Malwaretech. A défaut de connaître son nom, il faudra se contenter de son pseudonyme sur Twitter. C’est celui du jeune chercheur en sécurité britannique qui est parvenu, ce week-end, à endiguer la cyberattaque mondiale qui a frappé plus de 200.000 victimes dans au moins 150 pays depuis vendredi.

Cet « héros accidentel », comme il est surnommé, veut garder l’anonymat. « Cela n’a pas de sens de rendre publique des informations personnelles sur moi », estime-t-il au Guardian. « Je ne vais pas changer de vie. C’est juste un moment de gloire de cinq minutes. C’est assez fou », poursuit-il plus loin.

« Tellement cliché »

On sait tout de même que le jeune homme a 22 ans, et qu’il vit dans le sud-ouest de l’Angleterre chez ses parents, « tellement cliché », plaisante-t-il toujours dans le Guardian. On sait aussi qu’il a quitté l’école sans diplôme pour se consacrer à l’informatique, sa passion depuis toujours qu’il a appris en autodidacte. Il s’est fait repérer par l’entreprise de sécurité informatique Kryptos Logic, basée à Los Angeles, pour laquelle il travaille depuis un an et deux mois.

Un petit génie donc ce Malwaretech. Mais ce week-end, sa prouesse relève plus du pur hasard, concède-t-il. Au retour d’un déjeuner avec un ami, sur les coups de 15h samedi, le Britannique découvre l’ampleur de la cyberattaque, touchant même la NHS (National Health Service), le service de santé publique britannique.

10 euros pour acheter un nom de domaine

Malwaretech obtient alors une copie du ransoware, ce logiciel malveillant au cœur de la cyberattaque et qui bloque des fichiers sur les ordinateurs infectés. En mettant le nez dans le code du logiciel, le Britannique remarque la présence d’un nom de domaine en «. com » composé d’une quarantaine de caractères sans aucun sens, relate Le Monde. N’appartenant à personne, Malwaretech l’achète pour 10,69 dollars (9,78 euros).

La technique, courante pour un spécialiste des logiciels malveillants, permet d’avoir un aperçu du fonctionnement interne du logiciel et de se rendre compte de sa propagation. MalvareTech pensait juste jeter ainsi un coup d’œil, explique-t-il au Guardian. Mais sans le savoir, le rachat de ce nom de domaine sera le grain de sable qui fera dérailler le « ransoware ». Le logiciel était conçu de façon à se connecter automatiquement au nom de domaine acheté par Malwaretech, rapporte Le Monde. Si le nom de domaine ne répond pas, alors l’opération peut se dérouler comme prévu, à savoir bloquer la machine, chiffrer les données et exiger une rançon. Mais si le logiciel répond, ce qui s’est passé quand le nom de domaine a été enregistré, alors le logiciel devient inactif.

Un grain de sable dans le logiciel malveillant

Peu après l’achat du nom de domaine par Malware Tech, le « ransoware » a stoppé sa propagation. C’est Darien Huss, un spécialiste en sécurité informatique américain en contact avec Malwaretech qui s’en rend d’abord compte. Puis, le Britannique fait lui-même le test et arrive à la conclusion que le logiciel ne fonctionne plus chez lui.

Chaudement félicité, qualifié de héros, les posts de blog de Malwaretech, relatant ses exploits du jour, ont été publiés sur le site Internet du National Cyber Security Centre (NCSC), le centre britannique de cybersécurité. Depuis, le jeune britannique goûte avec un amusement modéré à sa célébrité soudaine. « Je suis à peu près certain que des journalistes se cachent dans mon frigo », lançait-il dimanche sur Twitter.

« Patchez vos systèmes dès maintenant »

Malwaretech ne crie pas non plus victoire trop tôt. La parade qu’il a trouvée ne fonctionne qu’en effet pour la version du logiciel qui a émergé vendredi. Il existe d’ores et déjà d’autres variantes et les experts en cybersécurité craignent de nouvelles perturbations ce lundi et dans les jours à venir. Malwaretch le répète lui-même : « C’est très important que tout le monde comprenne bien que tout ce que [les pirates] doivent faire, c’est changer un peu de codes et recommencer. » Son conseil alors : « Patchez vos systèmes dès maintenant ».