Agé de 22 ans, ce chercheur cybersécurité du sud-ouest de l’Angleterre a réussi à stoppé la progression du logiciel malveillant en achetant un nom de domaine. De nombreux pays craignent encore une récidive.
Une centaine de pays ont été frappés par une cyberattaque d’ampleur mondiale durant le week-end. La progression du virus a toutefois été freinée grâce à l’action de ce chercheur cybersécurité du sud-ouest de l’Angleterre. Aidé par son ami Darien Huss, le jeune homme de 22 ans connu par son pseudo MalwareTech a accidentellement trouvé comment actionner un mécanisme d’autoblocage du virus. Alors que logiciel malveillant de type "rançongiciel" demandait une rançon en monnaie virtuelle pour le débloquer, il a simplement acheté le nom de domaine. Nommé WanaCrypt0r 2.0, le virus a paralysé une partie des hôpitaux au Royaume-Uni, mais a également touché le constructeur français Renault.
Interrogé par le Guardian, Malwaretech a expliqué qu’il est tombé sur plusieurs articles sur la NHS, le système de santé anglais. Les textes parlaient des institutions touchées par la vague de cyberattaque mondiale. Après avoir analysé la situation, il a compris qu’un modèle de virus qui se connectait à un domaine spécifique n’était pas utilisé. "Donc je l’ai acheté, ne sachant pas ce que cela ferait à ce moment-là", a-t-il confié. Son achat de 10,69 dollars (9,77 euros) avait pourtant permis de stopper la progression du virus qui a endommagé près de 75 000 ordinateurs. "Mon but était simplement de surveiller la propagation et voir si on pourrait faire quelque chose plus tard. Mais on a vraiment arrêté la diffusion en achetant le domaine", a-t-il poursuivi sur le récit du site Slate.fr.
MalwareTech, employé d’une entreprise spécialisée en renseignements à Los Angeles, était en vacances au moment du piratage. Les ordinateurs infectés n’ont pas été réparés, mais au moins il a réussi à éviter que le logiciel malveillant n’atteigne une centaine de milliers d’autres machines. La crainte n’est cependant pas écartée pour de nombreux employés. "J’ai peur qu’ils continuent quand les gens vont se rendre au travail et allumer leur machine lundi matin", a confié Rob Wainwright le directeur d’Europol.
#WannaCry propagation payload contains previously unregistered domain, execution fails now that domain has been sinkholed pic.twitter.com/z2ClEnZAD2
— Darien Huss (@darienhuss) 12 mai 2017