Aller au contenu

cyberattaque "ransomware" du 12 mai 2017


Paul_Wi11iams

Messages recommandés

Bonjour.

 

toujours pas de fil ouvert à ce sujet ?

 

La cyberattaque dont tout le monde parle semble affecter des ordinateurs sous Windows un peu partout.

  • Quelles versions de Windows ?

On en déduit que le monde "astro" soit concerné tôt ou tard, mais pas forcement chez les particuliers.

 

Juste en écoutant les infos, j'ai compris que c'est un ancien ransomware (logiciel de séquestration de données) qui est réapparu et profite d'une certaine impréparation dans les organisations victimes utilisant les réseaux locaux.

 

Une fois installé, il encrypte le contenu des disques et ensuite demande une rançon en bitcoins moyennant quoi il promettant de restituer un mot de passe à l'utilisateur. Il n'y a pas d'indication que un éventuel paiement est suivi d'effet et le chemin par lequel le mot de passe reviendrait n'est pas indiqué. Les "autorités" déconseillent tout paiement.

 

Le mode de transmission du logiciel malveillant n'est pas très clairement décrit mais on dit qu'il passe par un courriel avec la particularité de n'avoir pas besoin d'être ouvert pour sévir.

  • Exploite-t-il une faille dans le/les logiciels de messagerie ?
  • Ce courriel nécessite-t-il une intervention malencontreuse de l'utilisateur pour être retransmis ensuite ?

 

Aux conséquences d'une ampleur sans précédente, ce logiciel malveillant affecte des organisations publiques et privés un peu partout au monde, mais notamment en Europe. On parle, entre autres, du service de santé britannique et de Renault en France. On n'évoque pas particulièrement les ordinateurs personnels ne fonctionnant pas dans un réseau.

 

Il paraît que Windows a fourni un "patch", terme qui reste ambigu et impropre car il date de l'époque des cartes perforées et concerne le fait d’effectuer une correction en rebouchant un trou dans un carte tout en perçant un autre ! "Patch" de nos jours s'applique au fait de remplacer un fichier de programme exécutable à l’intérieur d'un logiciel ou (ici) d'un système d'exploitation. On peut inférer que certains usagers ont une version de Windows non mise à jour, ce qui serait irresponsable de la part des grandes organisations.

 

  • Est-ce que la solution est diffusée avec les mise à jour habituels de Windows ?
  • Est-ce que la solution est diffusée avec les mise à jour des antivirus "propriétaire" ?

 

En attendant que d'autres partagent des éléments plus précis, je reviendrai éditer ici selon les informations trouvées.

 

D'autres infos ?

 

Edit: Je viens rajouter le bon mot français que Fred-76 a indiqué ici pour traduire "ransomware": rançongiciel

Modifié par Paul_Wi11iams
Lien vers le commentaire
Partager sur d’autres sites

  • Réponses 69
  • Créé
  • Dernière réponse

Les pipelettes du sujet

Les pipelettes du sujet

C'est surtout les Windows XP qui sont en danger, patch a télécharger ici:

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

 

Si vous faites les mises a jour régulières pour les autres systèmes, pas de soucis, elle a été faite en mars, le problème de XP c'est qu'il n'y avait plus de mises a jour de sécurité.

Lien vers le commentaire
Partager sur d’autres sites

Posté (modifié)
C'est surtout les Windows XP qui sont en danger, patch a télécharger ici:

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

 

Si vous faites les mises a jour régulières pour les autres systèmes, pas de soucis, elle a été faite en mars, le problème de XP c'est qu'il n'y avait plus de mises a jour de sécurité.

 

Que les hôpitaux britanniques, au dernier sou, soient encore sous XP, ça ne m'étonne pas. Mais si Renault, fleuron de l'industrie automobile française est au même point, ça choque un peu. Il y a au moins un administrateur réseau qui, à court de sommeil, passera une mauvaise quart d'heure dans le bureau de son directeur lundi matin... pour feuilleter les offres d'emploi ensuite.

 

Au fait, j'ai un vieux ordi qui a XP à côté de Linux, mais je n'utilise rarement en Windows. Il passe par un câble réseau sur un autre avec Windows 7. Il me semble que entre le parefeu, l'antivirus et la mise à jour de Windows 7, rien ne devrait filtrer jusqu'à l'autre machine.

 

Mais je vais télécharger le patch ici et le recopier vers l'autre machine à l'occasion. Merci pour l'info :)

Modifié par Paul_Wi11iams
Lien vers le commentaire
Partager sur d’autres sites

WannaCrypt, c'est le nom de ce cryptolocker bien sympathique. Basé sur une faille touchante une grande majorité des machines sous Windows. Faille bien connue de la NSA qui l'exploite depuis bien longtemps au lieu de la signaler à Microsoft et éviter ce genre de catastrophe. Le correctif a été publié par Microsoft depuis Mars et le patch de ces derniers jours est destiné aux versions "périmées" de Windows dont XP.

 

Si nos gouvernements continuent avec ce genre de magouille, les attaques à grandes échelles ne sont pas prêtes à cesser. Et certains politiques veulent interdire le chiffrement ou obliger la transmission des clés privée pour notre "sécurité"...

 

Les "autorités" déconseillent tout paiement.

 

Les experts français en effet. Les Américains eux, ne sont pas contre...

 

Exploite-t-il une faille dans le/les logiciels de messagerie ?

 

Le processus malveillant est propagé tout d'abord par mail généralement et nécessite d'être exécuté par un utilisateur privilégié sur la machine, puis il agit comme un "ver" il se propage par le réseau et exploite les ports 139 et 445 toujours en écoute sur les PC Windows.

 

Est-ce que la solution est diffusée avec les mise à jour habituels de Windows ?

 

Corrigé le 14 mars https://technet.microsoft.com/fr-fr/library/security/ms17-010.aspx

 

Est-ce que la solution est diffusée avec les mise à jour des antivirus "propriétaire" ?

 

Peu d'antivirus peuvent bloquer ce genre de ransomware. Il arrive en effet sous une forme déjà chiffrée qui empêche sa détection par une signature déjà connue. Le seul moyen de détection est l'analyse comportementale lorsque la donnée utilisateur commence à être chiffrée (génialement il est trop tard).

Le cryptlocker communique aussi avec des serveurs de contrôle qui peuvent être répertoriés dans des bases d'IP connues pour leurs activités malveillantes.

 

Sinon il n'y a pas 30 000 solutions pour se protéger, la sauvegarde est indispensable, et un compte utilisateur Windows doit être Utilisateur et non Administrateur. Un cryptolocker de ce genre à peu de chance d'être exécuté par un utilisateur sans privilège.

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir.

 

 

Pour l'anecdote durant ces deux jours passés, cette mise à jour (voir l'image) sur le PC portable avec Windows 10 que j'utilise en ce moment et sur l'autre de Bureau avec Windows 7 ça a été la grosse mémer.. .ce matin.

 

363293rique.png

 

Attention à l'infection.:o

 

Je déconne :be:

Lien vers le commentaire
Partager sur d’autres sites

Que les hôpitaux britanniques, au dernier sou, soient encore sous XP, ça ne m'étonne pas. Mais si Renault, fleuron de l'industrie automobile française est au même point, ça choque un peu. :)

 

En fait c'est normal, il y a plein d'automates, machines industrielles diverses qui sont encore sur XP.

Le cycle c'est 10 à 15 ans.

On ne peut pas changer ou faire évoluer le cerveau qui commande la machine comme ça.

Lien vers le commentaire
Partager sur d’autres sites

Oui mais les réseaux industriels sont normalement complètement déconnectés du réseau bureautique (le seul connecté à internet). En tous cas c'est comme ça dans la PME où je bosse. Le réseau industriel nécessite des clefs d'accès très protégées et ne communique avec le réseau bureautique que par des tables d'échange de données. En gros le réseau industriel dépose des infos dans un serveur "ultra basique" (incapable d'exécuter quoique ce soit), et le réseau bureautique va lire les données. Et vice versa. Ainsi aucun programme malveillant ne peut passer.

Lien vers le commentaire
Partager sur d’autres sites

Posté (modifié)

Merci à vous tous qui avez enrichi ce fil, parti de mes intérrogations en #01.

 

En fait c'est normal, il y a plein d'automates, machines industrielles diverses qui sont encore sur XP.

Le cycle c'est 10 à 15 ans.

On ne peut pas changer ou faire évoluer le cerveau qui commande la machine comme ça.

Ce n'est pas grave s'il n'arrive que

.

Lorsqu'on a un matériel vulnérable ou "sensible", ça tombe sous le sens qu'il passe par quelque chose de récent pour ses interactions avec l'Internet. Si les automates sont nombreux, et pour éviter une propagation, il serait intéressant de faire un branchement en étoile avec quelque chose de solide au centre. Bon, je ne suis pas informaticien réseaux et ne sais pas ce que cela implique comme mise en place. Cependant...

  • Sur l'ISS avec pleine d'applications critiques, on peut avoir un réseau local, mais pas directement sur le Web.

  • Au QG de SpaceX, un poste informatique peut se "connecter" sur l'Internet, mais le serveur/interface transforme les écrans de réponses entrants en forme d'image de façon à ce que tout ver est tué dans l’œuf avant même d'y entrer.

 

Edit: ceci s'est croisé avec la réponse rassurante de Fred_76 qui allait dans le même sens.

Modifié par Paul_Wi11iams
Lien vers le commentaire
Partager sur d’autres sites

Il semblerait que le ransomware incriminé soit WannaCry qui exploite la faille de securité "EternalBlue", une faille découverte par la NSA en Mars 2017 et qui a fuité depuis vers un groupe de Hacker.

 

La faille se situe dans la couche applicative réseau "SMB" (Server Message Block à ne pas confondre avec Samba chez Unix) qui est utilisée notamment dans la fonction de partage de fichier ou de périphérique de Windows et cela depuis Windows 2000 jusqu'à Windows 10 ! Cette couche logicielle "SMB" utilise une méthode d'authentification basique non sécurisé son point faible alors qu'il existe depuis des décennies des protocoles d'authentification plus performants :o

Modifié par jgricourt
Lien vers le commentaire
Partager sur d’autres sites

Il semblerait que le ransomware incriminé soit WannaCry qui exploite la faille de securité "EternalBlue", une faille

découverte par la NSA et qui a fuité vers un groupe de Hacker

 

Les gentils "Hacker" avec des cheveux longs ou de méchants "Pirates" avec un couteau entre les dents ?

 

Merci, je lirai ça demain.

 

bonne nuit \(´O`)/

Lien vers le commentaire
Partager sur d’autres sites

L'entreprise dans laquelle je travaille a été victime d'un ransomware l'année dernière. Nous avons réussi a stopper l'infection mais avons quand même perdu pas mal de données non sauvegardées.

D'autres partenaires ont été touchés. L'un d'entre eux a décidé de payer mais n'a jamais récupéré ses données.

La meilleure solution reste la sauvegarde périodique sur support amovible. Le paiement n'a d'autre effet que d'encourager ces pratiques sans même résoudre le problème.

Lien vers le commentaire
Partager sur d’autres sites

L'entreprise dans laquelle je travaille a été victime d'un ransomware l'année dernière. Nous avons réussi a stopper l'infection mais avons quand même perdu pas mal de données non sauvegardées.

D'autres partenaires ont été touchés. L'un d'entre eux a décidé de payer mais n'a jamais récupéré ses données.

Le maître chanteur qui rend une clé pourrait fournir fortuitement une piste qui le fasse pendre prendre. Pour être dans cette activité, il est déjà cynique et sans pitié se fichant même de la "réputation" de futurs chanteurs qui séviront après lui. Dans ces conditions, peu de chances de récupérer la clé. Même l'encryptage pourrait être du simple brouillage pour faire croire.

La meilleure solution reste la sauvegarde périodique sur support amovible.

