Le constructeur automobile Honda a dû stopper lundi son usine de Sayama, au Japon. La cause de cette interruption ? WannaCry. Un mois après avoir fait les gros titres, le ransomware refait parler de lui. Reposant sur l’exploit NSA d’une faille Windows révélée par Shadow Brokers, le programme malveillant avait déjà frappé en mai les sites de Honda dans le monde entier.

Cette nouvelle attaque fin juin peut surprendre, la propagation de WannaCry ayant été arrêtée par la découverte d’un kill switch. Ce faisant, si le malware n’était pas détruit, il se trouvait bien incapable de se propager sur des systèmes connectés à Internet. Comment ce réseau de Honda a-t-il bien pu être infecté ? Voici la question à laquelle cherche à répondre plusieurs sociétés de sécurité.

WannaCry n’a frappé cette fois-ci qu’une unique usine. Malware Tech, découvreur du kill-switch, soulève deux hypothèses. WanaCryt0 a pu être introduit dans le réseau interne de l’usine par des laptops renfermant une version dormante du malware. Une fois connectés, ils ont servis de vecteur d’infection, le malware se répandant dans l’infra hors ligne du site. Sans accès Internet, ses requêtes au domaine kill switch restaient sans réponse, permettant sa propagation.
De la nécessité d’installer les correctifs

Autre théorie, les proxys. Le ransomware n’a pas été conçu pour les gérer. Si Honda utilise des proxys pour « filtrer » son trafic en interne, WannaCry s’est retrouvé incapable de sortir du réseau interne et donc d’envoyer sa requête au domaine du kill-switch. Il a donc pu poursuivre sa propagation sur l’infrastructure interne, chiffrant les terminaux Windows à sa portée.

Dans un cas comme dans l’autre, cette infection signifie surtout que Honda n’a pas patché ses systèmes Windows, laissant ouverte la vulnérabilité permettant à WannaCry d’infecter ses PC. Mais le constructeur japonais n’est certainement pas le seul : Malware Tech note que le domaine du kill switch reçoit encore 200 000 requêtes chaque jour.