Bonjour à tous,
J'imagine que ce n'est pas une nouvelle pour la majorité d'entre vous, cependant je trouvais important d'en parler ici. Ce sera un tout petit message avec les trèèès grandes lignes, mais les liens fournis permettent d'aller se renseigner plus en profondeur.
Ce week-end, un malwre comme-les-autres-mais-pas-tout-a-fait a fait des ravages dans le monde de l'informatique. Le ransomware-ver WanaCrypt a infecté plusieurs dizaines de milliers de postes partout dans le monde.
Kézako ?Tout le monde en parle, et pas seulement la communauté tech. On peut par exemple citer
Le Monde,
Le Parisien, ou encore
Ouest France. Cette attaque d'envergure mondiale a touché officiellement plus de 150 pays, beaucoup d'entreprises et de particuliers. C'est un malware qui va chiffrer les données des postes en contrepartie d'un paiement, et son moyen de propagation rend l'infection d'autant plus agressive.
Qu'a-t-elle de particulier ?Contrairement aux campagnes classiques de phishing embarquant de "simples" ransomwares, cette fois-ci le malware avait une particularité qui l'a rendu plus agressif : Il utilisait une faille dans le protocole SMB (Partage de fichiers à distance dans un environnement Windows) permettant d'exécuter des commandes sur une machine à distance (
CVE 2017-0144). Ainsi, lorsque le malware est exécuté sur une machine, il va d'abord scanner le sous réseau sur lequel la machine se trouve afin de trouver des cibles vulnérables et s'installer dessus, ainsi que des IP publiques. Il va également chiffrer les données de la machine sur laquelle il se trouve avec un système de clés publiques/clés privées. Enfin, il va également installer une backdoor sur le poste appelée "Double Pulsar" qui utilise également SMB.
ImpactCette faille sur SMB a été publiée publiquement en avril suite à un leak des outils de la NSA par la team Sadow Brokers. Microsoft a publié un patch permettant de s'en prémunir rapidement, mais l'impact est fort puisque évidemment, pas toutes les machines étaient à jour, notamment chez les entreprises pour qui c'est difficile d'avoir un parc complet de machines up-to-date. A ce jour, plus de 150 pays sont touchés, plusieurs dizaines de milliers de machines sont chiffrées et non récupérables, une hécatombe.
Se protégerPour cela, rien de bien compliqué : Ne pas être sous Windows (/troll), le cas échéant, appliquer les patchs de sécurité proposés par Windows, ne pas cliquer sur les PJ aveuglément, et envoyer 10 euros à Pixis. Si jamais c'est trop tard pour vous, toutes mes condoléances. Cependant, gardez une copie de votre disque, sait-on jamais, peut-être qu'une solution sera trouvée pour déchiffrer ou décrypter le bouzin.
Quelques liens parce que ce que je raconte, c'est back to basics, et j'ai pas parlé du kill-switch mais j'ai la flemme. Et puis j'ai p'tet dis des bêtises aussi.