Et si la cyberattaque géante WannaCry était une opportunité ?

Par :
Romain Quinat

mar, 16/05/2017 - 12:15

Vendredi dernier 12 mai a eu lieu une attaque massive de ransomware exploitant une faille Microsoft Windows connue (CVE-20170144 ou MS17-010) datant du 14 mars 2017. A ce stade, les gains des cybercriminels semblent relativement peu élevés puisque nous parlons d’environ 40 000 euros récoltés. Pour une attaque mondiale d’une ampleur rarement vue, les gains semblent loin des « standards » habituels des attaques de ransomware.

Toutefois, pour beaucoup d’entreprises, l’attaque a eu des effets financiers bien plus importants que le montant de la rançon demandée ! En effet, pour assurer leur protection certaines entreprises ont dû mettre à l’arrêt l’activité d’usines entières et cela risque d’avoir un coût non négligeable.

Cette attaque nous démontre encore une fois que la sécurité est encore trop souvent négligée par les entreprises. Elles n’ont soit pas les moyens humains et financiers de s’armer, soit elles pensent être suffisamment protégées et ne se remettent pas en question. Voici un rappel des mesures incontournables à mettre en place pour s’éviter de sombrer face à des telles menaces :

Renouveler régulièrement son matériel et ses OS !

L’obsolescence d’un parc informatique est un facteur de risque important. Les OS qui peuvent paraître techniquement stables ne sont pas pour autant exempt de failles qui ne seront pas corrigées par l’éditeur au-delà de la période de maintenance.

La vulnérabilité exploitée par le malware WannaCry est généralisée à tous les systèmes d’exploitation Microsoft car elle exploite une faille du protocole SMBv1.

Le protocole SMB (Common Internet File System) permet entre autres de connecter des lecteurs réseaux et d’échanger des fichiers entre ordinateurs.

La version v1 de ce protocole est apparue sur Windows 2000 et fût utilisée par Windows XP, Windows Server 2003 et 2003 R2. Il s’agit donc d’anciens Operating Systems dont la fin de support étendu était le 14 juillet 2015, c’est à dire il y a presque 2 ans.

Pour des raisons de compatibilité entre les différentes versions de Windows, le protocole SMB v1 reste activé par défaut sur tous les Windows. Mais si l’entreprise est passée à des versions d’OS supérieurs (Seven, W10, Windows Server 2016…) il est possible de désactiver la version SMBv1 mise en cause pour ne conserver que les versions SMBv2 ou v3.

Les OS doivent être mis à jour, c’est une obligation

La mise à jour des serveurs et postes de travail est malheureusement souvent la dernière roue du carrosse alors qu’elle permet de se protéger d’une grande partie des attaques.

De nombreuses entreprises n’affectent pas assez de ressources à la mise à jour de leur parc informatique. Leur activité est souvent critique et semble peu compatible avec des arrêts périodiques. Elles ne peuvent donc pas se permettre de passer à côté des derniers patchs de sécurité. Les directions ne se sentent souvent pas forcément concernées et elles mettent généralement la priorité sur la production, génératrice de revenus…

Pourtant dans ce cas, les patchs de sécurité étaient disponibles exceptionnellement sur tous les OS, même les plus anciens théoriquement non maintenus comme WindowsXP. Les mises à jour de sécurité étaient téléchargeables chez Microsoft depuis quasiment 2 mois (14 mars 2017).

Une politique de mise à jour est relativement compliquée à mettre en place car elle nécessite la mise en place d’un processus fiable permettant d’installer de manière quasi automatique les patchs. Les services les plus critiques des entreprises étant en général redondés, il est même possible de patcher sans générer des coupures sur l’outil de production.

Avoir de bons outils (eux aussi mis à jour)

La plupart des éditeurs avaient des produits prêts, à jour et capables d’éviter cette attaque massive.

La vulnérabilité étant catégorisées comme critique, tous les éditeurs du marché ont développé des stratégies pour bloquer le ransomware. Sans être exhaustif, voici quelques outils efficaces.

Phishing : le virus est arrivé par mail dans une pièce jointe ou derrière un lien URL cliquable dans le mail. Les passerelles mails permettent de se prémunir des sources peu fiables. Voire directement de bloquer les pièces jointes.

SandBox : les pièces jointes auraient pu être exécutées dans des machines virtuelles du type Sandbox pour vérifier ses actions potentiellement malveillantes. Ainsi, il y a de grandes chances pour que l’email n’ait pu passer ce test.

DNS : l’année 2016 a vu apparaitre de nouveaux outils permettant de vérifier la légitimité des requêtes DNS. Pour commencer à chiffrer des fichiers, un ransomware doit récupérer des clés de chiffrement. La première étape pour récupérer une clé est de faire une requête permettant de trouver l’adresse du serveur malveillant. Si cette requête est bloquée, le malware se trouve empêché de fonctionner.

Flux réseaux : des outils sont capables de suivre tous les échanges entre ordinateurs d’une entreprise et de reconnaitre un comportement malicieux. Ces outils peuvent soit avertir qu’un poste est probablement compromis, voire isoler le poste pour limiter les actions du ransomware.

Clients sur les serveurs : classiquement ce sont des antivirus mais ils peuvent être beaucoup plus évolués. Dans le meilleur des cas, ils vont analyser le comportement des applications et détecter des actions illicites. Dans ce cas-là, le ransomware ne pourra pas s’installer sur l’ordinateur, au pire il se trouvera bloqué avant d’effectuer ses actions malicieuses.

L’utilisation d’un ou plusieurs logiciels de sécurité aurait permis de limiter les attaques.

Cette attaque massive doit être vue comme un avertissement. Elle va permettre à tous de prendre conscience des conséquences d’une informatique obsolète ou mal configurée. Mais au lieu de baisser les bras face aux attaques, si différentes et variées, ce ransomware doit être vu comme une opportunité pour tous les responsables sécurité des entreprises. Pour mieux lutter, ils doivent prendre plus de poids dans les décisions informatiques et être entendus par leur direction.

Sources :
https://www.it-connect.fr/quelle-version-du-protocole-smb-utilisez-vous/
https://technet.microsoft.com/fr-fr/library/security/ms17-010.aspx

A propos de l'auteur

Romain Quinat
Romain Quinat, Expert sécurité de Nomios, intégrateur cybersécurité et réseaux