Tous les médias ont parlé ce week-end de l’attaque mondiale par ransomware qui se propage à grande vitesse. Retour sur WannaCrypt (et ses dérivés), son fonctionnement, ses conséquences et les manières de l’éviter.
La plupart du temps, seules deux solutions s’offrent aux personnes touchées : payer la rançon ou réinstaller entièrement le système… en acceptant de perdre l’intégralité des données chiffrées. Toutefois, l’Agence nationale de la sécurité des systèmes d’information (Anssi) invite les personnes touchées à ne pas payer la rançon demandée. « Le paiement ne garantit en rien le déchiffrement des données et peut en plus compromettre le moyen de paiement utilisé » explique-t-elle.
Usines, panneaux d’affichage et hôpitaux touchés
De nombreuses organisations internationales ont déjà été victimes de ce ransomware baptisé WCry, WannaCry ou encore WannaCrypt (les variantes sont nombreuses). Les principales agences de sécurité estiment à 5 millions le nombre d’emails vérolés envoyés chaque heure par le réseau de machines infectées. En France, c’est l’entreprise Renault qui a beaucoup fait parler d’elle ce week-end. Il s’agissait selon l’Anssi de la seule entité française touchée alors répertoriée. Il est cependant fort probable que, depuis, d’autres structures aient vu certains de leurs ordinateurs être impactés.
En conséquence, les cas de dysfonctionnement de certains services ou d’arrêt de certaines lignes de production sont nombreux à être recensés. Outre l’usine Novo Mesto de Renault en Slovénie qui a été arrêtée, on note également que des gares allemandes ont été touchées (notamment au niveau de leurs systèmes d’affichage) ou — plus inquiétant — que des hôpitaux britanniques du service public ont été forcés d’éteindre complètement leurs systèmes informatiques, ce qui a potentiellement pu mettre en danger la vie de certains patients.
Les outils volés de la NSA utilisés
Ce qu’il faut savoir, au-delà de l’ampleur de cette cyberattaque, c’est qu’elle exploite une faille de sécurité des systèmes Windows que Microsoft a corrigée il y a quelques mois (la mise à jour en question porte la numérotation MS17-010). Une faille a priori présente uniquement sous Windows 7, Windows Server 2008 et les versions inférieures du système d’exploitation. Si elle s’est répandue à grande vitesse, c’est donc surtout parce que de nombreux ordinateurs n’avaient pas encore été mis à jour. Il n’a ensuite fallu que quelques semaines pour que ce ransomware devienne une affaire mondiale, sa mise au point étant en partie basée sur les fameux outils volés de la NSA, déjà au cœur du malware DoublePulsar.
L’écran affiché sur un ordinateur infecté, qui exige ici un paiement en bitcoins d’une valeur de 300 $
C’est effectivement le groupe de hackers Shadow Brokers qui a mis à jour la faille utilisée, baptisée Eternal Blue. Outre les e-mails vérolés — qui cherchent à faire lancer un programme caché aux utilisateurs —, cette attaque peut également se répandre d’ordinateur à ordinateur, sur les réseaux privés, par l’intermédiaire du protocole SMB. C’est d’ailleurs cette dernière particularité qui fait de WannaCrypt et consorts un malware particulièrement dangereux et viral.
Un patch même pour les versions de Windows plus supportées
Bonne nouvelle, Microsoft a rapidement réagi et — même si certains des systèmes touchés ne sont plus supportés, tels que Windows XP ou Windows Server 2003 — la firme s’est décidée à publier de nouveau un correctif pour tous les systèmes Windows afin de permettre à Windows Defender de détecter et bloquer ce malware. En ce lundi, il est donc plus que conseillé de mettre à jour les machines sous Windows, sachant que l’attaque pourrait connaître un nouvel élan avec le retour au bureau de centaines de millions de salariés dont les ordinateurs peuvent potentiellement être touchés. Les responsables des services informatiques doivent en effet s’attendre à avoir du pain sur la planche.
En plus de répéter les habituelles précautions à prendre en matière de sécurité informatique, le National Cyber Security Center britannique rappelle qu’il est également important de réaliser des copies de sauvegarde régulières de ses données, sachant que « l’on ne peut pas être rançonné pour des données que l’on détient ailleurs« . Chacun est évidemment encouragé à lancer Windows Update pour vérifier que son système est à jour ; on constate d’ailleurs actuellement une certaine lenteur des serveurs de Microsoft sans doute pris d’assaut par les mises à jour en cours.