WannaCry, la faille qui cache le gouffre

Début mai, un ransomware, WannaCry s’est répandu sur la toile mondiale, infectant plus de 300 000 machines à travers le monde. De quoi s’agit-il ? Wannacry utilise un exploit [1] utilisé par un ensemble d’outils de la NSA appellé Eternalblue. Ceux-ci ont été récupérés par des hackers connus comme les Shadow Brokers. Après avoir tenté de vendre les outils aux enchères, ce groupe les a simplement mis à la disposition de tous sur la toile. Une mine pour les cybercriminels, dont WannaCry n’est que le premier exemple connu, d’autres ayant déjà suivi après la première vague. Et ce n’est pas forcément le premier malware en circulation, d’autres peuvent être plus discrets. En effet, par rapport à un ransomware classique, les pirates ont ajouté à Wannacry un payload qui se réplique automatiquement et qui se transmet de machine en machine sans aucune intervention de l’utilisateur. Plus précisément, WannaCrypt infecte les PC Windows avec un ver qui se propage à travers les réseaux en exploitant une faille du protocole SMB (Service Message Block) utilisé pour partager des fichiers et des imprimantes sous Windows. Il a recours à un bug que Microsoft a corrigé en mars 2017, mais ce correctif est uniquement valable pour les versions modernes de Windows. Les ordinateurs sous Windows XP, dont de nombreux automates de caisse ou encore certains distributeurs de billets, sont la principale cible. La meilleure méthode pour se protéger de ce type d’attaque est de migrer son parc le plus rapidement possible sous une version de Windows nettement plus récente. Et dans le cas particulier de WannaCry de désactiver la norme SMB1, de toute façon obsolète, et appliquer les mises à jour proposées par Microsoft de MS17-010 à MS17-023.

D’autre part, les outils anciens de la NSA sont désormais dans la nature et vont donc générer un foisonnement de malwares. Mieux vaut y jeter un œil également pour regarder quelles failles sont exploitées et comment s’en prémunir. Et si la NSA est régulièrement montrée du doigt, ne nous leurrons pas : désormais tous les services d’espionnage d’État utilisent des backdoors ou du DPI (Deep Packet Inspection). Sauf qu’en matière de sécurité informatique, comme de sécurité physique, plus de gens ont un accès plus ou moins légal et non contrôlé à votre système d’information, plus celui-ci est vulnérable.