Le ransomware "WannaCrypt" fait beaucoup parler de lui ces derniers jours : plus de 200 000 victimes dans 150 pays, des milliers de dollars récoltés… Se propageant via une vulnérabilité Microsoft® Windows, comment une attaque d’une telle ampleur a-t-elle été rendue possible ?
Caractéristiques de WannaCrypt
Cette attaque n’est pas nouvelle dans son genre, mais sa portée est spectaculaire comparée aux autres menaces. Pour autant, cela n’est pas surprenant. Les techniques utilisées par les pirates évoluent aussi rapidement que les technologies de cybersécurité.
L’originalité de cette menace repose sur sa double fonction. Agissant comme un ransomware par la demande de rançon, WannaCrypt dispose des capacités d’un ver informatique, ce qui lui permet de se propager par lui-même.
La différence entre WannaCrypt et d'autres ransomwares repose sur l'usage d'outils de piratage que la NSA aurait laissé fuiter. Ces outils permettent à l’infection de se répandre de manière autonome à travers le réseau, d'où la vitesse de propagation jamais atteinte avec une infection par ransomware. La découverte de la vulnérabilité utilisée date du 14 avril 2017, elle concerne principalement les anciennes versions de Windows.
Le vendredi 12 mai 2017, 14 383 utilisateurs ESET rapportent jusqu’à 66 566 tentatives d’attaque, toutes maîtrisées :
- 9 922 clients ont rapporté 60 187 tentatives bloquées par notre détection de fichier / mémoire
- 4 461 utilisateurs ont rapporté 6 379 tentatives bloquées par notre module de protection du réseau
Voici les principaux pays touchés par cette attaque, à partir des éléments de détection ESET [1]:
Une prise de risque délibérée de la part de la DSI ?
Bien que Microsoft ait réalisé une mise à jour (MS17-010) suite à la découverte de cette faille, même sur des OS obsolètes tels qu’XP, l’ordinateur n’est pas pour autant protégé contre WannaCrypt.
N’oublions pas que la mise à jour des systèmes d’exploitation est une décision qui doit être prise suite à la réalisation de l’analyse de risque. Bien souvent, la DSI estime que le risque de faire face à une menace serait bien moins couteux pour l’entreprise que de patcher les systèmes. Dans ce cas, des mesures préalables de sauvegarde et de restauration sont mises en place.
D’autres raisons empêchent également l’application de mises à jour qui peut par exemple perturber des services vitaux. Les systèmes SCADA sont d’ailleurs très sensibles à ces changements pouvant causer des problèmes d’indisponibilité.
Entre responsabilité et budget
Qui est responsable ? Au vu du nombre de facteurs qui entre en jeu, comme ceux cités précédemment, la responsabilité est difficilement imputable. En théorie, la responsabilité du service technique ne peut être engagée, car il doit faire face à des contraintes, notamment en matière de budget. Si l’on tire une leçon de cette attaque, c’est que les entreprises doivent prendre leur responsabilité et choisir entre mise à jour des OS et réaction en cas d’infection.
Anticiper pour se préparer
Notre service Threat Intelligence et les recherches menées par les laboratoires ESET® se sont préparés à ce type d’attaque. Nos technologies nous permettent de réagir rapidement notamment en utilisant le machine learning, pour faire face aux nombreuses variantes de WannaCrypt.
Notre support reçoit quasiment à 100% des appels à propos de ce ransomware. Nous avons une hausse de 30% du nombre d’appels. Face à cette menace, les utilisateurs souhaitent se rassurer et recevoir des conseils avisés. Sur l'ensemble des appels reçus, aucun utilisateur n’a été touché par WannaCrypt.
ESET fait partie des premiers éditeurs ayant repéré WannaCryptor.D, notre détection date du 06 avril 2017. La menace est bloquée par plusieurs modules de protection : la partie ransomware d’une part, secondée par le module de protection réseau. Cette deuxième partie bloque l'exploit permettant la propagation de la menace. ESET a alerté ses utilisateurs sur son site Internet.Toutes les instructions, étape par étape, sont renseignées pour qu'ils s'assurent d'être correctement protégés contre cette menace.
Des mesures de prévention pour diminuer les risques
Pour une protection générale contre les ransomwares, nous recommandons aux utilisateurs :
- de garder leur système d'exploitation et leur logiciel à jour
- d’utiliser une solution de sécurité fiable avec plusieurs couches de protection
- de créer des sauvegardes (idéalement sur un disque dur externe déconnecté du réseau)
- de sensibiliser leurs collaborateurs aux risques informatiques
L'étude des comportements des cyberattaquants et l'expertise des chercheurs d'ESET sur les outils et méthodologies employés par les pirates constituent pour les millions de clients d'ESET dans le monde un avantage stratégique.
Vous trouverez ci-dessous les liens utiles et relatifs à cette attaque :
- article WeLiveSecurity, qui décrit l'attaque
- support ESET, qui détaille les instructions à suivre
Benoît GRUNEMWALD
Directeur des Opérations - ESET France
À propos d'ESET
Fondée en 1992, la société ESET est spécialisée dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public. Pionnier en matière de détection proactive des menaces véhiculées par l’Internet, ESET est aujourd'hui le leader dans ce domaine et classé 5ème éditeur mondial dans le dernier rapport du Gartner Group. À ce jour, l’antivirus ESET Nod32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. ESET Nod32, ESET Smart Security et ESET Cybersecurity pour Mac sont reconnus et appréciés par des millions d’utilisateurs dans le monde. ESET a déjà reçu plusieurs distinctions en Allemagne notamment. Fin 2015, ESET Endpoint Security a été choisi par les lecteurs de Vogel IT Media comme le meilleur antivirus sur le marché allemand. De nombreuses autres récompenses ont distingué les solutions ESET : ESET Mobile avec Stiftung Warentest en février 2016, Prix CRN…
[1] Détections de fichiers/mémoires, à l’exclusion du module de protection