Depuis vendredi, un vent de panique secoue le monde. Un virus a mis à mal des entreprises et administrations à travers le monde, des sociétés comme Renault ont été gravement touchées. Si bien que le constructeur français a préféré laisser ses chaînes de montage à l’arrêt ce lundi 15 mai à titre « préventif ».
Comment une telle attaque a-t-elle pu se produire ?
Le 25 avril dernier, dans les colonnes du JDG, nous évoquions la publication, par les « Shadow Brokers », de l’arsenal cybernétique de la NSA. des armes de pointes exploitant des failles zero day découvertes sur le système d’exploitation Windows (Microsoft), et permettant d’infecter les ordinateurs pour en prendre le contrôle.
Une cyberattaque mondiale dévastatrice
Des failles pour lesquelles Microsoft assurait avoir apporté des correctifs. Oui, mais. De nombreux serveurs non patchés subsistent encore. D’autant que Redmond ne met plus à jour certaines versions de son OS jugées obsolètes, dont XP depuis 2014.
Les experts en sécurité informatique se montraient particulièrement pessimistes, les premiers tests affichant un nombre d’infections important et surtout exponentiel suite à cette publication. Dan Tentler s’attendait même à un véritable « bain de sang ». L’avenir lui a donné raison.
Depuis vendredi 12 mai, un programme malveillant du nom de WanaCrypt0r 2.0 (ou Wanna Cry, “Tu veux pleurer” en VF) frappe des ordinateurs disséminés dans le monde entier à une vitesse fulgurante. À ce jour, plus de 75 000 ordinateurs ont été infectés selon la police française, et cela « devrait très vraisemblablement s’alourdir dans les jours qui viennent » prédisait-elle.
Un ransomware à 300 dollars
Ce programme appartient à la famille des ransomware, ou « rançongiciel ». Il chiffre le contenu d’un ordinateur infecté et le rend inaccessible à son propriétaire qui doit alors s’acquitter d’une rançon pour le déverrouiller. En l’occurrence, 300 dollars en bitcoins pour WanaCrypt0r 2.0.
Une somme ridicule, mais des effets ravageurs dans au moins 150 pays. En Grande-Bretagne, pays le plus touché en Europe, le système informatique du NHS, le service de santé britannique, a été gravement atteint, si bien que les opérations non urgentes ont dû être repoussées.
L’opérateur Telefonica (Espagne), Deutsch Bahn, le réseau ferré allemand, le service de livraison américain Fedex ou le constructeur automobile Renault ont également été touchés et le programme a eu des répercussions au Mexique, au Vietnam, mais aussi en Inde et en Russie.
Entreprises et administrations touchées dans 150 pays
Malgré les correctifs apportés en avril, Microsoft a dû dégainer un patch samedi dernier, y compris sur Windows XP, laissé à l’abandon depuis 3 ans. Les anciennes versions de l’OS sont les plus vulnérables au « rançongiciel », quand les utilisateurs de Windows 10 n’auraient pas grand-chose à craindre, selon Microsoft.
La cyberattaque repose en partie sur la faille humaine, puisque le programme se propage par l’ouverture d’une pièce jointe corrompue, mais aussi par le réseau local, précise Le Monde : « WanaCrypt0r 2.0 est un logiciel élaboré, qui « scanne » l’infrastructure réseau depuis les machines sur lesquelles il est installé, pour se diffuser ensuite à toutes les machines proches ».
So I can only add”accidentally stopped an international cyber attack” to my Résumé. ^^
— MalwareTech (@MalwareTechBlog) 13 mai 2017
« Désormais, je peux ajouter ‘a stoppé accidentellement une cyberattaque internationale’ sur mon CV ^^ »
Un “héros accidentel” stoppe la prolifération du virus
Le virus aurait pu être encore plus dévastateur sans l’intervention inopinée d’un jeune anglais, devenu depuis héros malgré lui. Après la diffusion du malware, ce chercheur en sécurité informatique, connu sous le nom de « Malware Tech », scrute le code informatique du programme et remarque la présence d’une URL (une adresse web donc) à laquelle le virus tente de se connecter au moment de sa propagation. Sans réponse de la part du site, le virus continuait son petit bonhomme de chemin.
Disponible, il en achète le nom de domaine et stoppe, sans le savoir, la propagation du virus en déclenchant une procédure de secours prévue, semble-t-il, par les créateurs de WanaCrypt0r 2.0.
