Information IMPORTANTE sur WannaCrypt

 

 

C'est un ransomware qui est à l'origine de cette attaque : WannaCrypt (également connu sous les noms Wcry, WanaCry, WanaCrypt, Wanna Decryptor) qui une fois installé bloque l'accès aux fichiers et exige une rançon (300 dollars) pour rendre sa liberté au système. Comme d'habitude, c'est par une vaste campagne de phishing par email que le ransomware s'est retrouvé dans de nombreux PC.

WannaCrypt exploite une faille dans Windows corrigée pourtant depuis mars dernier et divulguée par les désormais célèbres Shadowbrokers. Kaspersky détaille :

"L’attaque est initiée via l’exécution à distance d’un code SMBv2 dans Microsoft Windows. Cet exploit (nom de code : “EternalBlue”) a été mis à disposition en ligne via le dump de Shadowbrokers le 14 avril 2017 et corrigé par Microsoft le 14 Mars. Il semblerait que beaucoup d’entreprises n’aient pas installé le correctif. Kaspersky Lab a dénombré plus de 45 000 attaques du ransomware WannaCry dans 74 pays à travers le monde, principalement en Russie. Il est important de noter que la visibilité de Kaspersky Lab peut être limitée et incomplète. Cela signifie que le nombre et l’éventail de victimes sont probablement bien plus larges".

Rappelons que cette faille avait été exploitée par la NSA et que son outil d'exploitation avait fuité il y a quelques semaines, toujours grâce aux Shadowbrokers. Des pirates s'en sont donc rapidement emparés pour mener cette attaque.

L'existence d'un patch ne veut donc pas dire qu'il est appliqué partout, la preuve. Toutes les entreprises touchées, comme Renault en France, n'avaient visiblement pas pris au sérieux le bulletin de sécurité de Microsoft estampillé MS17-010. Et le constructeur n'est pas le seul à avoir oublié ce correctif pourtant critique.

Le cas Windows XP, Vista et Serveur 2003 R2

D'un autre côté, nombre de ces entreprises utilisent encore l'ancien Windows XP qui n'est plus supporté par Microsoft et qui ne bénéficiait donc pas de ce correctif salvateur. Une vraie porte ouverte pour les pirates. Idem pour Windows 8 et Server 2003.

En France, l'ANSSI a émis une alerte, et conseille en cas d'infection d'un système "de l’isoler, voire de l’éteindre le temps d’appliquer les mesures nécessaires". Dans le même temps, Microsoft prend l'affaire très au sérieux et a décidé de donner un coup de main aux entreprises et institutions touchées en diffusant exceptionnellement un patch pour Windows XP, Windows 8 et Windows Server 2003. Face à l'ampleur de l'attaque, Redmond n'avait pas le choix.

Microsoft précise que "les clients utilisant Windows 10 n’ont pas été affectés par cette attaque aujourd’hui".

La propagation de l'attaque serait aujourd'hui en voie d'être stoppée grâce à la mise en place de ces contre-mesures et à l’intervention d’un chercheur en sécurité qui a accidentellement trouvé le moyen d’actionner un mécanisme d’autoblocage.

Selon le Monde : "le chercheur en sécurité informatique anonyme, connu uniquement par son pseudonyme sur les réseaux sociaux, MalwareTech, a découvert dans la nuit de vendredi à samedi l’adresse d’un site Internet dans le code du logiciel. Le virus tentait de se connecter à ce site lors de sa diffusion ; si le site était injoignable, il poursuivait sa propagation. Ayant constaté que le nom de domaine était à vendre, MalwareTech l’a simplement acheté, activant sans s’en rendre compte le mécanisme d’urgence qui semblait avoir été prévu par les créateurs du logiciel et stoppant sa propagation".

Nous sommes sur la pente descendante, les nouvelles infections sont très rares", a d'ailleurs constaté Vikram Thakur, chercheur chez Symantec, interrogé par le Guardian. De quoi permettre de circonscrire l'attaque à l'Europe, les Etats-Unis ayant été relativement préservés.

Reste que les machines bloquées restent bloquées, il faudra donc attendre de trouver un moyen de déchiffrer les fichiers des PC infectés. Ou payer (ce qui n'offre aucune garantie de déblocage, non recommandé).

https://www.ssi.gouv.fr/actualite/alerte-campagne-de-rancongiciel-2/?utm_source=dlvr.it&utm_medium=twitter

Microsoft publie un patch pour les anciennes versions de Windows, dont XP

Mais dans cette affaire, c'est Microsoft qui fait face à un problème de taille. Comme l'on pouvait s'y attendre, Windows XP  et Windows Serveur 2003 R2 sont touchés. Or, le support de ce dernier a cessé depuis deux à trois ans, et de nombreuses sociétés continuent de les utiliser. La position de l'éditeur n'était pas tenable, il a donc pris la décision de publier un patch. Trop tard, diront certains.

Dans un billet de blog, son équipe en charge de la sécurité détaille la situation et indique que c'est aussi le cas pour Windows Server 2003 et Windows 8. Vous pouvez récupérer les patchs pour vous mettre à jour au plus vite via l'un des liens suivants :

Sinon pour les autres version https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 et https://support.microsoft.com/fr-fr/help/4013389/title

J'en profite pour vous rappeler les piliers de la prévention contre les ransomwares :

  • Education et sensibilisation des utilisateurs
  • Protection antivirale à tous les niveaux
  • Suivi des mises à jour de sécurités des systèmes et applications (Windows Xp et Serveur 2003 R2 ne doivent plus être utilisés car plus maintenus par Microsoft https://support.microsoft.com/fr-fr/help/13853/windows-lifecycle-fact-sheet)
  • Sauvegarde et PRA robuste
  • Stratégie et restriction des droits utilisateurs

 

Qui sommes nous?

logo

Késys est un acteur de référence dans la mise en œuvre et la maintenance de solutions de gestion Sage ainsi que dans le déploiement de systèmes et réseaux informatiques.

 

 

Contact

Késys IDF - Siège
  01 40 89 89 83 / 89
6 rue Barbès
       92300 Levallois-Perret

Késys Ouest
02 51 79 14 79
4, allée de la Maladrie
       44123 Vertou