Explications de Johann Armand – responsable éditorial Channelnews (extrait du site web http://www.channelnews.fr)
[…] l’attaque du rançongiciel WannaCrypt qui s’est déclenchée vendredi juste avant le week-end était d’une ampleur et d’une rapidité inédite. ll ne lui a suffi que de quelques heures pour se répandre dans le monde entier, infectant pas moins de 200.000 ordinateurs dans 150 pays et occasionnant des dégâts potentiellement considérables. Parmi les victimes, de grandes organisations telles que le service national de santé britannique (dont les hôpitaux sont fortement perturbés), le constructeur automobile Renault ou l’opérateur téléphonique espagnol Telefonica mais aussi des écoles, des universités […]WannaCrypt : les enseignements d’une attaque sans précédent
Heureusement, entre-temps l’attaque avait perdu de sa virulence suite à l’intervention fortuite d’un jeune chercheur en sécurité britannique. Vendredi, dans les heures qui ont suivi le début de l’attaque, alors qu’il était en train d’étudier le code source du rançongiciel, ce-dernier remarque que les machines infectées tentent de se connecter à un nom de domaine en .com d’une quarantaine de caractères. Ce nom de domaine n’appartenant à personne, il s’empresse de le déposer pour tracer les machines contaminées. Mais il constate bientôt cette simple action a eu pour effet d’enrayer la propagation du rançongiciel. En effet, celui-ci a été programmé pour se connecter à ce nom de domaine. Et, curieusement, il ne chiffre les données de la machine infectée qu’en cas de non réponse de ce dernier. Si le nom de domaine répond, le rançongiciel devient inopérant.
L’attaque a donc été rapidement stoppée et ce de manière triviale. Il n’en reste pas moins que sa virulence de l’attaque et sa vitesse de propagation sont préoccupants. Alors que les ransomwares traditionnels se propagent via des mails piégés, WannaCrypt s’est servi d’une faille dans le protocole d’échange réseau SMBv2 de Windows pour se propager de lui-même, note Benoît Grunemwald, directeur des opérations d’ESET France. Une technique qui s’apparente plus à celle du ver et qui explique la vitesse à laquelle il s’est répandu.
Seule parade contre cette faille, longtemps exploitée par la NSA pour ses propres besoins avant qu’elle ne soit révélée en mars dernier par The Shadow Brokers, la mise à jour de Windows. Microsoft a publié dès le 14 mars des patchs pour les versions de Windows encore supportées et a publié ce week-end une correction pour Windows XP, qui n’est plus supporté mais qui reste très répandu dans les entreprises et qui a apparemment été particulièrement vulnérable à WannaCrypt.
[…] En France, on rescense pour l’instant peu de victimes. L’Anssi évoque moins d’une dizaine d’entreprises touchées à sa connaissance. On pense notamment à Renault, dont la production de l’usine de Douai a été arrêtée dès vendredi et qui ne devait redémarrer que ce mardi matin. Mais cela reste infime par rapport au nombre de machines contaminées par ailleurs. Benoît Grunemwald a bien constaté un surcroît de 30% d’appels au support technique d’ESET ce lundi. Mais dans l’immense majorité des cas, il s’agissait de clients non impactés qui voulaient s’assurer qu’ils étaient bien protégés, explique-t-il.Autre motif de satisfaction des professionnels : le porte-monnaie bitcoin destiné à recevoir les rançons – les auteurs réclament 300 $ pour décrypter les données des machines infectées – est finalement assez peu alimenté : 40.000 dollars, selon Benoît Grunemwald. Ce qui signifie selon lui que les conseils des autorités compétentes enjoignants les victimes à ne pas payer sont plutôt suivis.
Mais si la situation s’est rapidement stabilisée chacun s’attend à de nouvelles attaques via des variantes de WannaCrypt. Les professionnels de la sécurité multiplient donc les appels pour que les entreprises opèrent les mises à jour requises si elles ne les ont déjà faites et bien-sûr pour qu’elles sauvegardent leurs données.
