Auteur Sujet: WannaCry, ransomware qui a touché plus de 200 000 utilisateurs dans 150 pays  (Lu 25639 fois)

0 Membres et 1 Invité sur ce sujet

ikoula

  • AS21409 Officiel Ikoula
  • Expert
  • *
  • Messages: 60
  • Reims (51)
WannaCry, comment se prémunir ?

Wannacry ou Wannacrypt est le dernier ransomware qui a récemment touché plus de 200 000 utilisateurs dans 150 pays.

Un "ransomware" ou ("rançongiciel" en français) est un logiciel malveillant qui va chiffrer l'ensemble ou une partie des données d'un disque dur en demandant une rançon pour débloquer ces dites données. Le procédé existe depuis plusieurs années mais celui qui a touché le monde le weekend dernier fut particulièrement efficace.
Pour les victimes, plusieurs choix se présentent.

1. Il est fortement recommandé de ne jamais payer la somme demandée par les pirates puisque rien ne vous assure que vous aurez les clés de décryptage en contrepartie. De plus, vos données de paiement peuvent elles mêmes être piratées.
2. Il est également possible de reformater entièrement sa machine, sous condition de perdre l'intégralité de ses données (voilà pourquoi il est indispensable d'avoir des back-up)
3. La meilleure solution reste de contacter son DSI (directeur des systèmes d'information) qui est le mieux placé pour gérer ce genre de situation. Après plusieurs jours ou semaines d'existence, un ransomware sera inefficace car sa clé de déchiffrement sera connue, cependant, selon la récence du logiciel, le déchiffrement peut s'avérer plus ou moins compliqué.

Comme il vaut mieux prévenir que guérir, il faut surtout être attentif à ce que l'on peut faire pour éviter ce genre de désagrèment. Premièrement, on ne le répétera jamais assez, il est indispensable de mettre à jour ses outils. Assurez vous que Window Update est bien paramétré sur toutes les machines.
Ne négligez surtout pas votre navigateur web qui doit impérativement être lui aussi à jour ainsi que tous les plug-in associés (Adobe Flash Player, Java...). Ensuite, et particulièrement lorsque vous payez en ligne, privilégiez les sites protégés. Recherchez des sécurités type certificats SSL (http - https), green bar ou cadenas.
Enfin, lorsqu'il s'agit de votre boîte e-mail, vous pouvez choisir de filtrer la réception de certains types de fichiers (pièce-jointes, images).

Ces problématiques touchent bien évidemment les hébergeurs, Ikoula n'a pour le moment aucunement été touché par WannaCry. Cela est notamment dû aux mesures de sécurité prises en amont. En effet la première sécurité est avant tout physique, les DataCenters sont donc des lieux hautement sécurisés.

Pour notre directeur de la R&D Joaquim Dos Santos, la priorité est au recrutement et à la formation des équipes quant à ce genre de problématiques.

Voir la vidéo [lien HS]

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 685
  • Lyon 3 (69) / St-Bernard (01)
    • Twitter
News securite
« Réponse #1 le: 17 mai 2017 à 13:06:04 »
En effet la première sécurité est avant tout physique, les DataCenters sont donc des lieux hautement sécurisés.
Hum, c'est vrai que la sécurité d'un lieu importe beaucoup pour un virus logiciel.  ::)

Snickerss

  • Expert Free + Client Bbox fibre FTTH
  • Modérateur
  • *
  • Messages: 4 859
  • Mes paroles n'engagent que moi :)
    • BlueSky
News securite
« Réponse #2 le: 17 mai 2017 à 14:51:24 »
Je pense que Ikoula élargissait la problématique à la sécurité en général sur la fin du message :)

cali

  • Officiel Ukrainian Resilient Data Network
  • Fédération FDN
  • *
  • Messages: 2 404
    • Ukrainian Resilient Data Network
News securite
« Réponse #3 le: 17 mai 2017 à 15:12:14 »
Se prémunir ?

Si le malware a déjà été exécuté je ne pense pas que ça soit « prémunir ».

Pour se prémunir il faut :

1. Ne pas utiliser de logiciels propriétaires.
2. Ne pas exécuter de logiciels n'ayant pas subi d'évaluation par les pairs.
3. Exécuter la merde dans des machines virtuelles.

Cette approche est pragmatique.

  • Invité
News securite
« Réponse #4 le: 17 mai 2017 à 17:33:40 »
Les logiciels couramment utilisés sont grotesquement complexes, point final.

Optix

  • AS41114 - Expert OrneTHD
  • Abonné Orne THD
  • *
  • Messages: 4 904
  • WOOHOO !
    • OrneTHD
News securite
« Réponse #5 le: 17 mai 2017 à 18:12:46 »
Citer
2. Il est également possible de reformater entièrement sa machine, sous condition de perdre l'intégralité de ses données (voilà pourquoi il est indispensable d'avoir des back-up)
Vous réfléchissez un peu ?

En reformatant, la machine est obligée d'aller sur Internet pour chercher ses mises à jour (ou le serveur de l'entreprise) et elle a la faille de facto. Suffit qu'un autre ordinateur scanne l'IP et boom, infectée ! On refait quoi ? On re-reformate ?

Bref, il faut mettre le hotfix sur clé USB et/ou foutre le parefeu en mode réseau public.

Citer
filtrer la réception de certains types de fichiers (pièce-jointes, images)
L'infection est si massive qu'elle n'a rien à voir avec des pièces jointes. Des ordinateurs infectés testent les IP des autres ordinateurs du réseau (intranet ou Internet), teste la vulnérabilité et l'exploite si ça répond favorablement. En gros même si tu fous rien, tu te fais infecté "comme ça", tout seul.

Ca se voit que vous n'avez pas connu MS-Blaster dans les années 2000.

