Aller au contenu

cyberattaque "ransomware" du 12 mai 2017


Paul_Wi11iams

Messages recommandés

Oui, c'est ce que j'ai dit, le risque de laisser de telles failles peut ensuite être récupérée par des hackers, lis un peu mieux ce que je dis, et reste poli merci ma poule ! ;)

 

Autrement dit, si je te comprends bien, Microsoft aurait du connaître la faille AVANT qu'elle ne soit trouvée !

 

Tu as mal lu l'historique de cette vulnérabilité :

- découverte de la faille (et de bien d'autres) par un groupe nommé The Equation Group, dont on pense qu'il s'agit en fait d'un service de la NSA

- The Equation Group se fait voler 300 mb de données par un groupe de hackers nommé Shadow Brocker (peut être associé aux russes) qui les met en vente aux enchères sur les réseaux parallèles, on est entre août 2016 et décembre 2016

- avertissement de la faille courant janvier-février par les experts en sécurité qui ont pu voir les codes diffusés par Shadow Brocker

- patch de sécurité diffusé par Microsoft le 14 mars 2017 (MS17-010) sur les systèmes supportés (Windows 7, 8, 8.1 et 10). C'est le 10ième patch diffusée pour 2017, soit un patch par semaine en moyenne !

- le 14 avril on peut lire de nombreux tutoriels qui expliquent comment exploiter la faille EternalBlue, vecteur de diffusion exploité par les auteurs de la cyberattaque

- 11 mai, activation de la charge "WannaCry" (le rancongiciel)

- 12 mai, Microsoft met en ligne un patch pour ses vieux OS antérieurs à Seven, mais sur leur site, le moyen de désactiver manuellement le protocole SMBv1 était déjà en ligne depuis longtemps pour ces OS

Modifié par Fred_76
Lien vers le commentaire
Partager sur d’autres sites

  • Réponses 69
  • Créé
  • Dernière réponse

Les pipelettes du sujet

Les pipelettes du sujet

C'est tout à fait cela, je ne vois pas où est le problème, la faille est découverte par d'autres que MS, comme bien souvent, se gardant bien de transmettre immédiatement l'info. :be:.

Pour un organisme payé par les impôts, deux ou deux mois de latence c'est long, et on peut voir les dégâts à la finale.

 

Ce qui peut laisser perplexe, ce sont des failles laissées volontairement, je sais ce n'est sans doute pas le cas ici, mais dans le cas du Patriot Act on se peut se poser la question, bien que ce ne soit pas le sujet. Intox ou réalité ?

Lien vers le commentaire
Partager sur d’autres sites

Windows n'étant pas un OS sécurisé et de plus propriétaire, donc deux fois rédhibitoire, bien fait na!

:D

Windows est sécurisé si on s'en donne la peine, bien qu'évidemment, il soit, de par sa position dominante (sauf serveurs), la cible de toutes les attaques.

L'insécurité vient surtout de l'utilisateur, mais pas toujours, la preuve.

En l'occurrence, l'insécurité, c'est la NSA, un comble ! :be:

Modifié par paradise
Lien vers le commentaire
Partager sur d’autres sites

Mais si vous saviez le nombre de vulnérabilités qu'on dénombre aussi dans les innombrables distro Linux... :

 

http://www.cvedetails.com/top-50-vendors.php

 

Ok Microsoft arrive en tête du top 50, mais c'est parce que chaque éditeur Linux est compté séparément. Faites l'addition, vous serez étonné

 

Et encore, c'est le top 50 toutes années confondues depuis 1999. Si on regarde les 5 dernières années, Microsoft est entre la 3e et la 6e place, les premiers étant Oracle, Apple, Google et IBM. Linux est même devant Microsoft pour 2017 avec 273 vilnerabilités identifiées contre 183. Comme quoi.

Modifié par Fred_76
Lien vers le commentaire
Partager sur d’autres sites

Mais si vous saviez le nombre de vulnérabilités qu'on dénombre aussi dans les innombrables distro Linux... :

 

http://www.cvedetails.com/top-50-vendors.php

 

Ok Microsoft arrive en tête du top 50, mais c'est parce que chaque éditeur Linux est compté séparément. Faites l'addition, vous serez étonné

 

Et encore, c'est le top 50 toutes années confondues depuis 1999. Si on regarde les 5 dernières années, Microsoft est entre la 3e et la 6e place, les premiers étant Oracle, Apple, Google et IBM. Linux est même devant Microsoft pour 2017 avec 273 vilnerabilités identifiées contre 183. Comme quoi.

Ça fait peur !! !ph34r!

Modifié par paradise
Lien vers le commentaire
Partager sur d’autres sites

Que les hôpitaux britanniques, au dernier sou, soient encore sous XP, ça ne m'étonne pas. Mais si Renault, fleuron de l'industrie automobile française est au même point, ça choque un peu. Il y a au moins un administrateur réseau qui, à court de sommeil, passera une mauvaise quart d'heure dans le bureau de son directeur lundi matin... pour feuilleter les offres d'emploi ensuite.

 

Au fait, j'ai un vieux ordi qui a XP à côté de Linux, mais je n'utilise rarement en Windows. Il passe par un câble réseau sur un autre avec Windows 7. Il me semble que entre le parefeu, l'antivirus et la mise à jour de Windows 7, rien ne devrait filtrer jusqu'à l'autre machine.

 

Mais je vais télécharger le patch ici et le recopier vers l'autre machine à l'occasion. Merci pour l'info :)

 

ma boite, leader mondiale dans le numerique a encore des PC en XP un peu partout..:be:

Lien vers le commentaire
Partager sur d’autres sites

Windows n'étant pas un OS sécurisé et de plus propriétaire, donc deux fois rédhibitoire, bien fait na!

 

Il n'est pas plus sécurisé que les autres OS. Regarde les CVE et tu verras que Apple et Linux sont aussi en haut de la liste. Et désormais, pas mal de code de Windows est public, ou s'appuie sur des algorithmes publics.

Lien vers le commentaire
Partager sur d’autres sites

Aux dernières nouvelles, l'attaque viendrait d'un groupe de hackers nommé "Lazarus", qui a des liens avec le régime dictatorial de la Corée du Nord. Les experts d'une ribambelle de pays (USA, Israel, Russie et d'autres) sont arrivés à la même conclusion en analysant le code du rançongiciel et en notant des similarités dans son écriture avec d'autres codes malveillants dont on sait qu'ils proviennent de cette source.

 

En effet, chaque programmeur informatique, qu'il soit hacker ou non, a son style, tout comme les écrivains, et on peut donc, en analysant le code, se faire une idée de qui l'a écrit.

Lien vers le commentaire
Partager sur d’autres sites

Aux dernières nouvelles, l'attaque viendrait d'un groupe de hackers nommé "Lazarus", qui a des liens avec le régime dictatorial de la Corée du Nord. Les experts d'une ribambelle de pays (USA, Israel, Russie et d'autres) sont arrivés à la même conclusion en analysant le code du rançongiciel et en notant des similarités dans son écriture avec d'autres codes malveillants dont on sait qu'ils proviennent de cette source.

 

En effet, chaque programmeur informatique, qu'il soit hacker ou non, a son style, tout comme les écrivains, et on peut donc, en analysant le code, se faire une idée de qui l'a écrit.

 

oui enfin ils ne sont pas si catégorique que ca.. ca parle plutot de bout de code plutot que d'une ecriture specifique

Un ingénieur de Kaspersky, poid lourds de la sécurité informatique, s'est penché sur cette hypothèse à la suite de ce tweet. Il a lui aussi trouvé d'autres bouts de code communs entre un programme malveillant utilisé par le groupe Lazarus, Contopee, et Wannacry.

 

mais apparemment, c'est trop leger..

 

Il est trop tôt pour établir l'implication de Lazarus à partir des éléments disponibles. «Les similarités constatées entre le programme malveillant lié à ce groupe et WannaCry ne sont pas suffisamment uniques pour suggérer de manière forte un opérateur commun», a déclaré un chercheur de FireEye, John Miller. «Nous sommes ouverts pour enquêter dans toutes les directions mais nous ne spéculons pas et nous ne pouvons pas confirmer cela», a indiqué à l'AFP Jan Op Gen Oorth, porte-parole d'Europol. «Il est trop tôt pour dire quoi que ce soit.»

 

http://www.lefigaro.fr/secteur/high-tech/2017/05/16/32001-20170516ARTFIG00093-cyberattaque-wannacry-un-groupe-de-pirates-lies-a-la-coree-du-nord-est-suspecte.php

Modifié par a_centaure
Lien vers le commentaire
Partager sur d’autres sites

Sa ce passe comment avec les organisations comme le Cern , etc ? ont ils ete touchés aussi ?

ils sont pas sous un Nux leurs ordis ?

