Actualité web & High tech sur Usine Digitale

Pourquoi le ransomware WannaCry fait-il autant de dégâts ?

mis à jour le 15 mai 2017 à 21H12
Twitter Facebook Linkedin Google + Email
×

Une attaque informatique s'est répandue comme une trainée de poudre en fin de semaine dernière, s'attaquant à d'anciens systèmes informatiques, vulnérables car non mis à jour. Cette attaque au ransomware, a priori à simple vocation crapuleuse, a créé un vent de panique car elle a touché de nombreuses infrastructures industrielles dans plus de 100 pays dans le monde. Et pourtant cela aurait pu être bien pire. Tout laisse même à penser (hélas) que ce n'est qu'un début. Décryptage des tenants et aboutissants de la situation.

Pourquoi le ransomware WannaCry fait-il autant de dégâts?
Pourquoi le ransomware WannaCry fait-il autant de dégâts ?

12 mai 2017 : ce vendredi a vu le début d'une attaque par ransomware (un malware qui chiffre les fichiers d'une machine et demande une rançon pour les déchiffrer) de très grande ampleur. Près de 200 000 ordinateurs auraient été touchés dans une centaine de pays, principalement en Europe et en Asie. L'attaque a fait grand bruit, plusieurs infrastructures critiques ayant été touchées, dont environ 45 hôpitaux au Royaume-Uni. L'usine Renault de Novo Mesto (en Slovénie) a également été atteinte, ce qui a poussé le constructeur automobile à arrêter temporairement les activités d'autres usines par mesure de sécurité, à Douai (Nord) notamment.

 

Un détournement d'une attaque utilisée par la NSA

L'attaque diffère des ransomwares classiques : elle exploite une vulnérabilité de Windows en copiant les méthodes de la NSA, l'agence de renseignement électronique des Etats-Unis. Là où ce type d'attaque compte habituellement sur des emails frauduleux, celle-ci cible le protocole SMB (Server Message Block) pour infiltrer ses victimes (spécifiquement par une connexion TCP au port 445). Créé dans les années 1980, ce protocole a été utilisé sous plusieurs formes jusqu'à Windows 8. Il est également implémenté dans les distributions Linux dans sa version open source : Samba (cette version du protocole n'est a priori pas ciblée ici). Elle y installe ensuite le ransomware WannaCry, qui rend les fichiers inutilisables et demande une rançon en Bitcoin d'environ 300 dollars (qui double après 3 jours). Si la rançon n'est pas payée au bout d'une semaine, les fichiers sont effacés.

 

En mars 2017, plusieurs malwares utilisés par la NSA pour conduire des actions d'espionnage ou de sabotage ont été publiés sur Internet par le groupe "Shadow Brokers". Un coup dévastateur pour la crédibilité de l'agence. Parmi eux, se trouvait Eternal Blue, un malware ciblant la version SMB v1 utilisée dans les anciens systèmes Windows. Fait notable, Microsoft avait déjà corrigé cette vulnérabilité (correctif MS17-010), ce qui limitait sa portée. Elle est également inefficace par défaut contre Windows 10, la version la plus récente du système d'exploitation.

 

Le problème récurrent des mises à jour de sécurité non appliquées

Alors, si la vulnérabilité était déjà corrigée en mars et que ce malware la réutilise, pourquoi y a-t-il tant de victimes ? Tout simplement parce que de très nombreuses organisations et encore plus d'utilisateurs individuels n'appliquent pas les mises à jour de leurs systèmes. Le problème est bien connu : pour éviter d'être dérangé par les boîtes de dialogue ou d'avoir à attendre 5 minutes de temps en temps, les gens préfèrent désactiver les mises à jour. Dans les entreprises, il n'y a souvent pas de budget alloué aux migrations ou alors elles sont jugées "non prioritaires" et éternellement repoussées à plus tard.

 

Microsoft est bien conscient du problème, et c'est pour cela qu'il verrouille de plus en plus son système d'exploitation. Windows 10, par exemple, ne laisse plus le choix aux utilisateurs de repousser une mise à jour à l'infini. Il finit au final par la forcer. Une mesure extrême – et régulièrement décriée – qui n'est que l'aboutissement d'un constat sur plusieurs décennies : les utilisateurs n'accordent en général que peu d'importance à leur sécurité.

 

Dans le monde professionnel, et notamment dans l'industrie ou le médical, c'est encore plus pervers. Quand bien même les administrateurs systèmes souhaitent migrer les machines, ils sont souvent régis par des contrats qui les en empêchent pour des équipements spécialisés (ex. scanners médicaux). Comme le note Jessica Payne, experte en cybersécurité chez Microsoft, un changement de culture incluant l'ensemble de la chaîne de décision d'une entreprise est nécessaire, et implique aussi de revoir comment les contrats sont négociés avec les intégrateurs et sous-traitants.

 

 

Le pire reste à venir

Par chance, l'attaque du 12 mai a été stoppée alors qu'elle ne faisait que commencer. Le chercheur en sécurité MalwareTech, qui se spécialise dans l'étude des botnets, a découvert un nom de domaine non attribué dans le code source du malware. Il l'a immédiatement enregistré afin de pouvoir mesurer son activité, et ne s'est rendu compte qu'après-coup qu'il s'agissait d'une soupape de sécurité destinée à pouvoir stopper l'infection en cas de besoin. C'est pour cette raison que les Etats-Unis ont été très peu touchés par l'attaque. Mais les malfaiteurs à l'origine du malware (ou d'autres les imitant) ne s'arrêteront probablement pas là. Une version modifiée de l'attaque pourrait très bien faire son apparition dans les jours ou semaines qui viennent.

 

Il est donc crucial pour les entreprises équipées des systèmes concernés de faire leurs mises à jour de sécurité. La plupart des systèmes touchés sont équipés de Windows XP, un système d'exploitation sorti en 2001 et dont Microsoft a assuré le support jusqu'en 2016 (une longévité exceptionnelle pour un OS). Windows XP, tout comme Windows 7, ne reçoit aujourd'hui plus de mises à jour de sécurité car Microsoft recommande de passer à une version plus récente de son système d'exploitation. Mais devant cette attaque hors du commun, l'éditeur de Windows a malgré tout publié des correctifs pour ses anciens OS. Il est donc recommandé à toutes les entreprises d'appliquer ce correctif dès que possible et surtout de sérieusement réfléchir à la migration de leurs systèmes vers un OS moderne. Si c'est absolument impossible, il faut au moins désactiver SMB v1 et v2.

 

 

La mise en place d'une politique de sauvegarde des données est également cruciale afin de pouvoir reprendre rapidement une activité en cas de problème. Dans le cas des hôpitaux britanniques, la plupart des systèmes étaient de nouveau opérationnels après 24 heures, un vrai tour de force après une attaque de cette ampleur. A noter qu'il n'est pas recommandé de payer la rançon. Environ 50 000 dollars auraient été récoltés jusqu'ici, mais une analyse du malware a révélé qu'un décryptage nécessite une opération manuelle de la part des malfaiteurs (à la fiabilité douteuse).

 

A NE PAS MANQUER : CONFERENCE CYBERSECURITE, le 29 juin 2017
Le RDV incontournable des acteurs clés de la cybersécurité, tous secteurs confondus.
Comment combattre les cyber-menaces à l’ère du full digital ? WannaCry, Mirai... découvrez comment réagir en cas d'attaque et comment protéger vos données. Bénéficiez des retours d’expériences et découvrez les stratégies des secteurs clés de l’économie.
Le programme

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

media

Les cookies assurent le bon fonctionnement de nos sites et services. En utilisant ces derniers, vous acceptez l'utilisation des cookies.OK

En savoir plus
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale