Gérer les risques
Aujourd'hui et demain

Cyberprévention

Simon Townsend (Ivanti) : « WannaCry : un électrochoc qui aura permis de prendre conscience des vulnérabilités »

Interview du directeur technique EMEA (Europe, Moyen-Orinet, Afrique) d'Ivanti, société spécialisée dans l'intégration et de l'automatisation des tâches numériques critiques. Simon Townsend revient sur la crise provoquée par les virus WannaCry et BlueDoom. Il nous livre ses conseils pour bâtir une stratégie de défense à niveaux multiples et pour anticiper les prochaines attaques qui ne manqueront pas de sévir.

Après l’onde de choc du virus WannaCry, est-on vraiment sorti de la crise ?
WannaCry est le nom qui a fait frémir bon nombre d’administrateurs système du monde entier en ce mois de mai 2017. Des milliers d’entreprises ont été touchées dans plus de 150 pays. Les conséquences : des utilisateurs ont été interdits d’accès à leur PC, des opérations réalisées par le NHS [National Health Service au Royaume-Uni, NDLR] ont été stoppées et certains rendez-vous patients annulés. Néanmoins, si la crise WannaCry est passée, elle est suivie d’un ver informatique plus puissant appelé BlueDoom. Ce dernier a « militarisé » tous les vecteurs d’attaque de l’exploit de la NSA [National Security Agency, aux Etats-Unis, NDLR], EternalBlue et peut servir de base de lancement pour de futures attaques. Ce ver demeure très résistant et il est difficile de le supprimer d’un système d’exploitation Windows, sans réinstaller l’OS en entier. En effet, l’attaque de ransomware vécue en mai a obligé les directions des systèmes d’information (DSI) à redéfinir les politiques de sécurité de leur SI. Face aux menaces qui existent actuellement, ces systèmes ont prouvé qu’ils n’étaient pas assez outillés pour lutter contre ces menaces.
Comment se sont produites ces attaques ?
L’un des principaux aspects d’une attaque de ransomeware est le moyen qu’utilisent les pirates pour atteindre leurs cibles. Le plus souvent, ils passent par des e-mails d’hameçonnage spécialement conçus pour tromper l’utilisateur, l’incitant à cliquer afin d’activer le téléchargement d’un malware. Ce dernier, immédiatement actif, infecte le système, crypte tous les fichiers et exhorte l’utilisateur à lui donner entre 300 et 600 dollars de rançon en échange de la clé de décryptage. Il se répand à la façon d’un ver au sein du SI de l’entreprise, par le biais d’Internet en utilisant également l’exploit de la NSA, Eternalblue, récemment révélé par le groupe des Shadow Brokers. Ce malware cible la faille Windows CVE-2017-0145 qui permet aux délinquants d’agir à distance par le biais de paquets de données conçus sur un serveur de messagerie de Microsoft, SMBv1.
Comment expliquez-vous cette faille ?
En effet, Microsoft avait publié en mars un correctif (MS17-010), puis l’avait complété avec un correctif d’urgence le 13 mai pour les versions de Windows non prises en charge, notamment XP, Vista, Windows 8 ainsi que Server 2003 et 2008. Par ailleurs, il existe un soi-disant « coupe-circuit » intégré dans le code d’origine de WannaCry, qui a permis à certaines entreprises touchées par l’attaque de se défendre et de mettre en place un correctif d’urgence. Mais le 15 mai est apparue une variante UIWIX qui ne comportait déjà plus ce « coupe-circuit ». Pour les entreprises, les dérivés de WannaCry, tels que BlueDoom, sont donc d’autant plus dangereux qu’ils sont difficiles à désactiver. Les services de santé et diverses organisations comme FedEx, Telefonica et le ministère de l’Intérieur de Russie ont signalé avoir été victimes de ce blitz. Ces malwares ont ainsi provoqué une baisse de la productivité et ont entaché la réputation de ces entreprises en rendant leurs SI vulnérables.

Quelles ont été les conséquences pour les entreprises victimes ?
De nombreuses entreprises ont été prises au dépourvu lors de cette attaque, malgré les correctifs disponibles depuis mars pour les systèmes d’exploitation pris en charge. La faille se situe dans la mise à jour de SMB (Server Message Block) qui a provoqué des changements significatifs dans le protocole clé de communication. Ces changements peuvent parfois induire des problèmes avec des logiciels tiers. Ainsi bon nombre de DSI ont retardé leur déploiement pour planifier leur série de tests. S’en est suivi un retard de l’implémentation des correctifs. Pour couronner le tout, les anciennes versions non prises en charge par les OS, donc totalement vulnérables face à une cyberattaque, ont été la cible principale des pirates.
Alors comment procéder pour sécuriser les systèmes et éviter que ce type de situation ne se reproduise à l’avenir ?
L’importance d’une protection en profondeur des systèmes rend leur contrôle et leur sécurité plus solides. Les antivirus traditionnels sont efficients pour les menaces traditionnelles. Néanmoins, avec WannaCry, les fournisseurs d’antivirus ont mis plusieurs jours avant de détecter et bloquer ce ransomware à la prolifération rapide. Les nouvelles variantes comme BlueDoom sont, quant à elles, encore plus difficiles à détecter. C’est généralement une fois qu’elles ont infecté tous les systèmes d’information que les DSI remarquent leur présence. Le seul moyen qui permet de prévenir et sécuriser le SI en cas d’attaque, ce sont les correctifs, simplement parce qu’ils réduisent la surface d’attaque. Le risque zéro n’existe pas mais il est préférable d’installer la mise à jour au plus tard deux semaines après sa sortie. Autre élément important, le contrôle des applications – listes blanches, protection de la mémoire et gestion des privilèges – limite la menace que représentent les failles encore méconnues. Cependant, plutôt que de gérer des listes blanches, la DSI doit se concentrer sur des approches plus dynamiques du type « just in time » qui assurent une sécurité suffisante sans inconvénient.

Le risque humain est également un critère de vulnérabilité…
En effet, d’autres niveaux de cybersécurité doivent être envisagés, comme la formation des utilisateurs, indispensable pour qu’ils sachent détecter les e-mails d’hameçonnage. Les initier à des sauvegardes régulières limite également les risques de perte de données en cas d’attaque par ransomware. Une configuration correcte des pare-feux Windows peut également stopper la propagation d’un rançongiciel au sein du SI. En résumé, les correctifs et le contrôle des applications doivent être prioritaires pour toutes les entreprises qui cherchent à reconstruire leurs défenses après un incident tel que celui vécu en mai. En conclusion, l’épisode WannaCry a servi d’électrochoc à de nombreuses entreprises et leur aura permis de prendre conscience de la vulnérabilité de leur SI. La leçon à retenir ? La cybersécurité est un travail permanent qui nécessite une attitude proactive au quotidien de la part des équipes.

Propos recueillis par Ségolène Kahn

Commentez

Participez à la discussion


La période de vérification reCAPTCHA a expiré. Veuillez recharger la page.