Les infections, fulgurantes depuis vendredi, ralentissent alors, aidées par la diffusion du correctif de Microsoft. Toutefois, les personnes déjà infectées risquent de voir leurs données s’envoler à tout jamais puisqu’une fois chiffrées, elles sont quasi impossibles à déchiffrer
Qui est derrière la cyberattaque
Une question subsiste : quelle entité se trouve derrière la création d’un tel programme ? Pour les uns, les Britanniques notamment, il s’agit d’une attaque portant la marque d’un État, pour d’autres, dont le patron de l’Agence nationale de la sécurité des systèmes d’information, « tout, dans ce scénario, fait penser à une attaque criminelle ».
Europol prévoit d’ores et déjà « une investigation internationale complexe pour identifier les coupables ». En attendant, le meilleur moyen de se prémunir d’un tel virus est encore de suivre les conseils de ce « héros accidentel » comme le nomme la presse britannique : « C’est très important que tout le monde comprenne bien que tout ce que [les pirates] doivent faire, c’est changer un peu de code et recommencer. Patchez vos systèmes dès maintenant ! ». De la bonne hygiène informatique en somme.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
“Les anciennes versions de l’OS sont les plus vulnérables au « rançongiciel », quand les utilisateurs de Windows 10 n’auraient pas grand-chose à craindre, selon Microsoft.”
Suffit d’aller faire un tour sur le bulletin de sécurité MS17-010 de mars dernier pour se rendre compte , que ce n’était pas seulement les anciens systèmes qui étaient vulnérables. Même le petit dernier Windows Server 2016 était touché par la faille.
Donc vous n’avez pas grand chose à craindre avec Win10,8.1,7… SI vous êtes à jour 😀
Quand aux mises à jour de ce weekend elles ne concernent que les versions dont le support a été arrété…
PFFFF… Windows reste un produit de Microsoft. Les failles seront toujours présent en grand nombres… Même sur les dernières versions, tous est fais avec les pieds ! Le mieux s’est encore de rester sous linux.
Ah parce que tu crois que SAMBA n’a jamais eu de faille peut être…?
Il me semble bien que cette année c’est Linux qui a remporté la palme du plus de vulnérabilités découvertes : http://www.businessinsider.fr/us/android-most-vulnerable-operating-system-in-2016-2017-1/
Données à prendre avec des pincettes, parce que les OS basés sur Linux sont tous en open source, donc n’importe qui peut aller fouiller n’importe où dans le code source, et donc potentiellement trouver des failles. Pour Microsoft ou Apple en revanche, le code est propriétaire, et seuls leurs ingénieurs ont légalement le droit (ainsi que la capacité technique) de voir le code de leurs OS. Et t’as beau avoir recruté 100 des meilleurs ingénieurs experts en sécurité de la planète, avoir des dizaines de milliers d’utilisateurs expérimentés à travers le monde ça aide vachement plus à trouver des failles et des bugs.
C’est l’intérêt des bêta par exemple, parce que avoir des milliers d’utilisateurs qui rapportent des bugs continuellement représente une force de travail colossale comparé à ce qu’est capable de produire une équipe d’une dizaine ou vingtaine d’experts.
Super constructif comme commentaire… merci
Pour compléter l’information, les machines patchées peuvent être des porteurs sains du malware. La partie encryption ne pourra pas se mettre en oeuvre (la faille du SMBv1 étant patchée) par contre, la partie Trojan va rechercher sur le réseau des machines qu’il est possible d’attaquer.
Donc la solution (surtout en entreprise) est d’installer le MS17-010 le plus vite possible sur les machines pour lesquelles la maj automatique de Windows Update a été désactivée.
Ensuite, bien vérifier que l’anti malware est à jour sur ces machines.
Si vous avez un doute, vous pouvez utiliser le Microsoft Safety Scanner (dispo sur http://www.microsoft.com/security/scanner)
Les “pirates” se sont laissés un kill-switch au cas où… Mouais… M’étonnerai que ça soit des activistes donc.
J’avoue que ça parait bizarre tout ça….
Le “virus” appelait une adresse IP qu’un jeune a réussi à trouver et à acheter le nom de domaine….
