Commentaire de Vincent Lavergne, expert en cyberattaques chez F5 Networks :
Nous vivons une année phare pour les cybercriminels. En mai, Wikileaks a commencé à publier la documentation Vault7 relative aux outils de cyberguerre et de cyberespionnage utilisés par la CIA. En parallèle, le groupe de pirates Shadow Brokers a publié des informations sur les exploits utilisés par la NSA et comprenant notamment l’exploit Windows EternalBlue. Ce dernier a été très rapidement transformé en arme pour devenir le ransomware WannaCry qui a récemment fait une apparition fracassante sur Internet et qui continue de faire de nombreuses victimes. Le ransomware « NotPetya » qui a récemment fait surface en Europe de l’Est avant de se répandre au niveau mondial s’appuierait également sur EternalBlue pour infecter les machines. Ces informations sont plutôt inquiétantes, mais ce qui est pire, c’est la révélation sur la manière dont la communauté du renseignement utilise des outils et des méthodologies pour trouver des vulnérabilités et créer des exploits. Cela rappelle la façon dont le principe d’interchangeabilité des pièces d’Eli Whitney et qui a marqué le début de la révolution industrielle. Les informations issues de ces fuites apportent un plan détaillé sur la façon de construire une fabrique semi-automatisée de logiciels malveillants. Ce mode d’emploi représente l’équivalent d’un saut quantique dans le domaine des techniques de piratage, et les cybercriminels n’ont pas trainé pour apprendre à s’en servir. Ces méthodologies d’agences de renseignement liées à des attaques très puissantes telles que FuzzBunch, Athena/Hera et OddJob sont toutes décrites avec des notes techniques, des instructions de montage et des commentaires expérimentaux. C’est l’équivalent d’un trésor pour quelqu’un qui cherche à construire un système similaire.
A quoi peut-on s’attendre ?
Des choses effrayantes. Au cours des 12 à 36 prochains mois, nous allons voir les cybercriminels de tous horizons utiliser ces techniques pour créer une nouvelle génération d’attaques. On peut s’attendre à :
- Des tempêtes régulières de logiciels malveillants : Les attaques du type de WannaCry seront la nouvelle norme. Les entreprises doivent se préparer à faire face à des attaques continues s’appuyant sur des exploits zéro day et capables de cibler toutes les applications et toutes les plates-formes. Le rayonnement du coté obscur d’Internet va atteindre un nouveau niveau de toxicité.
- Des leurres parfaits : Avec l’exploitation du big data, de l’apprentissage machine et de moteurs de traitement du langage naturel, on peut s’attendre à ce que les emails de phishing et les faux sites web soient quasiment indiscernables des vrais. Les outils de traitement du langage naturel élimineront les formulations linguistiques maladroites qui permettent souvent d’écarter les faux sites. Il est déjà assez difficile pour nombre d’utilisateurs de discerner la réalité. Cela va être encore pire.
- Des attaques sans clic : Il ne faut pas uniquement imaginer avoir affaire à de nouveaux vers, mais aussi imaginer l’équivalent d’une attaque internet étendue aux services majeurs et même aux plates-formes mobiles. Cela signifie que des attaques cibleront les principales plates-formes applicative et que la simple utilisation d’une application client sur un téléphone pourra impliquer d’être touché par quelque chose de nuisible.
- Des attaques intraçables : Des attaques seront lancées à partir de réseaux C&C qui n’ont jamais été vus avant et ne seront plus jamais revus. L’analyse des domaines pour les réseaux C&C malveillants deviendra un art obsolète. Les filtres de réputation IP deviendront inutiles.
Se préparer à l’assaut
Si on peut s’attendre à des attaques continues exploitant un grand nombre d’exploits zéro day, alors les entreprises vont avoir besoin de fortes capacités de détection intelligente des menaces (threat intelligence), de stratégies de réponse aux incidents et d’une solide stratégie anti-DDoS. Afin de faire face aux nouveaux types d’attaques, les organisations doivent dès à présent mettre en œuvre des mesures techniques et des solutions défensives plus avancées et être sûres d’appliquer les règles de base consistant à patcher et mettre à jour le plus rapidement possible.
