Le week-end dernier a marqué un véritable raz de marée dans l’univers informatique : une attaque informatique massive a frappé des hôpitaux, de grandes entreprises et des administrations un peu partout dans le monde. WannaCry, ce logiciel malveillant recueille, crypte les données d’un ordinateur, et demande aux victimes de s’acquitter d’une rançon en bitcoin pour récupérer leurs données.
Heureusement, le virus Wanna Cry serait devant un obstacle de taille. C’est dans sa chambre, chez ses parents, que Marcus Hutchins, jeune britannique, aurait trouvé par hasard le moyen d’arrêter pour quelque temps du moins sa propagation. L’attaque a ainsi été interrompue brusquement par le technicien d’une entreprise de cyber sécurité, Kryptos Logic, avec l’aide de Darien Huss, de la firme de sécurité Proofpoint. Le duo a découvert que le créateur du logiciel malveillant avait prévu une sorte d’« interrupteur » à l’aide duquel il était possible d’empêcher le virus de se répandre. Concrètement, le virus est conçu pour se connecter automatiquement au nom de domaine. Si ce dernier ne répond pas, il bloque l’ordinateur et crypte les données. Si, au contraire, le nom de domaine répond, alors le logiciel est désactivé, et c’est ce qu’il s’est passé quand Marcus Hutchins a acheté le nom de domaine.
Marcus Hutchins – photo:Frank Augstein / AP
La Cyber Attaque WannaCry qui vous fera pleurer !
WannaCry (« envie de pleurer » en anglais) a semé une pagaille planétaire dans le monde de l’informatique et cela, en très peu de temps. Ce rançongiciel (ransomware) est à l’origine de ce qui est d’ores et déjà considéré comme l’attaque informatique la plus importante jamais connue. Selon le dernier pointage effectué dimanche par Europol, WannaCry aurait fait plus de 300 000 victimes à travers 150 pays.
Au Royaume-Uni, le système de santé, le National Health Service, a été fortement affecté, entrainant la paralysie des systèmes informatiques de 45 hôpitaux. Certains établissements ont même été contraints de différer des interventions chirurgicales et de dérouter des ambulances. En France, le constructeur automobile Renault a été touché par WannaCry sur plusieurs de ses usines. En Allemagne, les panneaux d’affichage du réseau ferroviaire de la Deutsche Bahn diffusaient le message de rançon du virus. De plus, on rapporte des perturbations sur le système bancaire ainsi que dans plusieurs ministères en Russie tandis qu’aux États-Unis, c’est le transporteur FedEx qui dit avoir été touché. En Espagne, l’opérateur de téléphonie mobile Telefónica a confirmé faire partie des victimes de WannaCry. Ce dernier a également sévi dans des écoles, des universités et des hôpitaux à travers l’Asie.
Voici une capture d’écran du message que les victimes du ransomware WannaCry voient apparaître sur leur ordinateur infecté. Un compte à rebours leur laisse trois jours pour payer les 270 euros en bitcoins avant que la rançon ne soit doublée. Au bout de sept jours, les données sont effacées. © WannaCry, DP
Comment se propage-t-il ?
Ce rançongiciel se propage à travers des campagnes de phishing, méthode qui consiste à envoyer des courriels par millions contenant une pièce jointe infectée. Lorsqu’une victime ouvre le document, le virus s’installe sur son ordinateur, pour chiffrer les données contenues sur le disque dur. Pour les récupérer, il faut alors s’acquitter d’une rançon équivalente à 270 euros payables en bitcoins. La rançon est doublée si elle n’est pas payée sous trois jours. Et passé sept jours, si aucun paiement n’a été effectué, les données sont supprimées. Là où WannaCry est notamment redoutable, c’est qu’il peut se répandre sur l’ensemble d’un réseau informatique à partir d’un seul ordinateur infecté.