EDIT : par contre bcp d'hébergeurs sont encore très très en retard là dessus. A l'extérieur no souci, mais dès que tu lances un scan depuis un remote desktop à l'intérieur de l'hébergeur, c'est le drame. J'espère qu'iKoula a bien fait son taff (pas testé).

  • Invité
News securite
« Réponse #6 le: 17 mai 2017 à 18:32:21 »
1. Il est fortement recommandé de ne jamais payer la somme demandée par les pirates puisque rien ne vous assure que vous aurez les clés de décryptage en contrepartie.
Je pensais que les éditeurs de "ransomwares" tenaient trop à leur réputation pour jouer à ça - je parle des "ransomwares" sérieux!

De plus, vos données de paiement peuvent elles mêmes être piratées.
Je croyais que les attaques actuelles faisaient une demande en Bitcoin, justement parce qu'une transaction bancaire classique aurait permis de remonter au compte de l'attaquant!!!

Quelles données seraient alors "piratées"?

vivien

  • Administrateur
  • *
  • Messages: 48 088
    • Twitter LaFibre.info
News securite
« Réponse #7 le: 17 mai 2017 à 18:41:54 »
L'infection est si massive qu'elle n'a rien à voir avec des pièces jointes. Des ordinateurs infectés testent les IP des autres ordinateurs du réseau (intranet ou Internet), teste la vulnérabilité et l'exploite si ça répond favorablement. En gros même si tu fous rien, tu te fais infecté "comme ça", tout seul.

Non, il me semble que l'infection démarre par l'ouverture d'une pièce jointe.

L'effet domino, c'est que tous les ordinateur d'un même réseau qui n'ont pas le patch Microsoft d'avril 2017 sont vulnérable et sont automatiquement infectés.

Si on prend le cas Renault, il me semble qu'une personne à ouvert une pièce jointe. Là où avant seul son poste serait infecté, l'utilisation de la faille trouvée par la NSA permet d'infecter tout ce qui est sur le réseau d'entreprise, notamment les robots dans les usines.

J'ai par contre un peu de mal à comprendre que le réseau bureautique et le réseau de production soient interconnectés directement sans firewall. C'est deux types de réseau différents, il semble logique qu'ils ne soient pas interconnecté entre eux directement et que chaque flux nécessaire entre les deux réseaux passe soit par une machine de rebond (connectés aux deux réseaux), soit par un firewall avec ouverture des flux avec IP source / destination / port destination spécifiés.

Après je comprends Renault : difficile d'avoir des automates à jour au niveau sécurité (c'est valable aussi bien pour ceux sous Windows que ceux sous Linux). Pour moi la décence de ce type de robot ce de ne pas être connecté directement à des ordinateurs qui ont accès à Internet via un Proxy (le réseau bureautique).

  • Invité
News securite
« Réponse #8 le: 17 mai 2017 à 18:58:07 »
Je ne comprends pas qu'on puisse ouvrir un PJ hors sandbox.

Je ne comprends pas que que l'ordinateur bureautique ait accès au réseau d'un industriel.

Optix

  • AS41114 - Expert OrneTHD
  • Abonné Orne THD
  • *
  • Messages: 4 904
  • WOOHOO !
    • OrneTHD
News securite
« Réponse #9 le: 17 mai 2017 à 19:17:56 »
Non, il me semble que l'infection démarre par l'ouverture d'une pièce jointe.
Ce que je souligne c'est l'erreur de croire que ça n'arrive QUE en ouvrant des pièces jointes. Un ordinateur peut très bien se faire infecter sans avoir touché la machine, ça il faut bien le comprendre et le partager.

Il y a beaucoup de choses que les gens font sans prendre conscience des conséquences, suffit de voir le nombre de particuliers qui font confiance dans "leur" box et/ou qui activent uPnp sans réfléchir parce que c'est "pratique". Pour eux oui, mais les botnets aussi.

Idem pour les entreprises qui laissent les services IIS par défaut ouverts ou pire... l'interface web du firewall en écoute sur l'IP publique, et j'en passe.

  • Invité
News securite
« Réponse #10 le: 17 mai 2017 à 19:30:20 »
Il y a beaucoup de choses que les gens font sans prendre conscience des conséquences, suffit de voir le nombre de particuliers qui font confiance dans "leur" box et/ou qui activent uPnp sans réfléchir parce que c'est "pratique". Pour eux oui, mais les botnets aussi.
Tu parles de IGD là?

Quel est le souci?

BadMax

  • Client Free adsl
  • Expert
  • *
  • Messages: 3 479
  • Malissard (26)
News securite
« Réponse #11 le: 17 mai 2017 à 20:07:34 »
Non, il me semble que l'infection démarre par l'ouverture d'une pièce jointe.

Il y a des cas avérés d'infection avec des machines ouvertes directement sur le Net.

Oui des admins sont suffisamment crétin pour s'imaginer qu'on puisse laisser ouvert TCP/445 directement.

Citer
J'ai par contre un peu de mal à comprendre que le réseau bureautique et le réseau de production soient interconnectés directement sans firewall. C'est deux types de réseau différents, il semble logique qu'ils ne soient pas interconnecté entre eux directement et que chaque flux nécessaire entre les deux réseaux passe soit par une machine de rebond (connectés aux deux réseaux), soit par un firewall avec ouverture des flux avec IP source / destination / port destination spécifiés.

Il y a probablement un firewall mais, par "commodité", TCP/445 est peut-être resté ouvert afin de faciliter les échanges de fichier.

Exemple: stockage des procédures de montage sur un share commun entre prod et réseau bureautique. Pas de chance, le serveur de partage a été infecté depuis la bureautique et ça se propagera vers la prod.