Cyberattaque rançongiciel WannaCry du 12 mai 2017

Partager sur Facebook Partager sur twitter Partager sur Google Plus Partager sur Linkedin

Le réveil du samedi 13 mai a été difficile pour de nombreux administrateurs réseaux et serveurs partout dans le monde : des parcs informatiques entiers ont été contaminés par le ransomWare (rançongiciel) WanaCry/WanaCrypt, rendant les données présentes sur les ordinateurs, serveurs et dossiers partagés illisibles (codés).

Sur les PC infectés par WannaCry, un message explicite : « si vous ne payez pas 300$ dans les 3 jours, le prix sera doublé. Si vous ne payez pas dans les 7 jours, vos fichiers seront définitivement perdus », comme le montre cette copie d’écran :

Affichage du logiciel Wannacry : payez 300$ en bitcoins

Si vous êtes l’un de nos clients réguliers que nous accompagnons dans la durée, nous vous avons donné des consignes par anticipation pour que vous ne soyez pas affecté par ce type d’attaque. Maintenant, si vous n’êtes pas un client régulier de NeoDiffusion, les abonnés à notre lettre d’information (inscription gratuite ici) ont reçu dès dimanche 14 mai 2017 des instructions pour limiter les effets de cette attaque. Vous trouverez ci-dessous nos conseils qui permettent de ne pas être victime du Ransomware (rançongiciel) WannaCry actif depuis le 12 mai 2017.

Mes ordinateurs sont-ils vulnérables à la cyberattaque  ?

Si vous êtes un particulier ou une petite entreprise, vous êtes pour une fois avantagé : Microsoft a publié la mise à jour de sécurité MS17-010 le 14 mars 2017. Tous les ordinateurs qui sont automatiquement mis à jour devraient donc être protégés contre la faille de sécurité « SMBv1 server » spécifiquement exploitée par le rançongiciel WannaCry tel qu’il s’est propagé le vendredi 12 mai 2017. Pour autant, votre parc informatique reste comme toujours vulnérable aux modes de propagations habituels : je vous renvois à nos conseils pour se prémunir des rançongiciels.

Ce mode de propagation via la faille « SMBv1 server » explique, selon moi, pourquoi les réseaux des grandes organisations suivantes ont été particulièrement touchés : le constructeur automobile Renault en France, l’opérateur de téléphonie Telefonica en Espagne, le transporteur FedEx ou encore des hôpitaux en Angleterre, des écoles et universités. En effet, la gestion d’un grand parc informatique pousse les administrateurs système à retarder les mises à jour, pour vérifier avant leur déploiement qu’elle n’aura pas d’impact sur les logiciels métiers installés sur les différents postes informatiques. Ce délai dans les mises à jour rend ces infrastructures plus sensibles dans le cas d’une attaque exploitant une faille logicielle. La question des mises à jour des systèmes industriels est particulièrement complexe à traiter.

Que faire pour protéger mes ordinateurs et serveurs contre WanaCry ?

Si vos fichiers n’ont pas été rendus illisibles par le malware WanaCry, vous avez de la chance : le gros du danger est désormais écarté, du moins pour le ransomware propagé par la vague d’attaque du vendredi 12 mai, car nous sommes en présence d’un cas très particulier, comme je l’explique plus bas.

Les conseils ci-dessous ne sont donc applicables qu’à la version diffusée lors de la cyberattaque du 12 mai 2017 :

1/ Tout d’abord, une recommandation inhabituelle : laissez vos ordinateurs connectés à Internet. Tant qu’ils sont connectés à internet, même s’ils sont infectés par le malware, WannaCry ne se déclenchera pas. En effet, le chercheur en cybersécurité « MalwareTech » a désactivé le malware « par accident », comme il aime à le dire (plus d’explications en fin d’article).

2/ Appliquez le patch logiciel qui corrige la faille « SMBv1 server » : la page https://technet.microsoft.com/fr-fr/library/security/ms17-010.aspx donne les différents liens de téléchargement en fonction de votre version de Windows.

Devant la gravité de la situation, Microsoft a même mis au point un correctif pour Windows XP, qui n’est pourtant plus officiellement supporté. Le correctif pour Windows XP version SP3 32 bits est disponible ici : https://www.microsoft.com/fr-FR/download/details.aspx?id=55245 ; vous trouverez la liste détaillée pour tous les Systèmes d’Exploitation sur le site de microsoft : https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ (en anglais, paragraphe « Further resources »).

En alternative, vous pouvez désactiver le service « SMBv1 », en suivant ces instructions (« solution de contournement ») : https://technet.microsoft.com/fr-fr/library/security/ms17-010.aspx#ID0E3SAG

Que faire si mes fichiers ont été rendus illisibles par un Ransomware ?

Si vos fichiers ont été rendus illisibles par un Ransomware (rançongiciel), commencez par isoler l’ordinateur contaminé, assurez-vous de mettre de côté vos sauvegardes non affectées, et évaluez l’étendue des dégâts avec votre prestataire informatique…

Comment fonctionne le rançongiciel WannaCry/WanaCrypt

Même si les experts en sécurité n’ont pas encore de certitudes, les premières infections ont probablement eu lieu dans la matinée du vendredi 12 mai 2017 par une pièce jointe infectée ouverte sans précautions par un employé de chaque organisation visée… Le virus commence alors par rendre illisibles les données présentes sur l’ordinateur, puis le virus vérifie qu’un nom de domaine précis n’est pas accessible avant de se propager sur tous les autres ordinateurs et serveurs au sein de l’organisation en exploitant la faille « SMBv1 server » de Windows.

C’est en activant ce nom de domaine que le consultant en sécurité informatique « MalwareTech » a désarmé cette version du rançongiciel WannaCry. Et c’est pour cette raison qu’il est important de laisser les ordinateurs connectés à Internet, contrairement aux recommandations habituelles en pareille situation.

Ci-dessous la vidéo de la propagation du virus WannaCry, où l’on voit bien le ralentissement de l’infection :


 

Quelle stratégie adopter pour se protéger des rançongiciels tels que WannaCry ou Cryptofortress

La meilleure stratégie pour se se protéger des rançongiciels tels que WannaCry ou Cryptofortress est de s’assurer de disposer de sauvegardes qui ne puissent pas être touchées par ce type de Virus.

Le dossier de notre prochaine newsletter concernera cette problématique, si vous souhaitez le recevoir lors de sa parution, pensez à vous inscrire gratuitement ici.

Werner KLINGER
Ingénieur Conseil Web & NTIC.

Partager sur :

Partager sur Facebook Partager sur twitter Partager sur Google Plus Partager sur Linkedin