Une nouvelle attaque mondiale a ébranlé le secteur informatique en ce mois de mai. Des milliers de machines ont été infectées par le ransomware Wannacrypt, y compris de nombreux hôpitaux dont le fonctionnement a été gravement affecté. Retour sur cette attaque hors du commun… pour l’instant.

UN RANSOMWARE DE GRANDE AMPLEUR

L’attaque Wannacrypt (aussi appellée wannacry) est l’héritière d’une grande lignée de ransomwares. Ces malwares ont pour vocation de s’installer sur un ordinateur contenant des données et de chiffrer celles-ci pour les rendre illisibles pour leur propriétaire. Ce dernier est alors sommé de payer une rançon (« ransom » en anglais) pour retrouver ses données, sous peine de les voir effacées et donc irrécupérables. Dans le cas de Wannacrypt, la rançon s’élève à 300$.

Ces rançons étant payées en bitcoin, une monnaie électronique intraçable, il est bien sûr très complexe de retrouver l’auteur des attaques. Il est donc d’usage de conseiller de ne pas payer les pirates, afin de ne pas encourager cette activité. De plus, il n’est jamais garanti de récupérer la clé de déchiffrement, même après avoir payé la somme demandée…

Ici cependant, vu l’ampleur tout à fait exceptionnelle de l’infection, il est probable que les pirates rendent l’accès aux données. Grâce au bouche à oreille montrant qu’ils jouent le jeu, d’autres personnes infectées paieront, et le groupe pourra alors empocher des millions de dollars. En effet, si plus de 40 000 machines ont été atteintes, le montant du butin pourrait avoisiner les 12 millions de dollars.

DES ZERO DAY DE LA NSA PUBLIÉES SUR LE DARK WEB

Mais comment les pirates ont-ils pu atteindre autant de machines ? Simplement en exploitant une faille permettant une propagation plus rapide du malware, faille qui touchait en plus de nombreuses versions de Windows.

Depuis les révélations d’Edward Snowden, et même en réalité bien avant, il était connu que la NSA avait son petit zoo technologique de malwares, qu’elle pouvait utiliser à loisir pour infiltrer ses cibles. Le groupe de pirates Shadow Brokers a mis la main sur une de ces caches d’armes virtuelles, et proposé ce contenu aux enchères. Dedans se trouvait une série de “Zero day”, des vulnérabilités non publiées et non protégées.

L’une d’entre elles concernait le protocole SMB (Server Message Block), servant à partager les contenus de plusieurs ordinateurs reliés en réseau local. Si les vulnérabilités sont fréquentes sur ce protocole, celle qui nous concerne est particulière en cela qu’elle affecte des versions de Windows depuis XP jusqu’à Windows 8, ce qui représente un périmètre d’attaque très étendu.

De nombreux individus ont donc pu être infectés en cliquant sur un mail piégé. Mais ce qui fait la spécificité de Wannacrypt, c’est qu’il joue sur deux niveaux. En effet, un exploit nommé EternalBlue, publié par Shadow Brokers, permet d’utiliser la faille de SMB en chargeant une porte dérobée (DoublePulsar) sur l’ensemble des ordinateurs du réseau. Il ne reste alors plus qu’à utiliser cette porte dérobée pour installer le malware sur la machine. Ainsi, il suffit qu’un ordinateur soit compromis pour qu’il infecte l’ensemble de son réseau local.

On peut noter que la faille utilisée par EternalBlue date de Windows XP, ce qui signifie que la NSA a pu l’utiliser pendant plus de dix ans, soit dit en passant… Il ne faut d’ailleurs pas sous-estimer la capacité de nuisance des autres éléments publiés par Shadow Broker ! On y retrouve également des Zero Day contre d’autres technologies, notamment le protocole d’échange bancaire Swift.

LE VER STOPPÉ PAR UN KILL SWITCH

Heureusement, un petit miracle s’est produit et a permis d’arrêter la progression du ransomware. Un chercheur en sécurité de 22 ans a remarqué qu’il faisait appel à un nom de domaine (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com) non réservé. Si la connexion vers ce nom de domaine échouait, alors le ver infectait la machine ; sinon, il ne l’infectait pas. Selon le chercheur, il s’agissait d’un moyen pour les pirates de vérifier s’ils se trouvaient dans un réseau où le malware était déjà présent.

A partir du 12 mai, quand le chercheur a réservé le nom de domaine, l’ensemble des connexions ont alors été réussies, ce qui a stoppé l’infection des machines et la propagation du ransomware. Ce kill switch, découvert par hasard, semble être une erreur des pirates ; attention, car cela signifie qu’elle peut être réparée…

 

QUE FAIRE SI VOUS ÊTES INFECTÉ ?

Ceux déjà infectés, pas de solution miracle. Pour beaucoup, la solution se trouvera dans la restauration d’un backup non infecté. Les autres, qui auraient oublié cette étape simple et indispensable de l’IT moderne, la possibilité d’une faille dans le système de chiffrement, bien que mince, reste la seule lueur d’espoir.

En effet, si des ransomwares ont connu des erreurs de conception dans le passé permettant la récupération des données sans l’aide des pirates, rien ne garantit que cela sera le cas cette fois ci. Il reste aussi la possibilité que les fichiers source, une fois chiffrés, aient été “mal » effacés, permettant ainsi une récupération.

 

COMMENT SE PRÉMUNIR D’UNE TELLE ATTAQUE ?

Il existe nombre de méthodes pour se protéger, mais nous allons ici en retenir quatre principales :

Tenir son OS à jour

C’est le premier point, le plus important. Il existe toujours un million de bonnes raisons de ne pas passer une mise à jour, mais c’est toujours une mauvaise idée… Les pirates comptent sur la négligence ou même la flemme des individus ! Dans le cadre de Wannacry, un correctif avait été publié par Microsoft en mars ; seules les machines non à jour ont donc pu être touchées.

Réaliser des sauvegardes régulières

Avoir un backup a sauvé la vie de plus d’un administrateur système ces 5 dernières décades. Il est cependant important d’activer certaines protections pour que le système de backup ne sauvegarde pas les fichiers chiffrés. De nombreuses méthodes existent, n’hésitez pas à vous renseigner auprès de votre prestataire. Utiliser des snapshots et sauvegarder vos données sur plusieurs jours (une semaine par exemple) permet également de se prémunir.

 Travailler sur des serveurs de fichiers et non sur son disque dur local

Les postes de travail ne doivent, en théorie, pas contenir (ou très peu) de fichiers en local. Leurs données devraient, en théorie, être stockées sur des serveurs de fichiers centralisés, mieux protégés, sauvegardés et mis à jour. Quand une personne est en déplacement et coupée de son serveur de fichier, la casse existe alors mais sera limitée aux seuls fichiers traités durant la mobilité.

Former son personnel

C’est une réponse plus fondamentale, qui bloque de multiples vecteurs d’attaque dont, par exemple, le phishing et ses dérivés. Elle consiste à former son personnel à la détection de mails frauduleux et aux bonnes pratiques de sécurité.

Voici quelques règles de base :

  • Ne jamais ouvrir un .zip ou un .exe qui serait envoyé par mail.
  • Faire attention à toutes les pièces jointes dont vous ne connaissez pas l’origine ou l’expéditeur. On peut cacher du code jusque dans des documents et des images…
  • Faire attention aux liens, notamment quand vous ne connaissez pas l’expéditeur. En général, le fait de passer sa souris sur le lien, sans cliquer, et d’attendre quelques secondes permet de voir l’URL de destination. Si elle ne correspond pas à ce qui est annoncé, ne cliquez pas !
  • N’ouvrez pas de mail non sollicité, les pirates peuvent facilement usurper une adresse mail et l’utiliser pour des campagnes de phishing.
  • Il est également possible de paramétrer cela sur le serveur de mail avec certains outils de filtrage.
Oceanet Technology
De l’hébergement en datacenter, à la virtualisation, l’interconnexion de votre réseau et surtout sa sécurité, Oceanet Technology vous accompagne dans vos projets d’hébergement, d’infogérance et de sécurisation de vos données, vos systèmes d’informations, vos sites web et applicatifs métiers.
 

Aucun commentaire