Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

La cyberattaque mondiale NotPetya fête ses 3 ans : analyse et enseignements à tirer

juin 2020 par Jakub Kroustek, Threat Lab Team Lead, chez Avast

Le samedi 27 juin 2020 marquera les trois ans de la cyberattaque NotPetya, qui s’était répandue massivement dans les réseaux informatiques des organisations à travers le monde. La rapidité de sa propagation et les vulnérabilités utilisées en ont fait un malware redoutable qui est, encore aujourd’hui, un cas d’école pour les équipes IT.

Selon Jakub Kroustek, Threat Lab Team Lead chez Avast, ce ransomware a bousculé les systèmes informatiques mondiaux et, trois ans plus tard, beaucoup de mauvaises pratiques qui ont permis sa propagation persistent :

« La cyberattaque NotPetya est connue dans le monde informatique ainsi que par les organisations, car elle a été très invasive et sa propagation particulièrement rapide. Via le piratage du logiciel de comptabilité M.E.Doc, NotPetya s’était répandue dans les systèmes grâce aux mises à jour de ce logiciel. Cette façon de procéder était inconnue jusqu’alors. Un paradoxe puisque qu’il est généralement conseillé aux utilisateurs de mettre à jour leur logiciels afin d’éviter les attaques. Or, dans cette campagne, c’est bien le correctif, infecté par un cheval de Troie, qui déclenchait la compromission. Ce cheval de Troie a exploité trois vulnérabilités afin de se déplacer latéralement : EternalBlue, EternalRomane, et également les réseaux Windows en utilisant des identifiants dérobés aux victimes via un outil similaire à Mimikatz, qui extrait les mots de passe et des outils légitimes comme PsExec et WMIC.

Bien que cette attaque se soit répandue via un patch, il est essentiel que les entreprises mettent à jour leurs systèmes d’exploitation et leurs applications dès qu’un correctif est disponible. En effet, ces techniques étaient bien connues et des patchs corrigeant ces vulnérabilités étaient disponibles ; en particulier pour EternalBlue qui avait été utilisée par WannaCry moins de deux mois auparavant. En outre, ce n’est probablement qu’une question de temps avant qu’une attaque similaire ne se reproduise. Le moment et l’ampleur de la campagne dépendront de multiples facteurs dont, notamment, de la disponibilité d’une faille majeure, comme EternalBlue, ainsi que de la motivation et des compétences de son auteur.

Microsoft s’est efforcé de corriger la vulnérabilité EternalBlue : elle n’est désormais présente que dans anciens systèmes, comme Windows 7 et Windows XP. Sur les PC analysés par Avast du 23 mai au 22 juin 2020, seulement 4 % d’entre eux dans le monde fonctionnent encore avec EternalBlue, contre 1,37 % en France.

Pour se protéger contre ces menaces, les entreprises devraient adopter plusieurs niveaux de sécurité ; tels qu’un antivirus, un pare-feu et un système de détection des intrusions, ainsi que des mises à jour régulières des logiciels et micrologiciels, et une politique de droits d’accès claire et stricte. Il est en outre conseillé que les organisations évaluent régulièrement les logiciels utilisés, afin de s’assurer qu’ils bénéficient toujours de toutes les mises à jour de sécurité nécessaires à leur bon fonctionnement. Par ailleurs, il ne faut pas négliger le facteur humain, puisque les erreurs des utilisateurs représentent les principales failles exploitées par les cybercriminels. Il est donc essentiel que les équipes IT forment régulièrement les employés aux bonnes pratiques de cybersécurité.

Par ailleurs, il est recommandé d’effectuer fréquemment des tests d’intrusion, pour voir où se situent les vulnérabilités en et hors ligne, que les pirates informatiques pourraient exploiter. En effet, les hackers recherchent sans relâche des brèches pour s’infiltrer dans les réseaux d’une entreprise. Enfin, les organisations devraient conserver des sauvegardes de leurs données - via le cloud, des disques durs externes, des périphériques réseau, des clés USB ou encore des lecteurs flash. Afin de sécuriser les données au mieux, il est même préférable de stocker des données dans deux endroits différents, par exemple sur le cloud et sur un disque dur externe. Lorsque ce dernier est utilisé, il est important de le déconnecter et de le garder dans un endroit sûr après le processus de sauvegarde afin de le protéger contre tous les logiciels malveillants pouvant se propager des ordinateurs aux périphériques connectés. Ainsi, en cas d’attaque ransomware, par exemple, une organisation n’aura pas à payer la rançon en espérant récupérer ses données, car ces dernières seront stockées en toute sécurité.

Les cyberattaques se suivent et, malheureusement, beaucoup d’entre elles se ressemblent. Les bonnes pratiques ne sont pas bien connues de tous les utilisateurs, et les niveaux de sécurité déployés au sein de entreprises ne sont pas toujours optimaux. Ces lacunes représentent par conséquent autant de vulnérabilités pour les cybercriminels, à l’affut de la moindre opportunité. Les organisations devraient donc tirer les enseignements nécessaires des attaques telles que NotPetya, afin d’empêcher qu’elles ne se répètent à l’avenir. »


Voir les articles précédents

    

Voir les articles suivants