Brad Smith, le président et directeur des affaires juridiques de Microsoft,  appelle à une « Convention de Genève Numérique » pour contraindre les Etats à partager les failles découvertes dans les logiciels.

« La conjonction de l'action de l'État-nation et de l'action de la criminalité organisée »

Microsoft a été conduit à confirmer qu'une vulnérabilité (SMB) concernant ses logiciels Windows XP, Windows Server 2008 et Windows 8 a affecté ses clients dans le monde.

La propagation depuis vendredi dernier du ransomware WannaCry dans de nombreux pays est considérée par l’éditeur comme un exemple évident des problèmes causés par le stockage de vulnérabilités logicielles par les gouvernements.

ð L’outil d’intrusion développé par la NSA à partir de cette faille a été dérobé et publié par les hackers du groupe « Shadow Brokers ».

Le président et directeur des affaires juridiques de Microsoft, Brad Smith, a indiqué sur le blog de l’éditeur que les gouvernements doivent « considérer les dommages causés aux personnes par l'accumulation de ces vulnérabilités et l'utilisation de ces exploits. »

Windows XP, Server 2003 et Windows 8 concernés.  

Le ransomware, également appelé WannaCryt ou WannaCryptor, fonctionne en exploitant une vulnérabilité SMB dans d'anciennes versions de Windows grâce à un outil de piratage baptisé EternalBlue et volé à la NSA.

Microsoft confirme que les exploits de WannaCry utilisés lors de l'attaque du vendredi 12 mai sont issus des exploits volés à la NSA.

Dans un tweet, Edward Snowden souligne : « Jusqu'à l'attaque de ce week-end, Microsoft refusait de le confirmer officiellement, alors que le gouvernement américain refusait de confirmer ou de nier que c'était son exploit ».

ð Le 14 mars, la société a publié une mise à jour de sécurité pour corriger cette vulnérabilité à destination de ses versions d'OS encore supportées.

« Alors que des systèmes et ordinateurs Windows plus récents et protégés avaient permis à Windows Update d'appliquer cette dernière mise à jour, de nombreux ordinateurs sont restés vulnérables à l'échelle mondiale », a déclaré Brad Smith.

« En conséquence, des hôpitaux, des entreprises, des gouvernements et des ordinateurs chez des particuliers ont été touchés ».

Ce week-end, Microsoft a été obligé de déployer en urgence un patch pour Windows XP, Windows Server 2003 et Windows 8, dont le support n’est plus assuré par Microsoft mais sur abonnement par certaines entreprises.

Une autre vague d'attaques  pas exclue !

Les experts en sécurité dont Guillaume Poupart de l’Anssi estiment qu'une seconde vague d'attaques n’est pas exclue.

Les pirates pourraient également revenir en arrière avec une variante du ransomware débarrassée du verrou (le nom de domaine) stoppant la propagation du malware trouvé par le chercheur connu sous le pseudonyme MalwareTech.

« La version 1 de WannaCry était stopable, mais la version 2.0 supprimera probablement le défaut. Vous n'êtes en sécurité que si vous patchez le plus tôt possible », indique le chercheur sur son compte Twitter.

Pour une « Convention de Genève Numérique »

En février dernier Microsoft a appelé à une « Convention de Genève Numérique » établissant les règles de protection des utilisateurs contre les cyber-attaques des États, avec notamment l’obligation pour les gouvernements de signaler les vulnérabilités aux fournisseurs plutôt que de les stocker, de les vendre ou de les exploiter.

« Nous avons vu des vulnérabilités stockées par la CIA apparaître sur WikiLeaks, et maintenant cette vulnérabilité volée à la NSA a touché des clients à travers le monde » indique Brad Smith.

Les exploits dans les mains des gouvernements se sont déjà diffusés à plusieurs reprises dans le domaine public et ont causé des dégâts importants indique Brad Smith.

Et celui- ci de comparer les fuites de vulnérabilités de la CIA et de la NSA aux vols de missiles Tomahawk stockés par les militaires américains :

« Cette attaque récente représente un lien complètement involontaire mais déconcertant entre les deux formes les plus sérieuses de cybermenaces aujourd'hui dans le monde : l'action de l'État-nation et l'action de la criminalité organisée » ajout Brad Smith.