Acronis – Commentaire de Samy Reguieg, Directeur Général d’Acronis en France
« Une nouvelle attaque par Ransomware frappe et affecte de nombreuses sociétés de renom à travers le monde : Bayer, Nivea, Maersk, Merck, Mondelez, Saint Gobain ou WPP. Le fait qu’il puisse s’agir d’une nouvelle version de Petya (détecté pour la première fois en 2016) n’est pas encore confirmé, mais il est clair que ce ransomware utilise le même exploit qui a aidé WannaCry à attirer l’attention des médias : EternalBlue. »
« Malheureusement, avec actuellement plus de 80 entreprises touchées en Ukraine, en Russie et dans divers pays européens, on constate une fois encore que les entreprises ne semblent toujours pas préparées. Il s’agit d’un avertissement et d’une nouvelle démonstration de l’importance de mettre en œuvre une stratégie de sauvegarde des données efficace permettant de se prémunir contre les attaques de type ransomware. Les fichiers importants doivent faire l’objet de sauvegardes régulières, à intervalles réduits, de préférence vers un espace de stockage cloud sécurisé proposé par le fournisseur de la solution de sauvegarde ou sélectionné par l’entreprise. »
« Enfin, il est impératif d’appliquer le patch SMB proposé par Microsoft et d’activer les mises à jour automatiques. Il en va de même pour tous les autres logiciels installés sur les ordinateurs d’une entreprise. Ces mises à jour apportent de nouvelles fonctionnalités ou réparent les failles de sécurité exploitées par les cybercriminels. En installant ces correctifs le plus tôt possible, le système d’information de l’entreprise a moins de chance d’être infiltré par un ransomware. »
Varonis – Commentaire de Christophe Badot, Directeur Général France de Varonis
« Une cyberattaque mondiale massive qui a débuté en touchant un grand nombre d’ordinateurs du gouvernement Ukrainien s’est depuis répandue dans le monde entier infectant nombre d’infrastructures majeures : banques, grandes entreprises, sociétés de transports, etc. »
« Cette attaque par ransomware qui fait écho à WannaCry, a le potentiel de faire beaucoup plus de dégâts, car elle ne semble pas être dotée d’un kill switch (option d’arrêt d’urgence), ce qui avait été le facteur majeur pour arrêter la propagation de WannaCry. Il s’agit d’une nouvelle « attaque mixte », utilisant les mêmes exploits NSA que WannaCry (EternalBlue), mais ajoutant une nouvelle variante de ransomware, baptisée « NotPetya ». Celle-ci empêche les victimes de redémarrer leur ordinateur, en chiffrant leurs postes qui affichent ensuite une demande de rançon. Ainsi cette attaque ne se contente pas seulement de chiffrer les données mais elle empêche totalement les ordinateurs de fonctionner. »
« Selon VirusTotal, seuls 4 des 61 logiciels AntiVirus de postes listés étaient capables de détecter cette souche de ransomware lors de son apparition. Cela souligne la nécessité de mettre en place des solutions de défense sans signature et une approche par couche pour la sécurité des données. »
« La première chose que les entreprises devraient faire pour éviter d’être touchée est d’appliquer le patch SMB que Microsoft a publié suite à l’attaque WannaCry. Il est, comme toujours, essentiel de mettre à jour les systèmes avec les derniers correctifs et d’examiner les politiques de sécurité en place afin de s’assurer qu’elles s’adaptent à l’environnement de menace d’aujourd’hui. Cela implique de verrouiller les données sensibles, de maintenir un modèle de moindre privilège et surveiller le comportement des fichiers et des utilisateurs (UBA – User Behavior Analytics) afin d’être en mesure d’identifier immédiatement une attaque. »
Olfeo – Commentaire d’Alexandre Souillé, Président et fondateur d’Olfeo
« Wannacry était une première alerte, l’attaque Petya semble s’avérer plus nocive. Nous constatons une succession d’échecs des méthodes de détection traditionnelles des menaces. Il faut changer le paradigme et rentrer dans un mode de Sécurité Positive au sens technique du terme : le fonctionnement en liste blanche. Ainsi, nous laissons accès uniquement aux contenus réputés sains. Olfeo reconnait aujourd’hui 98 % des sites web visités en France, ce qui permet la mise en place optimale d’une telle mécanique. »