RSS

WannaCrypt : attaque massive et sans précédent contre des milliers d’entreprises dans le monde

15 Mai

Source : ZDNet

Sécurité : Renault, FedEx mais aussi des hôpitaux ont été visés par une attaque coordonnée qui exploite des failles pourtant corrigées depuis mars. Microsoft est sur le pont avec des patchs en urgence.

C’est une attaque sans précédent qui se propage depuis vendredi contre des milliers d’entreprises et institutions principalement européennes. 80 pays seraient concernés par cette offensive coordonnée et massive touchant des firmes comme Renault en France, Telefonica en Espagne, FedEx ou encore des hôpitaux en Angleterre, des écoles, des universités. Des dizaines de milliers de machines auraient été touchées à travers plus de 45.000 attaques.

De quoi provoquer des blocages partiels ou total d’activité. Chez Renault, la production a ainsi du être arrêtée par précaution sur certains sites comme Sandouville en attendant de pouvoir débloquer les PC infectés.

C’est un ransomware qui est à l’origine de cette attaque : WannaCrypt (également connu sous les noms Wcry, WanaCry, WanaCrypt, Wanna Decryptor) qui une fois installé bloque l’accès aux fichiers et exige une rançon (300 dollars) pour rendre sa liberté au système. Comme d’habitude, c’est par une vaste campagne de phishing par email que le ransomware s’est retrouvé dans de nombreux PC.

WannaCrypt exploite une faille dans Windows corrigée pourtant depuis mars dernier et divulguée par les désormais célèbres Shadowbrokers. Kaspersky détaille :

« L’attaque est initiée via l’exécution à distance d’un code SMBv2 dans Microsoft Windows. Cet exploit (nom de code : “EternalBlue”) a été mis à disposition en ligne via le dump de Shadowbrokers le 14 avril 2017 et corrigé par Microsoft le 14 Mars. Il semblerait que beaucoup d’entreprises n’aient pas installé le correctif. Kaspersky Lab a dénombré plus de 45 000 attaques du ransomware WannaCry dans 74 pays à travers le monde, principalement en Russie. Il est important de noter que la visibilité de Kaspersky Lab peut être limitée et incomplète. Cela signifie que le nombre et l’éventail de victimes sont probablement bien plus larges ».

Rappelons que cette faille avait été exploitée par la NSA et que son outil d’exploitation avait fuité il y a quelques semaines, toujours grâce aux Shadowbrokers. Des pirates s’en sont donc rapidement emparé pour mener cette attaque.

L’existence d’un patch ne veut donc pas dire qu’il est appliqué partout, la preuve. Toutes les entreprises touchées, comme Renault en France, n’avaient visiblement pas pris au sérieux le bulletin de sécurité de Microsoft estampillé MS-17-010. Et le constructeur n’est pas le seul à avoir oublié ce correctif pourtant critique.

Le cas Windows XP

D’un autre côté, nombre de ces entreprises utilisent encore l’ancien Windows XP qui n’est plus supporté par Microsoft et qui ne bénéficiait donc pas de ce correctif salvateur. Une vraie porte ouverte pour les pirates. Idem pour Windows 8 et Server 2003.

En France, l’ANSSI a émis une alerte, et conseille en cas d’infection d’un système « de l’isoler, voire de l’éteindre le temps d’appliquer les mesures nécessaires ». Dans le même temps, Microsoft prend l’affaire très au sérieux et a décidé de donner un coup de main aux entreprises et institutions touchées en diffusant exceptionnellement un patch pour Windows XP, Windows 8 et Windows Server 2003. Face à l’ampleur de l’attaque, Redmond n’avait pas le choix.

Microsoft précise que « les clients utilisant Windows 10 n’ont pas été affectés par cette attaque aujourd’hui ».

La propagation de l’attaque serait aujourd’hui en voie d’être stoppée grâce à la mise en place de ces contre-mesures et à l’intervention d’un chercheur en sécurité qui a accidentellement trouvé le moyen d’actionner un mécanisme d’autoblocage.

Selon le Monde : « le chercheur en sécurité informatique anonyme, connu uniquement par son pseudonyme sur les réseaux sociaux, MalwareTech, a découvert dans la nuit de vendredi à samedi l’adresse d’un site Internet dans le code du logiciel. Le virus tentait de se connecter à ce site lors de sa diffusion ; si le site était injoignable, il poursuivait sa propagation. Ayant constaté que le nom de domaine était à vendre, MalwareTech l’a simplement acheté, activant sans s’en rendre compte le mécanisme d’urgence qui semblait avoir été prévu par les créateurs du logiciel et stoppant sa propagation ».
Nous sommes sur la pente descendante, les nouvelles infections sont très rares », a d’ailleurs constaté Vikram Thakur, chercheur chez Symantec, interrogé par le Guardian. De quoi permettre de circonscrire l’attaque à l’Europe, les Etats-Unis ayant été relativement préservés.

Reste que les machines bloquées restent bloquées, il faudra donc attendre de trouver un moyen de déchiffrer les fichiers des PC infectés. Ou payer (ce qui n’offre aucune garantie de déblocage).

Publicités
 

Étiquettes : , ,

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

 
%d blogueurs aiment cette page :