WannaCry : le « ransomware augmenté » qui a suscité l’effroi ce week-end

CloudCyberDéfenseRisquesSécurité
wannacry-ransomware

Focus sur cet assaut foudroyant de WannaCry : plusieurs centaines de milliers d’organisations et d’entreprises dans le monde ont été affectées par une variante du rançongiciel. Y compris en France.

Nous ne sommes peut-être pas au bout de nos surprises avec WannaCry. L’alerte au ransomware avait été donnée dès vendredi. Elle portait sur un vaste assaut informatique a affecté 150 pays en faisant « 200 000 victimes », selon Rob Wainwright, Directeur d’Europol.

Un phénomène observé sous le prisme de l’European Cybercrime Centre (EC3) installé à La Haye. « Du jamais vu à ce niveau », estime le patron de l’organisme européen de coopération policière. Il faut rester prudent sur l’impact/. D’autres secousses pourraient survenir lundi lors de la reprise du travail.

Qu’est-ce qui a déclenché cette attaque « d’une ampleur sans précédent » ? WannaCry (également appelé WanaCryptor ou Wcry) est un rançongiciel (ransomware). Il s’exécute sur un ordinateur par le biais d’un logiciel malveillant (malware) installé à l’insu de l’utilisateur.

Il chiffre les données de ce dernier en exigeant une rançon contre le déblocage d’un PC infecté (comptez entre 300 et 600 dollars payables en bitcoins). Si tout se passe bien en coulisse avec les auteurs du piratage…

Mais, cette fois-ci, selon Europol, WannaCry a été combiné avec un ver informatique (worn) « permettant à une infection sur un ordinateur de se répandre plus rapidement à travers les réseaux ».

La NSA (service de renseignements des USA) serait impliqué dans la conception de kit maléfique qui aurait fuité (connu sous le nom « d’EternalBlue », un exploit de la NSA rendu public par Shadow Brokers).

Mesure de sécurité en France

De son côté, le CERT-FR, cellule de veille des menaces IT rattachée à l’ANSSI (agence nationale de sécurité informatique), à émettre une alerte réactualisée dimanche 14 mai sur « l’apparition d’un nouveau rançongiciel » (« Wannacry en version augmentée » pourrait-on dire).

Le programme malveillant, qui pourrait être diffusé par courriel, exploite des vulnérabilités (décrites dans le bulletin de sécurité MS17-010) pour se propager. Une faille « critique » sur le serveur SMB Microsoft Windows, dont le patch avait été diffusée par l’éditeur à partir du 14 mars 2017, constituerait donc un vecteur de propagation de WannaCry.

Selon le CERT-FR, le programme malveillant serait constitué d’un composant chargé de la propagation via le réseau qui utiliserait une vulnérabilité du service de partage de fichiers et d’un rançongiciel.

La cellule d’alerte recommande donc d’effectuer des mises à jour de sécurité « permettant de corriger les failles exploitées pour la propagation », « de limiter l’exposition du service de partage de fichiers sur Internet » et de mettre à jour des bases de signatures d’anti-virus.

En mesure d’urgence, faute de pouvoir réaliser cette opération de réactualisation de serveur dans des délais convenables, « il est recommandé de l’isoler, voire de l’éteindre le temps d’appliquer les mesures nécessaires ».

Si l’entreprise victime est déjà au stade du paiement de la rançon, le CERT-FR recommande de ne pas payer la rançon. « Le paiement ne garantit en rien le déchiffrement de vos données et peut compromettre le moyen de paiement utilisé (notamment carte bancaire). »

Juniper Networks (équipementier réseaux) prend le relais de Microsoft pour signaler la parution d’un bulletin spécial de correctifs WannaCrypt pour les plateformes Windows XP, Windows 8 et certaines plates-formes serveur qui n’ont pas reçu la mise à jour MS17-010 d’origine.

Des alertes partout dans le monde y compris en France

L’alerte WannaCry, donnée vendredi, a touché des centaines de milliers d’ordinateurs dans le monde, affectant des organismes de secteur public et des entreprises du secteur privé.

