour faire un travail de rétro-ingénierie et comprendre les vulnérabilités qu’il exploite.

Avaddon forcé de rassurer ses partenaires

Les développeurs d’Avaddon ont tout de même pris un coup, et ils ont dû prendre des mesures pour rassurer leurs partenaires. Concrètement, les créateurs du rançongiciel fournissent de petits groupes de hackers avec leur outil, et ces derniers se chargent d’infecter les victimes. En temps normal, les développeurs gardent entre 25 % et 35 % du montant de chaque rançon et laissent le reste à leurs partenaires.

Ces partenaires de crime peuvent travailler pour plusieurs groupes à la fois, mais ils vont généralement vers le gang qui propose les meilleurs outils et la répartition des gains la plus avantageuse. Si un décrypteur existe pour le rançongiciel qu’ils utilisent, ils n’auront aucune chance de faire payer les rançons, et ils rejoindront un gang concurrent.

La découverte du décrypteur a pu les faire douter sur la solidité d’Avaddon, et donc pour éviter qu’ils s’en aillent, les développeurs ont augmenté la répartition des gains en leur faveur : les hackers pourront garder 80 % de leurs gains pour tout le mois à venir. Ils peuvent remercier l’étudiant.

Crédit photo de la une : Les 12 travaux d'Astérix

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux