Le 12 mai dernier a débuté une retentissante attaque par ransomware (dits aussi rançongiciels, ces malwares chiffrant les fichiers de leurs cibles avant de leur demander une rançon pour le déchiffrage). L’attaque s’est propagée à une allure impressionnante en l’espace de quelques jours, contaminant essentiellement d’anciens systèmes informatiques, plus vulnérables car trop peu mis a à jour. Près de 200 000 moniteurs ont ainsi été infectés dans une centaine de pays autour de la planète. Certaines infrastructures critiques ont été touchées, notamment de nombreux hôpitaux britanniques et l’usine Renault de Novo Mesto.
Une attaque inspirée de celle de…la NSA
Cette attaque comporte une singularité en comparaison des ransomwares habituels, elle parvient à exploiter une vulnérabilité de Windows selon les mêmes schémas suivis il y a quels mois par la NSA. Quand ce type d’attaque s’appui d’ordinaire sur des emails frauduleux, ici elle cible le protocole SMB (Server Message Block) pour infiltrer ses victimes (spécifiquement par une connexion TCP au port 445). Ce protocole, qui a vu le jour dans années 1980, a servi sous différentes formes jusqu’à Windows 8. Il est par ailleurs implémenté dans les distributions Linux dans sa version open source Samba. L’attaque se charge ensuite d’installer le ransomware Wannacry, de quoi rendre les fichiers visés inutilisables. Il n’y a alors plus qu’à demander une rançon en Bitcoin pour une somme avoisinant les 300 dollars. Si au bout de 3 jours, l’amende n’est pas réglée, la rançon double ; au bout d’une semaine, les fichiers sont effacés.
Plusieurs malwares auxquels avaient eu recours la NSA pour conduire des actions d’espionnage avaient été publié sur Internet en mars dernier, de quoi porter un coup terrible à l’image de l’agence. Parmi ceux-là se trouvait le malware Eternal Blue, ciblant la version SMB v1 utilisée dans les anciens systèmes Windows. Microsoft était alors parvenue depuis à corriger cette vulnérabilité (correctif MS17-010), de quoi limiter sa portée. A noter que l’attaque s’avère inopérante contre la version la plus récente du système d’exploitation : Windows 10.
Le danger des mises à jour de sécurité non appliquées
On peut dès lors se demander, au vu des corrections déjà effectuées il y a de ça 2 mois, comment ce malware a pu faire autant de dégâts alors qu’il exploitait une faille prétendument colmatée ? La réponse est très simple : bon nombre d’entreprises et de particuliers n’effectuent tout simplement que trop rarement les mises à jour de leur système, quand ils ne les désactivent tout simplement pas.
Bien conscient de ce problème, Microsoft tend donc de plus en plus à verrouiller son système d’exploitation. Windows 10 en est l’illustration puisqu’il n’autorise plus les utilisateurs à repousser indéfiniment les mises à jour et finit même par les en forcer ! Si la mesure peut paraitre extrême, elle est là pour compenser une vérité inquiétante : les utilisateurs n’ont pas conscience de l’impérieuse nécessité de traiter leur cybersécurité avec la plus grande rigueur !
