Alors que le rançongiciel WannaCry déferle dans le monde entier depuis les hôpitaux anglais, en passant par le constructeur automobile Renault-Nissan, ou encore le ministère de l’intérieur russe, des dizaines de milliers d’ordinateurs ont été infectés par ce virus informatique qui prend contrôle, en les encryptant, des fichiers se trouvant sur des ordinateurs sous Windows non mis à jour depuis la mi-avril. Une rançon de 300 dollars est demandée pour récupérer les fichiers.

 

D’où vient le rançongiciel WannaCry?

Il s’agit d’un outil de piratage qui avait été mis au point par les services de renseignements américains (NSA), probablement dans un but offensif, et qui leur a été dérobé. L’outil se basait sur l’exploitation d’une faille de sécurité encore jamais exploitée (« zero-day »), mais que la NSA s’est gardée de rendre publique. Cela en dit long sur le fait que la cybersécurité est devenue une arme.

 

 

Comment se répand-il?

Le rançongiciel se répand sur les ordinateurs Windows sur lesquels la mise à jour d’avril (MS-17-010) n’a pas été installée. Il s’agit essentiellement de versions Windows XP, Vista, Windows Server 2008 et POS ready 2009. On consultera le bulletin d’alerte du CERT pour avoir le détail (CERTFR-2017-ALE-010).

Comment arrêter la propagation?

  • Couper immédiatement la connexion réseau.
  • Si vous ne disposez pas d’une sauvegarde, effectuez immédiatement sur un support externe une sauvegarde rapide des fichiers essentiels, en supposant qu’ils pourraient également être infectés.
  • Installer le dernier correctif Microsoft MS-17-010 immédiatement ou mieux, installer la version la plus récente du système d’exploitation Windows si vos applications la supportent.
  • Mettre à jour votre base de signatures antivirus.
  • Assurez-vous de disposer d’une sauvegarde non infectée.
  • Ne cliquer sur aucun courriel douteux ni aucun lien dont vous ne soyez certains, le virus étant connu pour se propager par l’intermédiaire d’une pièce jointe au format Word.

Comment restaurer le service en cas d’atteinte?

  • Remonter le serveur avec une version à jour (OS et base de signatures).
  • Remonter vos sauvegardes.

Quels sont les moyens de prévention immédiate?

  • Limiter le partage de fichiers.
  • Mettre à jour vos serveurs et vos bases de signatures antivirus.
  • S’il n’est pas possible de mettre à jour votre système d’exploitation, isoler le serveur et l’éteindre si possible.

Quels sont les moyens de prévention de fond?

Ce type d’incident peut être prévenu. Les antivirus et les VPN sont en fait relativement efficaces. Il faut donc rappeler que si la solution est essentiellement technique, la cause du problème est bien souvent organisationnelle. Voici donc les pratiques à mettre en œuvre pour éviter de nouvelles attaques :

  • Disposer d’un inventaire de votre parc complet et à jour : plusieurs entreprises sont malheureusement encore défaillantes à ce sujet;
  • Effectuer des audits de vulnérabilités sur vos machines;
  • Mettre en place des systèmes de prévention d’intrusion et de détection d’intrusion;
  • Définir un système de journalisation axé sur l’analyse comportementale (définition de scénarios d’usage);
  • Exploiter les journaux : cela peut paraître évident, mais nombre d’organisations enregistrent les événements sans pourtant les exploiter;
  • Disposer d’un plan de sauvegarde et le tester;
  • Disposer d’un plan de relève et le tester : le plan de relève peut être d’actualité dans le cas où le nombre de machines infectées au sein de l’entreprise deviendrait majeur;
  • Éduquer votre personnel avec un programme de formation adéquat : capsules vidéos, courriel, tous les moyens sont bons pour sensibiliser votre personnel à reconnaître de l’hameçonnage, à rapporter tout comportement anormal et à ne jamais stocker d’informations confidentielles de façon non sécurisée.

Faut-il payer la rançon?

Non, et ce, pour deux raisons : rien ne garantit que vous récupérerez vos fichiers et cela encourage les criminels à recommencer.

La question de fond :

Faut-il, selon vous, révéler les failles de sécurité au grand public dès qu’elles sont détectées pour donner une chance à tout le monde de s’en protéger mais en même temps aux pirates de les exploiter? La NSA connaissait la faille depuis longtemps, puisqu’elle avait développé un outil pour l’exploiter.

Lire aussi :

Cyberattaque : réaction de Microsoft à WannaCry

Rançongiciel : une cyberattaque mondiale