Des premières alertes sont parvenues du groupe télécoms Telefonica. Le malware aurait affecté des centaines d’ordinateurs au siège de la firme télécoms à Madrid. Obligeant les entreprises clientes de l’opérateur télécoms à se montrer vigilantes.

Plusieurs grandes autres entreprises espagnoles, tous secteurs d’activités confondues, ont été infectées :  BBVA et Santander (banques) ou Iberdrola (énergie).

Au Royaume-Uni, des signaux préoccupants sont apparus du côté du service public de santé britannique (NHS) avec « un certain nombre d’organisations affectées par des attaques informatiques ».

« La transition numérique, engagée par le Royaume-Uni pour son système de santé publique, peut expliquer que le NHS ait été l’une des premières cibles de l’attaque », évoque Christophe Jolly, Directeur France de Vectra Networks (détection des cyberattaques actives sur les réseaux d’entreprises).

« Cette stratégie engagée incluant notamment de numériser toutes les données sur les patients, les hôpitaux britanniques représentent une cible très attirante pour les cybercriminels. »

Ailleurs, dans le monde, des signaux d’alertes se sont allumés progressivement : Australie, Belgique, Italie, Mexique, Russie… Aux Etats-Unis, les autorités américaines sont aussi sur le qui-vive, en signalant de « multiples rapports d’infection par un logiciel de rançon » (WannaCry encore), estime le ministère de la sécurité intérieure (Homeland Security).

Selon Silicon.fr, parmi les entreprises dans le monde touchées par WannaCry figurent Fedex (transport & logistique de colis), Deutsche Bahn (compagnie ferroviaire allemande), Vodafone (opérateur télécoms britannique) et Renault.

Le constructeur automobile française a dû fermer certains sites de production afin d’éviter la propagation du virus, comme l’usine de Sandouville (Seine-Maritime), qui emploie 3400 salariés, et le site industriel d’une filiale du groupe en Slovénie.

« Pour le moment, on n’a pas connaissance d’entités françaises qui serait touchées par le même type d’attaque », assurait vendredi soir une porte-parole de l’ANSSI.

Les éditeurs de solutions de sécurité IT sur le pont

Les éditeurs de solutions de sécurité IT montent au créneau comme Forcepoint Security Labs, éditeur américain de solutions de sécurité (propriété de la branche Raytheon Cyber Products, regroupant les ressources de Websense et Stonesoft) ou Avast (en début de week-end, l’éditeur tchèque recensait plus de 100 000 systèmes Windows infectés en moins de 24 heures, 57 % d’entre eux étant situés en Russie).

Mais il faut rester prudent: Kaspersky Lab, autre éditeur de solutions de sécurité d’origine russe, annonçait samedi la découverte de nouvelles variantes WannaCry. La phase de propagation n’est peut-être pas achevée.

« Actuellement, nous connaissons trois variantes de ce malware, deux embarquent un kill switch [bouton d’arrêt brutal, ndlr], le troisième en est dépourvu. Nous pensons que WannaCry se propagera encore plus dès lundi, lorsque les systèmes qui ont été éteints pour le week-end et qui n’ont pas reçu les correctifs nécessaires seront remis sous tension », commente Explique Daniel Smith, expert l’Emergency Response Team chez Radware (sécurité applicative pour centres de données).

Rien qu’en exploitant ce canal WannaCry, le montant des rançons obtenues à ce jour par les cybercriminels s’élèverait à 30 000 dollars en bitcoins, selon l’expert.

« Cette attaque sera certainement un point clé dans l’évolution de la sécurité et de la conformité », évoque Laurent Pétroque, expert fraude en ligne chez F5 Networks (un concurrent de Radware).

« Tout comme nous l’avons vu avec les ransomwares Cerberus et Apache Struts, les hackers ne perdent jamais de temps avant d’améliorer les ogives de leurs logiciels malveillants avec les derniers exploits dévoilés. »

Un cercle loin d’être vertueux mais il faudra faire avec.

 


Lire la biographie de l´auteur  Masquer la biographie de l´auteur