Pas sûr pour moi. Le genre d'individu qui pratique le rapt de données pourrait aussi appliquer une temporisation. C'est à dire effectuer un décryptage transparent pendant une semaine admettons -ce qui permet d'encrypter les sauvegardes sans que l'utilisateur ne s'en rende compte... Puis effacer la clé tout en envoyant un hash de cette clé sur son propre serveur en attendant paiement. C'est assez évident, et d'autres ont dû y penser donc ça ne craint pas. Je vois d'autres "perfectionnements" possibles, mais ne vois pas l'intérêt de développer des idées maléfiques. Autant publier des recettes pour des explosifs :/

Lien vers le commentaire
Partager sur d’autres sites

Message de Brad Smith, directeur juridique de Microsoft :

 

Texte original en anglais : https://blogs.microsoft.com/on-the-issues/2017/05/14/need-urgent-collective-action-keep-people-safe-online-lessons-last-weeks-cyberattack/

Texte traduit en français-google : https://translate.google.com/translate?sl=en&tl=fr&js=y&prev=_t&hl=fr&ie=UTF-8&u=https%3A%2F%2Fblogs.microsoft.com%2Fon-the-issues%2F2017%2F05%2F14%2Fneed-urgent-collective-action-keep-people-safe-online-lessons-last-weeks-cyberattack%2F&edit-text=&act=url

 

Il confirme que la faille de sécurité avait été découverte et tenue secrète par la NSA, jusqu'à ce que la NSA se fasse voler des documents la révélant (avec d'autres certainement). Le correctif Windows est diffusé depuis le mois de mars, mais pas pour les anciennes versions obsoletes de Windows (Vista et en dessous). Microsoft a depuis ce week end mis en ligne des correctifs pour ces anciennes versions.

 

A noter que la "charge utile" du virus de ce week end, qui est le système de cryptage sous rançon des données, n'est pas le virus. Ce virus peut contenir n'importe quelle autre charge, comme un cheval de Troie, un renifleur de mots de passe, un activateur discret de webcam/micro... l'imagination est la seule limite.

 

Les rançon-giciels sont généralement le fait des pirates "bas de gamme" car ils sont tellement visibles et gênants que les équipes des éditeurs d'antivirus se mettent toutes dessus pour tuer le virus qui sert de moyen de propagation. Les pirates plus futés veillent à rendre leur virus le plus invisible possible et privilégient des charges plus discrètes (essentiellement des vols de mots de passe).

 

Cette attaque globale vient à point nommé pour illustrer les craintes mises en avant dans les discussions en cours sur la Convention de Genève Digitale, cheval de bataille de Brad Smith, et qui se résume en 6 points :

 

Les pays signataires de cette convention digitale s'engageraient :

1. à ne pas cibler les entreprises technologiques, ni celles des secteurs privés ou des infrastructures critiques

2. assister le secteur privé pour détecter, contenir, répondre et réparer les conséquences des attaques

3. informer les éditeurs des vulnérabilités plutôt que de les garder "sous le coude", les revendre ou les exploiter

4. contenir le développement de cyber-armes, de façon à ce que celles développées soient limitées, précises et non réutilisables

5. s'engager à ne pas faire proliférer les cyber-armes

6. limiter les opération offensives pour éviter un effet de masse

 

Ce texte est franchement utopique tel qu'il est écrit. Mais au moins il sert de base aux discussions.

 

Dans le cas du présent virus, c'est le point n° 3 de cette Convention Digitale qui aurait permit de l'éviter.

Modifié par Fred_76
Lien vers le commentaire
Partager sur d’autres sites

Il semblerait que le ransomware incriminé soit WannaCry qui exploite la faille de securité "EternalBlue", une faille découverte par la NSA en Mars 2017 et qui a fuité depuis vers un groupe de Hacker.

 

La faille se situe dans la couche applicative réseau "SMB" (Server Message Block à ne pas confondre avec Samba chez Unix) qui est utilisée notamment dans la fonction de partage de fichier ou de périphérique de Windows et cela depuis Windows 2000 jusqu'à Windows 10 ! Cette couche logicielle "SMB" utilise une méthode d'authentification basique non sécurisé son point faible alors qu'il existe depuis des décennies des protocoles d'authentification plus performants :o

Et MS attend des lustres avant de corriger la faille ou de changer le système.

Manque de moyens, certainement... :be:

 

Les multinationales américaines collaborent avec la NSA et autres organismes, afin de contrer le terrorisme mais aussi pour d'autres fins inavouables illégales, avec le risque supplémentaires d'une récupération par un tiers, comme c'est le cas en ce moment.

Et ce n'est pas première fois que cela arrive. :rolleyes:

 

Il faut être bien attentif, et apprendre aussi à se protéger soi-même, en ne comptant pas seulement sur les éditeurs d'AV plus ou moins fiables, ni même sur les propos rassurants de MS.

 

Pour cela, se former un minimum sur l'outil incontournable qu'est l'informatique me paraît être indispensable. :cool:

Lien vers le commentaire
Partager sur d’autres sites

Et MS attend des lustres avant de corriger la faille ou de changer le système.

Manque de moyens, certainement... :be:

 

Ceci est aussi inexact qu'injuste. Microsoft avaient émis la correction depuis longtemps, mais plusieurs ne l'ont pas installé et n'ont pas fait les mises-à-jour recommandées. Les hôpitaux britanniques touchés ont été particulièrement négligents: BBC

Lien vers le commentaire
Partager sur d’autres sites

Rappelons que certaines failles sont possibles en partie parce que voulues, au départ pour les nobles causes de sécurité/espionnage/pédophilie/criminalité/terrorisme, ensuite pour que les Pouvoirs gardent la main mise (FBI, CIA), ce qui fait qu'en aval certains hackers mal intentionnés en profitent aussi. ;)

 

Si on ajoute les failles habituelles des systèmes « normales », non voulues, ça en fait des trucs à exploiter ! :p

 

Il y a deux ou trois ans il y avait une faille dans les serveurs UNIX, nul système n'est donc 100% à l'abri.

 

Le souci vient aussi de l'utilisateur lui-même, qu'il soir un particulier ou qu'il soit une entreprise.

 

En France on garde des systèmes obsolètes, monolithiques, plus ou moins bien gérés, bien mis à jour, ou bien sécurisés... Tant que ça marche ! :be:

Sauf en circuit fermé, ou chez le particulier peu dessus, tout système Windows au-dessous de Height est à éliminer d'office.

Les entreprises ou organismes sensibles doivent être encore plus attentifs, presque paranos.

 

Autre souci : les spécialistes de maintenance travaillant pour ou dans les entreprises ne sont pas toujours à niveau, alors qu'une formation doit être complète et profonde dans tous les systèmes, que ce soit UNIX (Linux, BSD, AIX, Solaris) ou Windows.

La sécurité doit être maximale au niveau du SERVEUR : maintenance fréquente, mises à jour, et upgrade immédiate du kernel (noyau) Windows ou UNIX.

Prévenir coûte moins cher que guérir. :cool:

Lien vers le commentaire
Partager sur d’autres sites

Ceci est aussi inexact qu'injuste. Microsoft avaient émis la correction depuis longtemps, mais plusieurs ne l'ont pas installé et n'ont pas fait les mises-à-jour recommandées. Les hôpitaux britanniques touchés ont été particulièrement négligents: BBC

La faille est une chose, le protocole une autre.

Et comme je le dis plus haut, la maintenance et l'obsolescence des systèmes informatiques sont trop souvent négligées dans les entreprises, par négligence et souci d'économie, et ce n'est pas qu'en France.

Lien vers le commentaire
Partager sur d’autres sites

J'adore les gens qui disent des choses farfelues sans même lire un peu ce que les autres ont posté avant... c'est un comportement très "viral".

Lien vers le commentaire
Partager sur d’autres sites

Une faille connue comme celle du SMB est symptomatique d'un certain laisser-aller dans les protocoles utilisés, en effet.

Accéder aussi facilement des périphériques aux fichiers ou inversement est assez étonnant.

