Vous êtes dans : Accueil > Tribunes libres >

Rançongiciel : propagation massive et mondiale : l’ANSSI sonne l’alerte !

Charles Blanc-Rolin , SAMEDI 13 MAI 2017

Le secteur IT mondial s’apprête à vivre une importante crise. Un nouveau rançongiciel chiffrant (ou cryptovirus) se propage de manière préoccupante sur l’ensemble de la planète depuis ce vendredi 12 mai.

Wana Decrypt0r 2.0 [1] exploite la vulnérabilité Windows MS17-010 (aussi connue sous le nom Eternal Blue) dévoilée lors de la récente publication sur Wikileaks des « outils d’espionnage » gardés sous le coude par nos amis américains de la NSA. Extrêmement médiatisée, il est possible de trouver de nombreux tutoriels expliquant comment l’exploiter !
Cette vulnérabilité concerne le protocole SMB (Server Message Block), qui n’est autre que le protocole permettant notamment le partage de fichiers sous Windows (d’où la criticité de cette attaque) et s’applique à toutes les versions de Windows, client et serveurs, y compris Windows 10 et Windows Server 2016.
Sa propagation massive est aussi due au fait que cette vulnérabilité n’a été corrigée que très récemment par Microsoft, et par conséquent, pas encore assez appliquée sur les systèmes.

Seul remède avéré, avoir des systèmes d’exploitation à jour. Effectivement cette vulnérabilité a été « patchée » dans la mise à jour de sécurité mensuelle Windows de mars 2017.
Pas évident sur certains serveur applicatifs, d’autant plus si le système n’est plus maintenu, comme Windows 2003 Server, encore très présent dans nos établissements, comme dans beaucoup d’entreprises.

Dans une alerte publiée dans la soirée du 12 mai, l’ANSSI recommande de « patcher » en urgence les systèmes et préconise même la déconnexion réseau, voir l’arrêt des serveurs en attendant de réaliser l’opération. Une situation de crise et des actions difficiles à mener en particulier pour les systèmes obsolètes.

Selon Jakub Kroustek, chercheur chez Avast, plus de 57 000 victimes auraient été infectées en quelques heures ! Et ce n’est malheureusement qu’un début. Malwaretech propose une mappemonde montrant en live les infections constatées par pays, et bien évidemment la France n’est pas épargnée !

De nombreux pays d’Asie, d’Europe et d’Amérique ont été touchés.
Pour le moment, les chercheurs ne se sont pas prononcés sur le moyen exact de propagation de cette campagne, messagerie, code malveillant sur des sites, attaques RDP…. La messagerie reste l’éventualité la plus probable au vue du nombre d’infections.

Le secteur de la santé britannique est fortement impacté et l’incident est vécu comme une véritable situation de crise [2]. Système d’information totalement interrompu, plus de téléphonie. De nombreux hôpitaux et cliniques ont annulés leurs interventions programmées et demandent aux patients de se rendre aux urgences qu’en cas d’extrême nécessité. Les patients dont le pronostic vital est engagé seront bien évidemment pris en charge, mais sans aucun accès aux informations médicales, certaines opérations risquent de se dérouler en mode « médecine de guerre ».

Alors que faire sur le terrain ? Patcher au plus vite lorsque c’est possible, alerter les utilisateurs, bloquer l’accès aux webmails personnels, voir l’accès à Internet. Débrancher les postes infectés au plus vite en cas d’infection. Isoler les serveurs critiques, mettre les sauvegardes au chaud, serrer les fesses, se remonter les manches et préparer l’huile de coude…


[1] Vous pourrez retrouver différentes appellations parfois plus logiques d’ailleurs : WannaCry, WanaCrypt0r, WannaCrypt, WCry ou encore Wana Decryptor apparu dans sa première version en février et mars 2017.

[2] http://www.blackpoolgazette.co.uk/news/health/updated-nhs-hit-by-huge-cyber-attack-avoid-a-e-and-walk-in-centres-unless-absolutely-necessary-1-8540798 

#microsoft#hit#