Les gens non touchés n'ont peut-être tout simplement pas été ciblés, ou bien ils ont bien mis à jour leurs postes et serveurs Win, ou bien ils ont des serveurs/postes UNIX-like, va-t-en savoir. :cool:

Lien vers le commentaire
Partager sur d’autres sites

Tous nos serveurs sont sous Linux. Hors de question de confier ce genre de tâche à Microsoft.

 

J'aimerais cependant savoir, cela signifie-t-il que le virus soit entré directement de l'extérieur dans des serveurs Windows accessibles à distance ?

 

Les trois années passées ont vu chacune se propager leur vague de ransomwares. A chaque fois les serveurs Windows étaient touchés tout simplement parce qu'un poste infecté y avait accès, et le processus d'infection était ultra basique : un exécutable contenu dans une pièce jointe d'un email et lancé par un idiot. Nos serveurs Linux ne sont accessibles que via un terminal SSH avec login et mot de passe, donc hors de portée directe d'un applicatif tournant sur le poste du client, puisque volontairement jamais partagés directement sous Samba.

 

Dans la version de l'année dernière, la pièce jointe était un fichier .scr (économiseur d'écran Windows, en fait un simple .exe renommé en .scr) dans une archive zippée. Il y a toujours des rigolos pour finir par l'ouvrir et le lancer "pour voir".

 

Le véritable problème, c'est que sa nature virale a toujours été indétectable par la totalité des antivirus connu. Je ne sais pas au juste comment ils ont fait (ni comment les éditeurs d'antivirus se sont débrouillés pour que ça leur échappe à ce point), mais c'est un fait.

 

En fait, la seule parade consistait à interdire l'exécution de programmes depuis un répertoire temporaire (ou évidemment, à effacer le message sans l'ouvrir ^^). Il y a une règle de gestion (policy) à mettre en place depuis le gestionnaire de l'ordinateur, mais ça n'existe que sur les versions professionnelles de Windows. Pour les versions familiales, BitDefender a diffusé un petit programme à installer en tâche de fond, qui fait de l'attente active pour empêcher l'exécution des programmes depuis un un dossier temporaire.

 

Bien évidemment, aucune de ces mesures ne fonctionnera si l'utilisateur pousse le vice jusqu'à sortir le virus de l'archive et le copier sur son bureau ou dans n'importe quel autre dossier "normal" avant de le lancer.

 

Et comme aucun antivirus au monde n'est fichu de s'apercevoir du danger de la chose, eh ben quelques mn plus tard, il a fini de crypter tous vos documents et bases de données à sa portée (ce qui inclut donc la totalité des ressources partagées accessibles au poste, et il n'est nul besoin d'invoquer une faille de SMB, puisque le système croit avoir affaire à un traitement ordinaire effectué depuis le poste) et vous affiche un joli splash screen vous demandant une rançon en bitcoins...

 

En tout cas, c'était comme ça les années précédentes... Et cette fois-ci, il aurait pénétré les serveurs tout seul comme un grand, donc ? Ou est-ce qu'il y a tout simplement encore eu des négligences de la part d'utilisateurs des sites infectés ?

Lien vers le commentaire
Partager sur d’autres sites

Beaucoup de grosse boîtes utilisent Linux :)

 

Pour les systèmes industriels (commandes de machines outils, contrôle avancé des procédés de fabrication...), oui, mais pour la bureautique, très très peu. Là c'est Windows qui règne en maître quasi absolu.

Lien vers le commentaire
Partager sur d’autres sites

On prévoit parfois un partage Samba dans une information bay indépendante pour les documents en accès libre depuis les postes sous Windows... Et ceux-là se font évidemment contaminer comme sur un vulgaire serveur Windows. Par contre, le système et les ibays accessible seulement en ssh restent inviolables

 

A partir du moment où l'utilisateur y est connecté sous Samba avec son login et son mot de passe et a logiquement des droits en écriture sur les fichiers qui s'y trouvent (pas pratique pour bosser sur une feuille Excel sinon ! ^^), ben je ne vois aucune possibilité d'empêcher le virus d'y sévir... Encore une fois, SMB en lui-même n'y est pour rien, tout simplement parce qu'il n'a aucun moyen de distinguer l'action d'un virus de celle d'Excel ou de Word ! ^^

Lien vers le commentaire
Partager sur d’autres sites

Cherche la littérature sur Eternal Blue. C'est la faille exploitée pour la propagation de la charge WannaCry. Il y a des tutoriels qui montrent pas par pas comment prendre le contrôle d'un ordinateur vulnérable à distance pour y injecter un code de son choix. Il suffit juste de connaître son adresse IP.

