© Tyler Olson

Depuis plusieurs années, l’ANSSI redoutait un attaque en ransomware d’importance qui pourrait bloquer un très grand nombre d’entreprises dans le monde. Ce ransomware utilise une faille de Microsoft https://technet.microsoft.com/fr-fr/library/security/MS17-010 publiée en mars dernier et qui donc aurait dû être patchée dans les entreprises... Microsoft vient de publier un bulletin public listant les correctifs pour Windows XP, Windows 8 et certaines plates-formes serveur qui n’ont pas reçu la mise à jour MS17-010 d’origine. L’annonce est disponible à cette adresse : https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ .
Elle se sert aussi, une fois de plus, de la crédulité des utilisateurs toujours trop prompts à cliquer sur les liens ou des pièces jointes. Ce ransomware aurait bombardé le Web par plus de 45 000 attaques touchant plusieurs milliers d’entreprises dans 74 pays selon Kasrpersky (au 13 mai 2017). Il est important de noter que la visibilité de Kaspersky Lab peut être limitée et incomplète. Cela signifie que le nombre et l’éventail de victimes sont probablement bien plus larges…

D’ailleurs, Guillaume Poupard, dans les colonnes de notre magazine trimestriel, s’en était inquiété il y a déjà deux ans. En effet, les experts de l’ANSSI avait repéré à l’époque un nouveau type de malware qui était présent sur les SI des entreprises sans mené aucune action, comme de « simples observateurs » . Guillaume Poupard redoutait à l’époque qu’une telle attaque pourrait mettre la vie d’être humain en danger… c’est d’ailleurs ce qui arrive actuellement en Grande Bretagne avec les dégâts sur les SI du système de santé de ce pays qui entraine des reports d’examens, un blocage des opérations… En France, c’est Renault qui a annoncé officiellement que sa ligne de production de Sandouville avait été bloquée entrainant des retards de livraison de certain type de véhicules. Pour la France, cette attaque étant tombée la veille d’un week-end au mois de mai, avec les congés à soldés et donc bon nombre d’absents dans les entreprises on risque de voir les conséquences de cette attaque se poursuivre durant plusieurs semaines au fur et à mesure de la remise en marche des ordinateurs… D’ailleurs, Daniel Smith, Chargé de l’Intelligence Sécurité au sein de l’Emergency Response Team chez Radware, semble partager l’avis du responsable d’Europol : la portée du malware WannaCry pourrait s’accroître dès demain matin et occasionner des dégâts dont le coût potentiel dépasse largement les rançons obtenues à ce jour (environ 30 000 $ en Bitcoins) par les cybercriminels : "Actuellement, nous connaissons trois variantes de ce malware, deux embarquent un kill switch, le troisième en est dépourvu. Nous pensons que WannaCry se propagera encore plus dès lundi, lorsque les systèmes qui ont été éteints pour le week-end et qui n’ont pas reçu les correctifs nécessaires seront remis sous tension." Explique Daniel Smith, expert l’Emergency Response Team chez Radware.
« Si on regarde les 3 portefeuilles Bitcoins indiqués dans la première version du code, les responsables de l’extorsion ont réalisé un bénéfice d’environ 30 000 $ avec cette campagne. Un montant nettement inférieur à celui que représentent les dommages occasionnés. Des hôpitaux, l’industrie automobile, les télécommunications, les universités, les gouvernements, les institutions financières, les transports, les panneaux d’affichage urbains et même les distributeurs et guichets automatiques ont été affectés par cette campagne. »

Pour avoir une idée de l’ampleur des dégâts occasionnés par cette attaque Comme le dit un expert en Cybersécurité : « Il suffit d’aller sur Twitter pour se rendre compte du carton !

Renault :
http://www.lepoint.fr/societe/renault-touche-par-la-vague-de-cyberattaques-internationales-13-05-2017-2127044_23.php

Panneaux d’affichage de la Deutsche Bahn :
https://twitter.com/L0gg0l/status/863138067904962560
https://twitter.com/hack4lifemx/status/863161212598726658

Universitéde Milan :
https://twitter.com/dodicin/status/862991818904002565

Hall d’accueil d’une entreprise non précisée :
https://twitter.com/amtinits/status/863166195461238784

Etc. etc. »

Selon les experts de Kaspersky, l’attaque est initiée via l’exécution à distance d’un code SMBv2 dans Microsoft
Windows. Cet exploit (nom de code : “EternalBlue”) a été mis à disposition en ligne via le dump de Shadowbrokers
le 14 avril 2017 et corrigé par Microsoft le 14 Mars. Il semblerait que beaucoup d’entreprises n’aient pas installé le correctif ;
De plus, l’extension “.WCRY” est ajoutée au nom de fichier des données chiffrées.

Pour les experts de Juniper, " une nouvelle variante de WannaCry qui n’utilise pas le mécanisme "Killswitch" original a déjà été repérée. Les chercheurs soupçonnent actuellement que ce mécanisme cache une tentative de contournement de certains types de moteurs d’analyse dynamique qui répondent automatiquement aux demandes GET arbitraires, empêchant ainsi la « détonation » dans l’environnement et évitant de ce fait la détection.
Dans ce contexte ESET, recommande aux utilisateurs de mettre à jour de manière proactive leurs systèmes d’exploitation,
et de faire preuve de prudence lors de l’ouverture des pièces jointes.
De manière plus générale, concernant WannaCry, les informations au moment de la rédaction semblaient indiquer que le point d’infection initial au sein de la plupart des organisations repose sur des mécanismes traditionnels, principalement des courriels et des fichiers PDF livrés sur Internet grâce au botnet Necurs. La spécificité de WannaCry est évidemment sa capacité à s’éloigner du modèle « Patent Zero » pour se propager rapidement sur un réseau compatible SMBv1.
Un regard sur le code de l’un des exemples publics d’EternalBlue révèle pourquoi il est si efficace : il ne nécessite absolument aucune interaction de la part de l’attaquant et facilite un mécanisme de distribution efficace pour le ransomware au sein des entreprisse vulnérables."

Selon Ryan Kalember, expert cybersécurité Proofpoint : “La nouvelle attaque au ransomware Wannacryptor, exploitant une importante vulnérabilité Microsoft dont le patch est disponible et qui aurait déjà dû être corrigée, s’est rapidement propagée à l’échelle mondiale. Il est inquiétant que cette attaque utilisant une méthode de propagation de type ‘’worm’’ se soit avérée si problématique pour de grandes organisations disposant d’infrastructures critiques pouvant avoir un impact sur la santé des individus. Nous sommes convaincus qu’il ne s’agissait que d’une question de temps avant qu’une attaque de ce type soit lancée, dans la mesure où les vulnérabilités de Microsoft représentaient une trop belle opportunité pour les cybercriminels de s’y engouffrer pour propager rapidement leur attaque ransomware et en tirer un bénéfice financier.

Selon notre analyse, et pour la première fois, de nouvelles formes de ransomware apparaissent désormais en moyenne une fois par jour. Au premier trimestre 2017, quatre fois plus de nouveaux ransomware qu’au quatrième trimestre 2016 sont apparus. Alors que cette nouvelle cyberattaque ne semble pas avoir eu autant de succès que des attaques ciblées de malware que nous observons régulièrement, les réseaux d’organisations mal protégées ont été sévèrement touchés car l’attaque se répercute sur tous les systèmes vulnérables du même réseau.

Si vous pensez avoir été infecté par un ransomware, n’éteignez pas votre ordinateur. Ne tentez pas de déchiffrer vos dossiers vous-mêmes et ne versez pas d’argent. Evitez également de connecter d’autres appareils – clés USB, disques de sauvegarde, téléphone - à votre ordinateur infecté pour tenter de récupérer vos fichiers. Confiez votre machine à un expert en sécurité informatique qui pourra récupérer vos données et vérifier qu’il n’y a pas d’autre malware dans l’ordinateur. Enfin, que vous soyez un particulier ou employé d’une entreprise touchée, vous devez rapporter l’incident à la gendarmerie ou au commissariat le plus proche. Votre entreprise doit normalement avoir un système de sauvegarde. La plupart des organisations ont déjà arrêté de payer des rançons, car même si elles sont infectées, elles pourront restaurer leurs systèmes.”

Bien sûr ce type d’attaque peut se produire aussi facilement grâce à la quasi impunité dont jouissent les pirates informatiques du fait du manque d’accords au niveau législatif entre les Etats du monde. Une fois de plus nous pensons qu’il est impératif qu’une législation universelle pour le Web soit mise en oeuvre par tous les Etats du monde comme on le voit dans le domaine maritime ou aérien.

Dans tous les cas, cette attaque montre une fois de plus la faiblesse de notre économie qui repose sur le Web. Il faudra quelques semaines pour évaluer l’ampleur des dégâts sur les entreprises, sans nul doute qu’ils seront importants. On ne recommandera jamais assez de patcher au plus vite les SI surtout sur des vulnérabilités critiques, de se méfier des mails que l’on reçoit y compris de ses collègues leurs adresses mail pouvant être usurpées…