in

WannaCry et BlueDoom : bâtir une stratégie de défense multi-niveaux pour anticiper les prochaines attaques qui ne manqueront pas de sévir – Par Simon Townsend, Ivanti

WannaCry est le nom qui a fait frémir bon nombre d’administrateurs système du monde entier en ce mois de mai 2017. Des milliers d’entreprises ont été touchées dans plus de 150 pays. Les conséquences : des utilisateurs ont été interdits d’accès à leur PC, des opérations réalisées par le NHS ont été stoppées et certains rendez-vous patients annulés. Néanmoins, si la crise WannaCry est passée, elle est suivie d’un ver informatique plus puissant appelé BlueDoom. Ce dernier a « militarisé » tous les vecteurs d’attaque de l’exploit de la NSA, EternalBlue et peut servir de base de lancement pour de futures attaques. Ce ver demeure très résistant et il est difficile de le supprimer d’un système d’exploitation Windows, sans réinstaller l’OS en entier. En effet, l’attaque de ransomwares vécue en mai a obligé les DSI à redéfinir les politiques de sécurité de leur SI. Face aux menaces qui existent actuellement, ces systèmes ont prouvé qu’ils n’étaient pas assez outillés pour lutter contre ces menaces.

WannaCry, BlueDoom : des attaques massives vécues comme un électrochoc pour les entreprises

Comment se sont produites ces attaques ? L’un des principaux aspects d’une attaque de ransomewares est le moyen qu’utilisent les hackers pour atteindre leurs cibles. Le plus souvent, ils passent par des e-mails d’hameçonnage spécialement conçus pour tromper l’utilisateur, l’incitant à cliquer afin d’activer le téléchargement d’un malware. Ce dernier, immédiatement actif, infecte le système, crypte tous les fichiers et exhorte l’utilisateur à lui donner entre 300 et 600 dollars de rançon en échange de la clé de décryptage. Il se répand à la façon d’un ver au sein du SI de l’entreprise, par le biais d’Internet en utilisant également l’exploit de la NSA, Eternalblue, récemment révélé par le groupe des Shadow Brokers. Ce malware cible la faille Windows CVE-2017-0145 qui permet aux hackers d’agir à distance par le biais de paquets conçus sur un serveur SMBv1.

En effet, Microsoft avait publié en mars un correctif (MS17-010), puis l’avait complété avec un correctif d’urgence le 13 mai pour les versions de Windows non prises en charge, notamment XP, Vista, Windows 8 et Server 2003 et 2008.

Par ailleurs, il existe un soi-disant « coupe-circuit » intégré dans le code d’origine de WannaCry, qui a permis à certaines entreprises touchées par l’attaque de se défendre et de mettre en place un correctif d’urgence. Mais le 15 mai est apparue une variante UIWIX qui ne comportait déjà plus ce « coupe-circuit ». Pour les entreprises, les dérivés de WannaCry, tels que BlueDoom, sont donc d’autant plus dangereux qu’ils sont difficiles à désactiver.

Les services de santé et diverses organisations comme FedEx, Telefonica et le Ministère de l’Intérieur de Russie ont signalé avoir été victimes de ce blitz. Ces malwares ont ainsi provoqué une baisse de la productivité et ont entaché la réputation de ces entreprises en rendant leurs SI vulnérables.

La solution à terme : adopter une stratégie de sécurité multi-niveaux et proactive

De nombreuses entreprises ont été prises au dépourvu lors de cette attaque, malgré les correctifs disponibles depuis mars pour les systèmes d’exploitation pris en charge. La faille se situe dans la mise à jour SMB qui a provoqué des changements significatifs dans le protocole clé de communication. Ces changements peuvent parfois induire des problèmes avec des logiciels tiers. Ainsi bon nombre de DSI ont retardé leur déploiement pour planifier une série de tests. S’en est suivi un retard de l’implémentation des correctifs. Pour couronner le tout, les anciennes versions non prises en charge par les OS, donc totalement vulnérables face à une cyberattaque, ont été la cible principale des pirates.

Ainsi, comment procéder pour sécuriser les systèmes et éviter que ce type de situation ne se reproduise à l’avenir ? L’importance d’une protection en profondeur des systèmes rend leur contrôle et leur sécurité plus solides. Les antivirus traditionnels sont efficients pour les menaces traditionnelles. Néanmoins, avec WannaCry, les fournisseurs d’antivirus ont mis plusieurs jours avant de détecter et bloquer ce ransomware à la prolifération rapide. Les nouvelles variantes comme BlueDoom sont, quant à elles, encore plus difficiles à détecter. C’est généralement une fois qu’elles ont infecté tous les systèmes d’information que les DSI remarquent leur présence.

Le seul moyen qui permet de prévenir et sécuriser le SI en cas d’attaque, ce sont les correctifs, simplement parce qu’ils réduisent la surface d’attaque. Le risque zéro n’existe pas, mais il est préférable d’installer la mise à jour au plus tard deux semaines après sa sortie.

Autre élément important, le contrôle des applications – listes blanches, protection de la mémoire et gestion des privilèges – limite la menace que représentent les failles encore méconnues. Cependant, plutôt que de gérer des listes blanches, la DSI doit se concentrer sur des approches plus dynamiques du type « just in time » qui assurent une sécurité suffisante sans inconvénient.

Mais ce n’est pas tout. D’autres niveaux de cybersécurité doivent être envisagés, comme la formation des utilisateurs, indispensable pour qu’ils sachent détecter les e-mails d’hameçonnage. Les initier à des sauvegardes régulières limite également les risques de perte de données en cas d’attaque par ransomwares. Une configuration correcte des pare-feux Windows peut également stopper la propagation d’un ransomware au sein du SI. En résumé, les correctifs et le contrôle des applications doivent être prioritaires pour toutes les entreprises qui cherchent à reconstruire leurs défenses après un incident tel que celui vécu en mai.

En conclusion, l’épisode WannaCry a servi d’électrochoc pour de nombreuses entreprises et leur aura permis de prendre conscience de la vulnérabilité de leur SI. La leçon à retenir ? La cybersécurité est un travail permanent qui nécessite une attitude proactive au quotidien de la part des équipes.

Morgane
Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

Written by Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.