Passer au contenu

WannaCry : faut-il craindre une nouvelle vague d’infections ?

Doté d’un mode propagation automatique, le terrible ransomware WannaCry a pu être stoppé in extremis ce week-end. Mais des variantes plus virulentes sont déjà en préparation. Les entreprises ont intérêt à patcher leurs systèmes.

Attention, la méga-attaque WannaCry n’est pas encore terminée. Cette vaste opération de piratage –  qui a démarré vendredi 12 mai – a d’ores et déjà infecté plus de 200.000 machines dans plus de 150 pays, a précisé le patron d’Europol sur BBC. Des dizaines d’organisations ont été touchées dont le constructeur automobile Renault, qui a été contraint de suspendre une partie de la sa production. Mais il y a aussi FedEx, Deutsche Bahn, Portugal Telecom, PetroChina, Automobile Dacia, Telefonica, Nissan UK, Saudi Telecom Company, et sans parler des dizaines d’hôpitaux britanniques. Même des écrans publicitaires géants sont affectées.

https://twitter.com/ALiCE6TY9/status/863346642161762304

L’attaque de vendredi a pu être endiguée car un chercheur en sécurité de MalwareTech a identifié un « kill switch » dans le code du logiciel malveillant. Lors de l’installation, celui-ci tente de se connecter à un domaine bien particulier (ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com). Si la connexion réussit, il plie bagage. Sinon, il chiffre les données de la machine et affiche une demande de rançon (entre 300 et 600 dollars). Coup de bol, ce domaine n’était pas enregistré et le chercheur en sécurité a eu la présence d’esprit de l’acquérir et de l’activer. Résultat : beaucoup d’infections qui auraient pu se produire ont été annulées.

Une variante sans kill switch est apparue  

Le problème, c’est que WannaCry est en train de faire des petits. Selon le chercheur en sécurité Matthieu Suiche quatre variantes sont actuellement en circulation. Trois d’entre elles disposent toujours d’un kill switch (sous un autre nom de domaine), mais pas la quatrième. Celle-ci serait donc nettement plus difficile à stopper. Pour l’instant, heureusement, cette variante sans kill switch présente un bug et le ransomware ne s’installe pas. « Le fait que cette variante sans kill switch ne fonctionne qu’en partie est probablement une erreur temporaire des attaquants », souligne Matthieu Suiche. Bref, ce ne serait qu’une question de temps pour voir apparaître cette funeste variante.

Ceux qui sont en première ligne sont les entreprises, car ce malware se propage de façon automatique à travers les connexions SMB (Server Message Block), une technologie Microsoft qui permet le partage de fichiers et qui est intégré et activé par défaut dans Windows. « Les box des fournisseurs d’accès à Internet protègent les particuliers car ils ne laissent pas passer les flux SMB. L’ordinateur de la maison n’a pas d’adresse IP directement adressable depuis Internet », explique Nicolas Godier, expert cybersécurité chez Proofpoint. (*)

Pour se propager, le logiciel malveillant s’appuie sur un outil de la NSA (« EternalBlue ») qui a été diffusé par le mystérieux groupe Shadow Brokers et qui s’appuie sur une faille dans l’implémentation de ce protocole au niveau du système Windows. Seules les versions SMBv1 et SMBv2 seraient vulnérables. Les particuliers, eux, semblent hors d’atteinte.

https://twitter.com/GossiTheDog/status/863697463487680512

La propagation par email phishing remise en cause

Un doute demeure sur le mode d’infection initiale de cette attaque. Certains experts pensent que WannaCry arrive par l’intermédiaire d’un email piégé, comme c’est souvent le cas pour les ransomware. Toutefois, aucun exemplaire d’email piégé n’a pour l’instant été publié. Par ailleurs, les chercheurs en sécurité de Talos Security, qui étaient parmi les premiers à analyser cette attaque, nous ont confirmé que WannaCry peut attaquer directement les entreprises par le protocole SMB. « Nous avons observé que WannaCry tente d’établir des connexions SMB à travers Internet et des réseaux externes. Donc oui, nous pensons que c’est le mode de diffusion principal de ce malware », nous explique Martin Lee, responsable Security Research chez Talos.

Contrairement à ce que l’on pourrait croire, le protocole SMB n’est pas uniquement déployé en local. Beaucoup de machines sont également accessibles par Internet. Pour s’en rendre compte, il suffit d’effectuer une petite recherche sur le site shodan.io. On voit qu’il y a plus d’un million de ports SMB ouvert sur Internet. Toutes ces machines ne sont pas vulnérables, mais cela pourrait expliquer pourquoi cette attaque a pu se dérouler aussi rapidement.

Pour se protéger contre cette attaque, la meilleure chose à faire est d’appliquer le patch qui corrige la faille SMB. Elle est disponible depuis deux mois. Pendant ce week-end, Microsoft a même fait l’effort de publier un correctif pour Windows XP, alors que ce système n’est plus supporté depuis longtemps. Si l’installation de patchs n’est pas possible – pour des raisons opérationnelles par exemple – une autre solution est de désactiver les connexions SMB, en particulier celles qui sont ouvertes sur Internet. L’organisme US-CERT avait déjà fait cette préconisation en… janvier 2017.

Bref, on voit que dans cette histoire, la faute incombe également aux entreprises qui ne prennent pas assez au sérieux les procédures de mises à jour et qui continuent d’utiliser de vieilles technologies comme Windows XP. Il est fort à parier que cet événement va changer ces mauvaises habitudes. « Dans les entreprises, ils sont tous en train de patcher », confirme Nicolas Godier. (*) Au moins une bonne nouvelle. 

(*) Article modifié après publication. Ajout des commentaires Proofpoint

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN