Visitez notre kiosque à CANSEC les 27-28 mai
Livres blancs
·
30.04.2020

WannaCry: Quand un nom de domaine aléatoire a sauvé le monde

Icone PDF Analyze du rançongiciel WannaCry

Le vendredi 12 mai 2017, un rançongiciel a paralysé 200 000 ordinateurs dans 150 pays en seulement 48 heures. Hôpitaux britanniques incapables de fonctionner, chaînes de production chez Renault à l'arrêt, systèmes de Fedex et Vodafone compromis. WannaCry venait de démontrer ce qui arrive quand un rançongiciel acquiert les capacités d'un ver informatique.

L'hybride qui a tout changé

La menace était double. WannaCry ne se contentait pas de chiffrer les fichiers d'une machine infectée. Il scannait activement le réseau local et Internet à la recherche d'autres victimes, exploitant une vulnérabilité critique du protocole SMB de Windows. L'exploit EternalBlue, le même outil développé par la NSA puis divulgué publiquement, permettait au rançongiciel de se propager sans aucune interaction humaine. Une machine infectée pouvait en contaminer des centaines d'autres automatiquement.

Un interrupteur d'urgence caché dans le code

L'analyse de la première version révèle un comportement énigmatique. Avant de chiffrer quoi que ce soit, le logiciel malveillant envoie une requête DNS vers un nom de domaine apparemment aléatoire: iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Si la requête obtient une réponse, l'exécution s'arrête net. Ce mécanisme, baptisé "kill switch", était-il une mesure de sécurité des créateurs ou un vestige de développement? L'enregistrement fortuit de ce domaine par le chercheur britannique MalwareTech a freiné la propagation de manière spectaculaire.

Évolution rapide

La deuxième version, apparue quelques jours plus tard, corrige cette faiblesse. Plus de kill switch, mais paradoxalement, plus de capacité de propagation de type ver. Cette variante mise plutôt sur la persistance avec des connexions continues vers des routeurs TOR, rendant toute communication avec les serveurs de commande indétectable et chiffrée.

Détection comportementale

Notre analyse confirme que les systèmes basés uniquement sur des signatures auraient échoué face à cette menace zéro-jour. La détection s'appuie sur l'identification de comportements anormaux: requêtes vers des domaines générés aléatoirement, scans massifs sur le port 445, tentatives de connexion TOR. Ces indicateurs comportementaux permettent d'identifier la menace avant que les signatures ne soient disponibles.

Le document complet détaille la méthodologie d'analyse dans deux environnements distincts, les flux réseau capturés, les mécanismes de propagation, et les capacités de notre solution CDS à détecter et bloquer automatiquement cette menace historique dès le jour zéro.

Articles
·
13.05.2026
Le mythe de la « compensation » des investissements en cybersécurité
Sauvegarde des données: si nous payons pour une meilleure détection et réponse aux menaces, cela ne devrait-il pas réduire notre exposition aux incidents nécessitant une récupération ?
Articles
·
14.04.2026
14 avril 2026 - Le gouvernement du Canada lance le niveau 1 du Programme canadien de certification en cybersécurité
Ce jour 14 avril 2026, le gouvernement fédéral canadien lance officiellement la certification CPCSC (PCCC) Niveau 1 . Elle sera exigée dans les contrats fédéraux à partir de l’été 2026. CPCSC Niveau 1 est composée de 13 contrôles.

Votre sécurité mérite une conversation

Contactez-nous
AccueilPlateforme XDRStreamEnclaveEDRMDRRéponse aux incidentsCertification CMMCCertification PCCCPolitique de confidentialitéPolitique des cookies
PartenairesÀ proposCarrièresBlogueVidéos et webinairesOutilsLivres blancsRecherchesStratégie de cybersécuritéTest d'intrusionContactez-nous
Solutions de cybersécurité de pointes adaptées aux organisations qui évoluent dans des environnements complexes.
Logo de STREAMSCAN avec le slogan '100% pensé pour optimiser'.
StreamScan a besoin des informations que vous nous fournissez pour vous envoyer notre infolettre. Vous pouvez vous désabonner de nos communications à tout moment. Pour plus d'informations, consultez notre politique de confidentialité.