 

Visiblement les hackers ont testé plein d'IP au petit bonheur (ils avaient certainement une liste préétablie) et injecté WannaCry dans ceux qui n'étaient pas protégés.

 

Ensuite, toujours avec Eternal Blue, la charge pouvait se propager de poste en poste sur un intranet, en prenant les IP locaux.

Modifié par Fred_76
Lien vers le commentaire
Partager sur d’autres sites

Sa ce passe comment avec les organisations comme le Cern , etc ? ont ils ete touchés aussi ?

ils sont pas sous un Nux leurs ordis ?

 

Étant dans un laboratoire mixte CNRS/université, les moyens informatiques (et techniques en général) sont limités et on se débrouille un peu chacun dans son coin. Néanmoins, on est tous sensé avoir des OS à jour, avec anti-virus et sauvegarde automatique sur le réseau. On ne doit pas non plus travailler au quotidien avec un compte ayant des droits administrateurs.

 

En pratique, il reste des PC sous XP... sur les appareils de mesure. Ces PC ne sont pas sur le réseau (pas de surf, pas d'email...) mais quand même. Transfert des données par clés USB (pas mal des fois aussi pour les virus).

 

Pour l'arrivée de wannacry, les services informatiques ont coupé certaines parties des réseaux et isolé des serveurs sensibles, le temps de comprendre ce qu'il se passait.

 

Pour l'ESRF, le synchrotron européen installé à Grenoble, ils sont massivement sous Linux, en particulier pour le contrôle/commande. J'imagine que les observatoires astronomiques doivent être dans des cas similaires (avec de plus en plus du contrôle à longue distance, les chercheurs qui obtiennent du temps de mesure sur l'observatoire ne font plus le déplacement physique mais restent dans leur labo).

 

Sauf que pour ma dernière campagne de mesure à l'ESRF, je suis venu avec mon PC sous XP pour contrôler mes propres instruments de mesure. J'ai mis le PC sur leur réseau pour pouvoir contrôler mes appareils à distance, l'expérience étant sous rayons X. Donc, petit trou dans la sécurité :confused:.

Lien vers le commentaire
Partager sur d’autres sites

Pour les systèmes industriels (commandes de machines outils, contrôle avancé des procédés de fabrication...), oui, mais pour la bureautique, très très peu. Là c'est Windows qui règne en maître quasi absolu.

Tant mieux, ou tant pis, c'est selon.:D

 

Personnellement, c'est Linux qui m'a réconcilié avec l'informatique, en tant que simple particulier. :)

Lien vers le commentaire
Partager sur d’autres sites

Cherche la littérature sur Eternal Blue. C'est la faille exploitée pour la propagation de la charge WannaCry.

Sérieusement, un backdoor de la NSA carrément implanté dans le protocole de partage de fichiers ?

 

Et en plus ils ont laissé fuiter les infos tehcniques ?

 

Quelles burnes ! >_<

 

Ils sont bien gentils avec leurs histoire de XP, mais qu'est-ce qui nous dit que ce n'est pas toujours présent dans des versions plus récentes de Windows ? Ils l'ont vraiment retiré ?

Lien vers le commentaire
Partager sur d’autres sites

Sérieusement, un backdoor de la NSA carrément implanté dans le protocole de partage de fichiers ?

 

Et en plus ils ont laissé fuiter les infos tehcniques ?

 

Quelles burnes ! >_<

 

Ils sont bien gentils avec leurs histoire de XP, mais qu'est-ce qui nous dit que ce n'est pas toujours présent dans des versions plus récentes de Windows ? Ils l'ont vraiment retiré ?

 

ce qui est sur, c'est que la NSA avait identifié la faille, mais se la gardait sous le coude. Ensuite, c'est avec les wikileaks (me semble) que ca a été rendu public (le faite que la NSA ne communiquait pas)

Lien vers le commentaire
Partager sur d’autres sites

Ouais, ben TOUS mes clients qui ont fait la mise à jour en Windows 10 sur des cartes mères Asus H81 se sont retrouvés avec des PC qui se figent au bout d'environs 30 mn d'utilisation.

 

Résultat -> retour sous Windows 7 avec une réinstallation complète à la clé.

 

Moi, Windows 10, je veux bien, mais faudrait que ça fonctionne, pour commencer. :grr

Lien vers le commentaire
Partager sur d’autres sites

Rejoignez la conversation !

Vous pouvez répondre maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous pour poster avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.