WanaCrypt0r l’arbre qui cache la forêt

WanaCrypt0r 2.0 ransomware
WanaCrypt0r 2.0 est la nouvelle version du ransomware WannaCry qui sévit depuis ce vendredi 12 mai. Près de 200 000 victimes dans 150 pays ont été touchés par cette cyber-attaque d’une ampleur phénoménale. On compte parmi les victimes les hôpitaux britanniques (NHS), Renault, le système bancaire russe, la Deutsche Bahn, Telefonica, le groupe américain FedEx ou encore des universités en Grèce et en Italie …

 

Comment WanaCrypt0r exploite les vulnérabilités Microsoft

Baptisée WannaCry, l’attaque est initiée par  l’exécution de code  malveillant  en utilisant  une faille dans l’implémentation du protocole SMBv1 (RCE) des systèmes d’exploitation  Microsoft Windows.

Une fois l’utilisateur infecté, WanaCrypt0r chiffre les données qu’il découvre et demande de payer une rançon de 300$ en Bitcoins (monnaie virtuel intraçable) pour leurs restitutions.

Sans intervention dans les 3 jours le prix de la rançon double.

Cette attaque utilise le code d’un exploit (nom de code : “EternalBlue”) rendu public le 14 avril 2017 via le dump de Shadowbrokers.

Un mois auparavant, le 14 mars 2017, Microsoft avait corrigé la faille et mis à disposition un patch pour les systèmes encore supportés par l’éditeur.

Cependant de nombreuses organisations (entreprises, associations, universités …) n’ont toujours pas déployé le correctif ou utilisent des systèmes d’exploitations dépassés et non maintenue.

 

Les systèmes d’exploitation Windows vulnérables

Windows XP
Windows XP Service Pack 2 pour systèmes x64
Windows XP Service Pack 3 pour systèmes 32 bits
Windows XP Embedded  Service Pack 3 x86 pour systèmes 32 bits

Windows 8
Windows 8 pour systèmes 32 bits
Windows 8 pour systèmes x64

Windows Server 2003
Windows Server 2003 Service Pack 2 pour systèmes x64,
Windows Server 2003 Service Pack 2 x86 pour systèmes 32 bits

Windows Vista
Windows Vista Service Pack 2
Windows Vista Édition x64 Service Pack 2

Windows Server 2008
Windows Server 2008 pour systèmes 32 bits Service Pack 2
Windows Server 2008 pour systèmes x64 Service Pack 2
Windows Server 2008 pour systèmes Itanium Service Pack 2

Windows 7
Windows 7 pour systèmes 32 bits Service Pack 1
Windows 7 pour systèmes 32 bits Service Pack 1
Windows 7 pour systèmes x64 Service Pack 1
Windows 7 pour systèmes x64 Service Pack 1

Windows Server 2008 R2
Windows Server 2008 R2 pour systèmes x64 Service Pack 1
Windows Server 2008 R2 pour systèmes x64 Service Pack 1
Windows Server 2008 R2 pour systèmes Itanium Service Pack 1
Windows Server 2008 R2 pour systèmes Itanium Service Pack 1

Windows 8.1
Windows 8.1 pour systèmes 32 bits
Windows 8.1 pour systèmes 32 bits
Windows 8.1 pour systèmes x64
Windows 8.1 pour systèmes x64

Windows Server 2012 et Windows Server 2012 R2
Windows Server 2012
Windows Server 2012 R2

Windows RT 8.1

Windows 10
Windows 10 pour systèmes 32 bits
Windows 10 pour systèmes x64
Windows 10 version 1511 pour systèmes 32 bits
Windows 10 version 1511 pour systèmes x64
Windows 10 version 1607 pour systèmes 32 bits
Windows 10 version 1607 pour systèmes x64

Windows Server 2016
Windows Server 2016 pour systèmes x64

 

WanaCrypt0r l’arbre qui cache la forêt

Pourquoi cette cyber-attaque est tant médiatisée ? Au delà de la rapidité de la diffusion de WanaCrypt0r, c’est surtout le nombre d’utilisateurs touchés qui interpelle. On énonce le chiffre de 200 000 victimes mais il est beaucoup plus important car WanaCrypt0r touche aussi bien les entreprises que les particuliers.

L’exploitation de cette faille connue depuis le 14 mars remet en avant le débat sur le respect des bonnes pratiques de sécurité à quelques mois de l’entrée en application du RGPD (Règlement général sur la protection des données). Les entreprises sont de plus en plus exposées aux cyberattaques à cause du nombre croissant de nouvelles vulnérabilités. En 2016, pas moins de  10137 nouvelles vulnérabilités ont été recensées soit plus de 28 par jours en moyenne.

Chacune de ces failles est connue et référencée. Il est donc très simple de les exploiter si les correctifs n’ont pas été appliqués. Elles peuvent toucher toutes les entreprises car elles concernent les systèmes d’exploitation, bases de données, sites internet, applications …

 

Comment restreindre le risque de cyberattaques ?

Il est normal de se poser la question suite : comment une telle cyber-attaque a pu avoir lieu alors qu’elle était connue et que Microsoft l’avait corrigé ?

Pour la grande majorité des Responsable de la sécurité des systèmes d’information (RSSI) il est difficile de surveiller toutes les nouvelles vulnérabilités qui sont détectées chaque jour. Les audits de sécurité effectués 1 ou 2 fois par an ne sont plus efficaces pour endiguer un risque informatique quotidien.

L’unique solution à mettre en place est l’analyse de vulnérabilités récurrente. Elle permet de surveiller en continue les nouvelles vulnérabilités ainsi que leur criticité pour une meilleure intervention. Tous les RSSI utilisant une telle solution ont pu détecter leurs vulnérabilités face au ransomware WanaCrypt0r 2.0 et mettre en place les correctifs nécessaires. Pour tous les autres, il est nécessaire de faire un test pour vérifier que vous n’êtes pas vulnérable.

Nous vous invitons à tester votre parc informatique dès maintenant pour éviter d’être infecté par ce ransomware … et ses futures évolutions.

Leave a Reply