samedi 13 mai 2017

Wanna Cry : la bourse ou les données ?

Depuis le 12 mai, les rédactions suivent les développements d'une "cyberattaque massive". Après s'être propagé rapidement dans plus de 90 pays (dont de nombreux pays européens) le ransomware (baptisé WannaCry ou WannaCryptor) semble en perte de vitesse après la mise en place rapide dans la nuit de vendredi à samedi d'un premier patch par Microsoft ainsi que par l'action d'un chercheur en sécurité qui aurait activé un mécanisme de secours du malware (lire ici la démarche). Retour sur un phénomène en forte expansion qui est totalement intégré dans l'arsenal de la "guerre numérique".


Le ransomware : l'arme ultime ?
Un ransomware ou rançongiciel (en fr) est un programme malveillant qui provoque le chiffrement de tous les fichiers d'un ordinateur (et des fichiers accessibles en écriture sur les dossiers partagés). Le pirate propose alors une clef de déchiffrement contre le versement d'une somme d'argent (variable suivant la cible). 
Mode d'action connu depuis au moins 1989 et en forte expansion depuis 2011, le rançongiciel compte  en France plus de deux millions de victimes, soit 3,3% de la population, pour l'année 2016. Ce chiffre est dans la lignée des pays européens où le pourcentage de population ayant déjà été infectée oscille entre 2 et 4%.(source ici). La moyenne des rançons versées est de 179 € (en France contre 500€ au Royaume-Unis) et plus de 30% des victimes payent. Le ransomware est donc un outils à fort "effet de levier", facile à réaliser, il permet de gagner vite de l'argent. 

Les faits (au 13 mai 17h00):
Dans la journée du vendredi 12 mai 2017, on constate l'apparition et la diffusion rapide d'un nouveau rançongiciel qui exploite des vulnérabilités d'exécution de code à distance pour se propager. Ces vulnérabilités sont celles décrites dans le bulletin de sécurité MS17-010

Dès la fin de matinée les première victimes apparaissent au Maroc (Voir la carte animée du New-York Times). Les autorités américaines et les entreprises de sécurité informatique s'alarment rapidement. Kaspersky détecte l'attaque et analyse "WannaCry" comme étant en lien avec l'exploit "EternalBlue" (qui permet le déploiement d'une backdoor sur la cible) qui avait été rendu public le 14 avril dernier par les fuites du groupe Shadowbrokers et patché par Microsoft un mois avant le 14 mars 2017 (voir Hackers Hit Dozens of Countries Exploiting Stolen N.S.A. Tool). Face à la propagation rapide, les agences de sécurité recommandent de mettre à jour rapidement les systèmes (ça tombe bien on est vendredi soir...). De façon exceptionnelle, Microsoft publiera même dans la nuit un correctif pour des versions qui ne sont plus soutenues (Windows XP par exemple) mais qui demeurent très répandues dans les administrations et les entreprises. C'est ainsi la première fois,depuis le 8 avril 2014 date de l'arrêt du support, que Microsoft diffuse un patch pour Winndows XP soulignant ainsi l'aspect hautement critique de cette vulnérabilité.

C'est quoi MS17-010 ?
Le 14 mars 2017, Microsoft publie un bulletin de sécurité pour signaler une vulnérabilité "critique", le MS17-010 et publie donc une mise à jour de sécurité pour ses produits. 
Cette mise à jour de sécurité corrige des vulnérabilités dans Microsoft Windows. La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance si un attaquant envoyait des messages spécialement conçus à un serveur Windows SMBv1.
Il est donc conseillé de rapidement mettre à jour son système... vu qu'il s'agit d'une vulnérabilité "critique". Par ailleurs, un mois plus tard, la publication par le groupe ShadowBrokers d'un ensemble d'outils développés par la NSA relance l'intérêt pour cette vulnérabilité (qui n'est plus un ZéroDay puisqu’elle est patchée). Plusieurs outils d'exploitation sont ainsi rendus disponible soulignant au passage que l'agence américaine connaissait de longue date cette "vuln" et l’exploitait sans aucun doute. Ainsi, pour beaucoup MS17-010 s'annonce comme le digne successeur de MS08-067 qui avait entrainé l'infection de plusieurs millions d'ordinateur par le ver Conficker. Dès le mois d'avril 2017, les premiers ransomwares exploitent la vulnérabilité.


Le bulletin de sécurité MS17-010 s’annonce tout aussi intéressant et permet la prise de contrôle à distance d’un poste de travail ou d’un serveur utilisant le système d’exploitation Windows. La vulnérabilité est déjà exploitée par des ransomwares.
Les exploits sont alors intégrés dans les bibliothèques des attaquants et le framework Metasploit propose rapidement un outils permettant d'effectuer un scan (donc de détecter les machines vulnérables - smb_ms17_010).  L'exploitation s'avère tout aussi simple et la combinaison d'outils disponibles assurent la prise de contrôle des victimes (voir le tutoriel ici).

Impact et retour d'expérience
L'attaque touche rapidement plusieurs milliers de machines, mais c'est les hôpitaux britanniques qui vont révéler au grand jour l'effet "domino" de ce type d'opération.
Ces attaques informatiques ont notamment touché le service public de santé britannique (NHS), bloquant les ordinateurs de nombreux hôpitaux du pays, et le géant des télécoms espagnol Telefonica.


Même si les données des patients ne semblent pas touchées, il faut "isoler" les ordinateurs infectés du réseau pour limiter la propagation. Ainsi, en quelques heures, les hôpitaux doivent ré-apprendre à fonctionner sans informatique. Au-delà de l'aspect financier, c'est le pouvoir de désorganisation induit qui nous semble à relever.  Ainsi, en France, l'entreprise Renault semble touchée et plusieurs sites de production ont été arrêtés [1]. On évoque également l'opérateur de téléphonie espagnol Téléfonica et les chemins de fer allemands.
L'arrêt de la production "fait partie des mesures de protection qui ont été prises pour éviter la propagation du virus", a déclaré à l'AFP une porte-parole de la marque au losange, sans préciser le nom des sites concernés. Selon une source syndicale, l'usine de Sandouville (Seine-Maritime), serait notamment concernée.[2]

Ainsi, trois mois après la publication d'une vulnérabilité critique, et son exploitation facilitée par des "fuites" d'outils, un ransomware peut paralyser la production d'une multinationale et parallèlement désorganiser les services hospitaliers à l'échelle d'un pays. Paradoxalement à cette heure, seul 22 000 € ont été récoltés sur les trois portefeuilles en bitcoins des attaquants.




Au niveau tactique qu'en retenir ? 
  • Il n'y a pas de corrélation entre le niveau technique des attaquants et l'impact d'une attaque;
  • L'effet indirect est parfois plus impactant que l'effet premier de l'attaque. Ici, il s'agissait d'un simple acte de malveillance pour extorquer de l'argent (au passage les hôpitaux semblent être des cibles de premiers choix car ils ont tendance à payer pour garantir leur fonctionnement);
  • Nous sommes d'autant plus fragiles que les mesures élémentaires de sécurité informatique ne sont pas appliquées (correctifs, vigilance anti-phising..);
  • Il est malheureusement à craindre que l'hybridation entre "crime-organisé" et "terrorisme" ne débouche à moyen terme sur l'utilisation de ce type d'outils dans le cadre plus général d'une attaque terroriste. 



[1] http://www.lemonde.fr/pixels/article/2017/05/13/la-propagation-du-virus-informatique-qui-a-touche-plus-de-70-pays-quasi-stoppee_5127291_4408996.html?utm_campaign=Echobox&utm_medium=Social&utm_source=Facebook#link_time=1494674947
[2]        http://www.tendanceouest.com/actualite-226537-attaque-informatique-massive-le-site-renault-de-sandouville-a-l-arret.html


Aucun commentaire:

Enregistrer un commentaire