Lundi 21 Août 2017
Commentaires

Optoma UHD550X ou le cinéma 4K à portée de toutes les bourses

par jcs
le 12/08/2017 à 08:41

Captivea ouvre le premier club utilisateur SugarCRM francophone

par Francois PAPON
le 11/08/2017 à 11:59

Capgemini améliore sa marge

par lecteur-itrnews
le 10/08/2017 à 03:51

Avast rachète Piriform (Ccleaner)

par MichelWer
le 08/08/2017 à 05:15

Performance digitale : comment choisir le bon outil de monitoring pour OpenStack ?

par Jean-Yves Bourlès
le 26/07/2017 à 08:09

Cyberattaque : plus de cent pays touchés !

Samedi 13 Mai 2017
Du jamais vu ! Opérations chirurgicales annulés, panneaux d'affichages piratés, commandes mises en stand-by... Partout à travers le monde, le message est le même.
Une faille dans le système Windows serait à l'origine du phénomène. Repérée par les pirates, cette faiblesse a été exploitée pour tenter d'infecter le maximum de postes de travail et de paralyser les entreprises ou les organismes publics. Résultat : plusieurs dizaines de milliers d'ordinateurs ont été touchés...

Le service public de santé britannique (NHS) et le centre d'alerte et de réaction aux attaques informatiques (CERT) espagnol ont lancé des alertes tôt dans la journée de vendredi. Un ransomware (rançongiciel) a paralysé une partie du réseau interne de l'opérateur espagnol Telefonica. Le virus s'est propagé sur plusieurs centaines de postes, contraignant l'entreprise à demander à la plupart de ses employés de cesser le travail et de rentrer chez eux... En France, Renault est également touché. Plusieurs usines du constructeur ont été contrainte de stopper leur production. Rapidement, le spécialiste de la cybersécurité Kaspersky Lab fait état de 74 pays au minimum touchés par plus de 45 000 attaques... Les victimes seraient au nombre de « 200 000 victimes, essentiellement des entreprises, dans au moins 150 pays », affirme même le directeur d’Europol, Rob Wainwright, ce dimanche 14 mai, à la chaîne britannique ITV.

Baptisée WannaCry (WanaCryptOr 2, WCry, WannaCrypt ou Wana Decrypt0r...), l’attaque est initiée via l’exécution à distance d’un code SMBv2 dans Microsoft Windows, précise Kaspersky : " Cet exploit (nom de code : “EternalBlue”) a été mis à disposition en ligne via le dump de Shadowbrokers le 14 avril 2017 et corrigé par Microsoft le 14 Mars ". Mais nombre d’entreprises n’ont pas pris le soin d'installer le correctif... Résultat : l’extension “.WCRY” est ajoutée au nom de fichier des données chiffrées. Le malware se propage de manière autonome sans intervention humaine, explique Daniel Fages, Directeur technique de Stormshield. " Pas besoin d'ouvrir un fichier pour infecter une machine, le ransomware chiffre tous les fichiers et utilise une vulnérabilité qui peut être commandée à distance, via le protocole SMBv2 ".

« Cette attaque démontre de nouveau que le ransomware est une arme puissante qui peut aussi bien être utilisée contre les consommateurs que les entreprises, commente Jakub Kroustek, Threat Lab Team Lead chez Avast. L’impact financier de l’attaque sur Telefonica, le National Health Service (NHS) britannique ou encore Renault, pour ne citer qu’eux, devrait être significatif et dépasser la demande de rançon. Il ressort que 85 % des ordinateurs de l’opérateur ont été touchés, et Telefonica aurait demandé à ses employés d’éteindre leurs ordinateurs et de rentrer chez eux, ce qui devrait entrainer de sérieuses conséquences financières pour l’entreprise. Telefonica et les autres victimes de cette attaque ne devraient pas mettre trop de temps à retirer le ransomware, mais s’ils n’ont pas sauvegardés récemment les données et fichiers des employés, ils risquent de mettre un peu de temps à s’en remettre, en particulier si ces fichiers ont été chiffrés par le ransomware. »

Comment expliquer le succès de cette attaque ?

Il est inquiétant que cette attaque utilisant une méthode de propagation de type ‘’worm’’ se soit avérée si problématique pour de grandes organisations. Ces dernières disposent en effet d’infrastructures critiques pouvant avoir un impact sur la santé des individus. « Nous sommes convaincus qu’il ne s’agissait que d’une question de temps avant qu’une attaque de ce type soit lancée, dans la mesure où les vulnérabilités de Microsoft représentaient une trop belle opportunité pour les cybercriminels de s’y engouffrer pour propager rapidement leur attaque ransomware et en tirer un bénéfice financier, » relève Ryan Kalember, expert cybersécurité Proofpoint.

Cette attaque ne sera pas la dernière. Selon Proofpoint, et pour la première fois, de nouvelles formes de ransomware apparaissent désormais en moyenne une fois par jour. « Au premier trimestre 2017, quatre fois plus de nouveaux ransomware qu’au quatrième trimestre 2016 sont apparus. Alors que cette nouvelle cyberattaque ne semble pas avoir eu autant de succès que des attaques ciblées de malware que nous observons régulièrement, les réseaux d’organisations mal protégées ont été sévèrement touchés car l’attaque se répercute sur tous les systèmes vulnérables du même réseau ».

Des mesures exceptionnelles

Face à l'ampleur du phénomène, Microsoft a du réactiver une mise à jour de Windows XP pour aider les utilisateurs de son système d'exploitation à faire face à l'attaque informatique. Aujourd'hui remplacé par Windows 10, Windows XP ne fait plus l'objet de mises à jour depuis 2014. Un patch a donc du être rééditer. L'éditeur explique dans un blog les raisons de cette décision et la démarche à suivre : Customer guidance for Wannacrypt attacks.

Comment récupérer les données en danger ?

Faire appel à un professionnel peut s'avérer indispensable si l'entreprise ne dispose pas en interne des ressources lui permettant de faire face au problème. Kroll Ontrack, par exemple, a identifié plus de 225 souches de ransomware différentes et développé un ensemble de solutions permettant de restaurer les données et d'éviter le paiement d'une rançon en cas d'attaque. Ses ingénieurs ont défini des processus de déchiffrement pour plus de 80 de ces variantes. Afin de limiter les dommages causés par les ransomware, Kroll Ontrack a développé un ensemble de solutions permettant de récupérer rapidement les données prises en otage et ainsi d'éviter de payer les malfaiteurs qui se trouvent derrière ces attaques, comprenant des logiciels et des outils pour déchiffrer les données « prises en otage ». S'il n'existe aucun processus ou logiciel de déchiffrement en mesure de déchiffrer une variante de ransomware, Kroll Ontrack utilise des outils propriétaires de récupération des données pour chercher des copies non chiffrées des données.

Article modifié le 14 mai.
Les 10 derniers articles
Services
  • EST
  • Proposer un communiqué de presse
Communiqués de presse