WannaCry : un point clé dans l¹évolution de la sécurité

0

Il y a plus d’une douzaine d’années, le chercheur pionnier des programmes malveillants, le Dr Peter Tippett, a inventé l’expression « virus disaster » (catastrophe virale), pour décrire le moment où plus de 25 machines connectées à un seul réseau se retrouvent infectées comme « point de basculement » nécessitant l’arrêt complet d’un réseau.

Le nouveau Ransomware WannaCry, qui verrouille tous les fichiers sur un ordinateur infecté jusqu’à ce que l’utilisateur paie une rançon, semble avoir plongé des sections entières d’infrastructures critiques en situation de catastrophe virale. Les différents hôpitaux touchés au Royaume-Uni ont été parmi les premières organisations infectées avant que les dommages ne se répandent plus largement un peu partout dans le Monde. Cette attaque sera certainement un point clé dans l¹évolution de la sécurité et de la conformité.

Le logiciel malveillant utilise MS17-010 aussi connu sous le nom « EternalBlue » (un exploit de la NSA rendu public par Shadow Brokers) pour frapper toute personne à travers le réseau qui n’avait pas mis à jour et corrigé cette vulnérabilité. Celle-ci touche le protocole SMB (Server Message Block) de partage de fichiers, qui est généralement grand ouvert au sein des réseaux organisationnels et facilite malheureusement la diffusion rapide de cette attaque.

Tout comme nous l’avons vu avec les ransomwares Cerberus et Apache Struts, les hackers ne perdent jamais de temps avant d¹améliorer les ogives de leurs logiciels malveillants avec les derniers exploits dévoilés. Lorsque de nouvelles failles sont révélées, les entreprises doivent s¹attendre à ce que les attaques précédentes soient reconditionnées pour profiter d¹une nouvelle façon d’entrer.

L’objectif évident est de mettre à jour et de patcher rapidement, la plupart des entreprises s¹attelant probablement à la tâche en urgence. C’est là que les couches secondaires de défense peuvent faire gagner du temps en permettant de verrouiller le trafic Internet entrant et le trafic latéral, au travers des réseaux. L¹entreprise peut ainsi bloquer ou restreindre les ports TCP 22, 23, 3389, 139 et 145 ainsi que UDP 137 et 138. Elles peuvent également en profiter pour vérifier que les sauvegardes sont bien paramétrées et complètes.

Cette attaque se poursuit rapidement et nous apprendrons probablement des choses intéressantes au cours des prochains jours. Espérons que toutes les organisations qui seront touchées par cette situation seront en mesure de faire face à la tempête et d¹en sortir plus forte après.

About Author

Laurent Petroque

expert anti-fraude en ligne de F5 Networks

Leave A Reply