Personnellement, je trouve ça bizarre que les mecs appellent que 1 adresse IP et qu’en plus, elle ne soit pas déjà réservé…. C’est comme si à la base, le créateur de ce virus ne voulait que faire un troll ou qu’il cherchait à savoir si quelqu’un serait capable de stopper son virus…
Attention aux confusions IP/DN 😉
C’est super étonnant en effet ce petit “kill switch”, j’aimerais bien en savoir plus…
Et dire que ta des boites spécialisé dans la sécurité, avec des supercalculateurs et tout, mais au final, c’est toujours le bon petit geek dans son trou qui réalise un “exploit” . Ca me fait penser a toutes ces boites de consultants ou les clients payent pour 10 services différents mais au final, une seul personne aurait pu faire le taf. Soi disant qu’une entreprise, soit une structure c’est plus fiable qu’un individu 😮
Le “bon petit geek” ? Oublie. C’est une équipe de pro qui est derrière ça, p.e. même un gouvernement.
Il parle de celui qui à ralenti la propagation
Le “bon petit geek” hackeur à la Mr. Robot c’est bien plus un mythe qu’autre chose. Pour un gars, de temps à autres, qui réussit à faire un “exploit” en “hackant” le compte Twitter d’une célébrité, ou en trouvant une faille dans un système de sécurité quelque part, t’as des dizaines, centaines, milliers de pros avec des millions de dollars d’équipement et de budget pour sécuriser les données confidentielles et les systèmes à risque à travers le monde, dans les gouvernements principalement, mais aussi les grandes boîtes.
La sécurité c’est un boulot ingrat, parce que quand tu fais du bon boulot, et bah personne ne le remarque, mais suffise que tu te foires à un endroit et t’en prends pour ton grade.
Pour plus d’info vous pouvez aller lire le billet dédié sur son site :
http://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html
Je l’ai déjà mis en lien dans l’article sous “héros malgré lui” 😉
Oups, je t’avouerai ne pas avoir lu complètement ton billet (j’ai lu celui cité).
Toutes mes confuses, si tu veux supprimer mon message n’hésite pas 😉
Il faut aussi parler du fait que beaucoup profitent de cette attaque pour sensibiliser le public et les gouvernements à l’importance de telles attaques. Ce n’est pas parce que y’a ni blessé, ni coup de feu, ni explosion que ce n’est pas grave. Une attaque d’une telle envergure touche justement des systèmes, parfois sensibles, dans des dizaines de pays. Il reste à évaluer les pertes et coûts de cette attaque, mais il faut se rendre compte que ça a foutu une petite merde. Sûrement contrôlée, certes, mais ça montre qu’on n’est pas à l’abri de quelque chose de plus gros, de plus dangereux. Des ingénieurs américains ont comparé cette attaque à une tentative de vol de missiles Tomahawk, directement sur le sol américain. Il faut arrêter de penser “danger” en terme d’armes et conflits traditionnels, une cyberattaque mondiale peut avoir autant voir plus de répercussions.
De plus, c’est aussi l’occasion de parler de la NSA et de ses cousines à travers le monde. Il a été révélé à plusieurs reprises que la NSA aimait s’infiltrer dans les systèmes, de profiter des backdoors installées, et surtout de découvrir des failles sans en prévenir les propriétaires. Mais là où la NSA utilise ces failles (qui se trouvent un peu partout d’ailleurs, dans les OS, les téléphones etc.) pour la “sécurité”, d’autres peuvent les utiliser pour des motifs bien moins nobles. Et quand des institutions gouvernementales découvrent des failles mais ne les rendent pas publiques, ni n’en informe les propriétaires des programmes concernés, ça peut directement nuire à la population elle-même.
Il est vrai que l’importance de cet événement n’est pas nul car cette cyber-attaque aura touché des gouvernements et des entreprises ( en plus des particuliers ). Le plus gros problème n’est pas le rançonware en lui même mais le fait que les données cryptées soient perdu à jamais!
Car du coup, que vont faire les gouvernements/entreprises/particuliers si ils n’avaient aucune sauvegarde à coté? Ils vont pleurer….
Bref, par contre, ce que tu dis sur la NSA est vrai, ils ne signalent pas les failles qu’ils découvrent ( pour pouvoir continuer d’en profiter ) mais ils ne sont pas les seuls. M’étonnerait que les services secrets des différents pays n’aient pas des pratiques de ce style afin de pouvoir surveiller et récupérer des informations plus facilement.