 

Et comme après chaque attaque : Ouais, on va tout moderniser, et dorénavant faire attention aux mises à jour, à la maintenance.

...Jusqu'à la prochaine.

Modifié par paradise
Lien vers le commentaire
Partager sur d’autres sites

Paradise, encore une fois tu n'as rien lu avant de la ramener. La "faille connue comme celle du SMB" n'était connue QUE de la NSA, jusqu'à ce que la NSA se fasse piquer des documents et que la faille (et d'autres certainement) soit diffusée et aussitôt exploitée par des hackers.

 

Microsoft a tout de suite pris les mesures pour corriger cette faille.

 

Maintenant tu peux faire du complotisme en expliquant que Microsoft connaissait l'existence de cette faille, ou qu'elle avait été placée volontairement là pour que la NSA, la CIA, le FBI et les MIB puissent nous espionner... vas-y !

Lien vers le commentaire
Partager sur d’autres sites

Ceci est aussi inexact qu'injuste. Microsoft avaient émis la correction depuis longtemps, mais plusieurs ne l'ont pas installé et n'ont pas fait les mises-à-jour recommandées. Les hôpitaux britanniques touchés ont été particulièrement négligents: BBC

 

Oui mais apparemment les correctifs pour les anciennes version de Windows qui n'ont plus le support de Microsoft depuis longtemps n'existaient pas encore. Il faudra que Microsoft change de stratégie et continue malgré tout à fournir régulièrement des patchs correctifs même pour des versions anciennes qui sont comme les autres des vecteurs potentiels de virus.

 

http://www.itespresso.fr/wannacry-microsoft-exception-windows-xp-158208.html

Modifié par jgricourt
Lien vers le commentaire
Partager sur d’autres sites

Maintenir les anciennes versions c'est maintenir les vulnérabilités. Windows 95 est âgé de 22 ans et incluait des technologies qui dataient à l'époque de plus de 15 ans !

 

Face à cette menace (pas le ransomware qui est la charge utile du virus, mais le moyen de propagation), Microsoft a fait une entorse à la règle et fait un patch qui permet de désactiver le module SMBv1. On peut aussi bien le faire à la main, très peu de logiciels utilisent ces ressources : il faut mettre les mains dans la base de registres.

 

Le rançongiciel WannaCry n'est pas un virus, c'est ce qu'on appelle la charge utile (ou néfaste) véhiculée par le vers. D'autres vers et virus peuvent aussi le trimbaler. Mais le vers qui exploite la faille SMBv1 est visiblement très efficace, et sa nouveauté l'a rendu indétectable par les antivirus, d'où la large diffusion. Il ne faut pas oublier que la faille SMBv1 ne fonctionne qu'entre les ordinateurs partageant le même réseau, c'est pourquoi il a été très efficace une fois débarqué sur des plateformes antédiluviennes tournant sous Windows 95 ou des systèmes pas à jour, comme des hôpitaux, des PME ou quelques usines... mais au départ, quelqu'un a exécuté à la main un fichier vérolé reçu par email.

 

D'autres vulnérabilités avaient été résolues dans le module SMBv1, et ce depuis 2009, preuve que le travail de comblement des failles de sécurité n'est pas une mince affaire :

http://www.cvedetails.com/microsoft-bulletin/ms09-001/

Modifié par Fred_76
Lien vers le commentaire
Partager sur d’autres sites

Paradise, encore une fois tu n'as rien lu avant de la ramener. La "faille connue comme celle du SMB" n'était connue QUE de la NSA, jusqu'à ce que la NSA se fasse piquer des documents et que la faille (et d'autres certainement) soit diffusée et aussitôt exploitée par des hackers.

 

Oui, c'est ce que j'ai dit, le risque de laisser de telles failles peuvent ensuite être récupérées par des hackers, lis un peu mieux ce que je dis, et reste poli merci ma poule ! ;)

Modifié par paradise
Lien vers le commentaire
Partager sur d’autres sites

Rejoignez la conversation !

Vous pouvez répondre maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous pour poster avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.