WannaCry : né d’une faille Windows connue par la NSA
Oui, le pire, c’est que ce n’était pas une erreur technique qui a causé tout ce chaos, mais une erreur humaine… Une belle erreur humaine, à l’ancienne. WannaCry profite donc d’une faille de sécurité dans le système d’exploitation Windows dont la National Security Agency (NSA), l’agence de renseignement des États-Unis, avait connaissance et se servait dans le cadre de ses opérations de surveillance électronique sous le nom de code « EternalBlue ».
En mars dernier, Microsoft a publié un correctif de sécurité (MS17-010) pour toutes les versions de Windows concernées. Néanmoins, bon nombre de grandes entreprises et d’administrations n’ont pas appliqué ce correctif de sécurité par précaution. En effet, dans un tel cas, les services informatiques doivent d’abord tester les patchs pour s’assurer qu’il n’y aura aucun conflit sur leur réseau. Or, en avril, un groupe de hackers baptisé The Shadow Brokers a rendu publics une série d’outils d’espionnage de la NSA, dont EternalBlue. Les cybercriminels n’avaient alors plus qu’à se servir de ces informations pour créer le rançongiciel WannaCry.
@The Intercept
Quels sont les ordinateurs vulnérables ?
Selon le bulletin d’alerte émis par le CERT-FR, les ordinateurs vulnérables sont :
- Les systèmes d’exploitation Windows vulnérables et en réseau maintenus par l’éditeur sur lesquels le correctif MS17-010 n’aurait pas été installé,
- Les systèmes d’exploitation Windows vulnérables obsolètes et en réseau (Windows XP, Windows Server 2003,Windows 8, Windows Vista, Windows Server 2008, WES09 et POSReady 2009) sur lesquels le correctif KB4012598 n’aurait pas été installé,
- Tous les systèmes d’exploitation Windows sur lesquels un utilisateur ouvrirait la pièce jointe malveillante.
Face à la gravité de la situation, Microsoft a relancé ses mises à jour de sécurité pour les versions de Windows concernées tout en assurant que les utilisateurs de Windows 10 n’étaient pas ciblés par cette attaque. La principale recommandation consiste à effectuer ces mises à jour de sécurité sans délai et de faire preuve de la plus grande prudence face à des courriels contenant des pièces jointes. Par ailleurs, une sauvegarde régulière des données sur un système de stockage externe et/ou un service cloud permet de restaurer les données piratées sans avoir à payer la moindre rançon.
Comment se protéger ?
Afin de se protéger contre ce virus, le ministère de la Technologie, de la Communication et de l’Innovation vous conseille :
- De mettre à jour leur antivirus sur leurs ordinateurs / ordinateurs portables ou installer Windows Defender sur leurs ordinateurs en cas d’absence d’antivirus,
- D’installer le patch Microsoft pour la vulnérabilité SM15 MS17-010 datée du 14 mars 2017 qui peut être téléchargé ici,
- De sauvegarder des fichiers importants sur des lecteurs externes ou sur le cloud.
Le ministère conseille également à tous les utilisateurs d’ordinateurs et d’ordinateurs portables de ne pas :
- Ouvrir un courriel suspect non sollicité avec des pièces jointes comme « ! Lisez-moi! Txt « ou .exe,
- Ni de cliquer sur les liens dans les courriels suspects ou les publications des réseaux sociaux.
Vous pouvez également communiquer avec la hotline Cert-Mu au 800-2378 afin de recevoir des conseils sur la sécurité numérique. Si votre ordinateur a déjà été infecté par le ransomware, il est recommandé de déconnecter l’ordinateur de l’Internet ou du réseau et de ne pas payer la rançon demandé.
Pour le moment, on ignore l’identité du ou des responsables de cette cyberattaque. Wannacry a ralenti sa progression grâce aux utilisateurs qui téléchargent des mises à jour pour protéger leurs ordinateurs. L’enquête s’avère ardue, car les paiements en bitcoin sont impossibles à tracer. Il existe fort heureusement plusieurs astuces pour assurer sa sécurité numérique. Soyez toujours prudent, car l’informatique n’est jamais sans risque.
Source : futura-sciences.
