La situation stabilisée, spectre d'une "deuxième vague" — Cyberattaque

19 Mai, 2017, 10:25 | Auteur: Ingrid Allaire
  • Cyberattaque globale- Un virus exploitant une faille de Windows dévoilée dans des documents volés de la NSA

Des centaines de milliers d'ordinateurs ont été affectés à travers le monde par ce ransomware (logiciel de rançon) qui crypte les données avant de demander aux victimes une rançon en bitcoins en contrepartie d'une clé de décodage. Au départ, tout commence par des envois de massifs de spams, des emails qui contiennent des fichiers attachés malveillants, principalement des fichiers PDF ou Microsoft Word. Résultat: plusieurs dizaines de milliers d'ordinateurs ont été touchés. Il est aussi recommandé de s'assurer que les ports SMB (139, 445) soient fermés puisqu'ils sont utilisés pour cette attaque. Suite à un vol de documents de la NSA décrivant cette faille dans le software de Microsoft, elle avait été divulguée en avril dernier par le groupe de hackers " Shadow Brokers ". C'est ce logiciel que les pirates à l'origine de WannaCry semblent avoir détourné à leur profit. Une faille a priori présente uniquement sous Windows 7, Windows Server 2008 et les versions inférieures du système d'exploitation.

Le virus peut être attrapé soit en téléchargeant des pièces jointes corrompues, soit par le réseau local, puisque WannaCry scanne l'infrastructure réseau depuis les appareils sur lesquels il est installé, pour se diffuser à l'ensemble des machines à proximité.

"Les gouvernements du monde entier devrait considérer cette attaque comme un électrochoc". S'il est assez simple de se prémunir d'une telle attaque en se maintenant à jour, force est de constater que cette pratique n'est pas vraiment rentrée dans les mœurs tant l'impact de cette faille est important. En Allemagne, l'opérateur de télécommunication Vodafone (dont le siège est à Londres) a été durement touché, ainsi que la compagnie ferroviaire Deutsche Bahn dont les panneaux d'informations dans les gares ont présenté un affichage peu habituel. Si la direction du service de santé publique s'est montrée rassurante en assurant n'avoir " pas d'élément permettant de penser qu'il y a eu accès à des données de patients", le blocage d'ordinateurs dans nombre de ses hôpitaux a forcément perturbé le cours habituel des choses.

Outre la malveillance des attaquants, la négligence a joué un grand rôle, comme bien souvent dans ce type de situations. Si la faille utilisée est corrigée depuis mars, certains ne sont pas à jour.

L'attaque informatique a également fait d'autres victimes dans le pays, a déclaré, sans les citer, le patron de l'Agence française de la sécurité des systèmes d'informations (Anssi), Guillaume Poupart, tout en indiquant ne "pas vraiment" redouter un "cyberchaos". Ce qui n'est pas le cas de très loin. "Pas besoin d'ouvrir un fichier pour infecter une machine, le ransomware chiffre tous les fichiers et utilise une vulnérabilité qui peut être commandée à distance, via le protocole SMBv2".

Désormais la propagation est en chute libre et Microsoft a décidé de mettre les mains dans le cambouis en proposant un patch sur plusieurs versions de son système d'exploitation, malgré la fin du support de certains OS (Windows XP, Windows 8 et Windows Server 2003).

Mais dans cette affaire, c'est Microsoft qui fait face à un problème de taille. Chaque propriétaire de machine, chaque responsable de parc machines, doit au plus vite procéder à toutes les mises à jour qui auraient été différées. La somme n'est pas énorme mais étant donnée l'ampleur de l'attaque, la somme totale pourrait être importante.

Recommande: