Un Hacking global pour rançons frappe 99 pays

 

Vendredi 12 mai, près de 100 pays ont été victimes de cyberextorqueurs qu’on pense utiliser un outil informatique dérobé à la NSA américaine, visant à infecter les ordinateurs d’environ 75.000 victimes, principalement en Grande-Bretagne, en Espagne, en Russie, en Ukraine et à Taïwan. Au cours de la plus grosse cyber-attaque en vue d’une extorsion globale de rançons jamais réalisée à ce jour, des pirates informatiques inconnus ont trompé leurs victimes en ouvrant des pièces jointes contenant un malware mal intentionné, présent dans des e-mails de spam, qui semblaient contenir des factures, des offres d’emploi, des alertes de sécurité et d’autres fichiers apparemment légitimes. Il s demandaient en fait le versement de rançons d’entre 300 et 600 $, avant de restaurer les accès – et certaines victimes ont dû payer en monnaie numérique, soit en bitcoin.

En avril, un groupe se faisant appeler les Shadow Brokers (Courtiers de l’Ombre) a, paraît-il, volé ce dispositif à la NSA, mais il semble qu’il se soit propagé au bénéfice d’autres hackers.

Les attaques les plus perturbatrices ont été signalées en Grande-Bretagne, où des dizaines d’hôpitaux et de cliniques ont dû refuser des patients. En Russie, ils ont pris le Ministère de l’Intérieur pour cible ainsi que de nombreux commissariats de police à travers tout le pays.

Il n’y a eu qu’un petit nombre d’organisations ayant leurs sièges aux Etats-Unis qui ont été frappés, parce que les pirates semblent avoir lancé leur campagne en visant les organisations européennes, selon Vikram Thakur, directeur de recherches en logiciels de sécurité chez le fabricant Symantec. Au moment où ils ont commencé à se retourner contre les Etats-Unis, des filtres anti-spam ont réussi à identifier la nouvelle menace et signalé les e-mails bourrés de demandes de rançon comme des malware nuisibles. Le Département de Défense du territoire américain a offert de partager cette information avec ses partenaires intérieurs et à l’étranger.

Les entreprises de sécurité privées ont identifié ce virus demandeur de rançons (rançongiciel) comme une nouvelle variante de « WannaCry », qui avait la capacité de se propager automatiquement à travers de vastes réseaux en exploitant un bug connu dans le système opérateur de Windows de Microsoft.

Les autorités espagnoles ont confirmé que ce malware demandeur de rançons se répandait grâce à la vulnérabilité, appelée  « EternalBlue, » et elles avaient conseillé aux gens d’utiliser un patch mis à jour par Microsoft, et diffusé en mars dernier.

Kaspersky Lab a déclaré que, quoi que le malware demandeur de rançons (rançongiciel) WannaCry pouvait infecter les ordinateurs, même sans l’existence de cette vulnérabilité, EternalBlue reste le « facteur le plus significatif » de cette épidémie mondiale. Elle possède un module « traqueur », qui recherche les PC sur les réseaux internes. « Donc, par exemple, si votre portable est infecté et que vous êtes allés dans un café-bar, il peut se répandre dans tous les PC présents dans le bar. Et de là, vers d’autres commerces et entreprises ».

« C’est l’une des plus grosses cyber-attaques réclamant des rançons que la communauté cybernétique ait jamais vue », déclare Rich Barger, directeur de recherches contre les menaces chez Splunk, l’une des entreprises qui a fait le lien entre WannaCry et la NSA.

DEBKAfile Reportage Spécial 13 mai 2017, 8:53 AM (IDT)


WanaCrypt0r, une cyberattaque ‘sans précédent’

Depuis la journée de vendredi, près d’une centaine de pays ont subi des attaques cybercriminelles visant des milliers d’entreprises et administrations.

Depuis la journée de vendredi, près d’une centaine de pays ont subi des attaques cybercriminelles visant des milliers d’entreprises et administrations. Ce n’est que maintenant qu’on commence à comprendre les dégâts et l’ampleur de l’assaut qui vient d’avoir lieu.

Pour les victimes, cette attaque s’est traduite par une demande de rançon. Essentiellement, les criminels ont déployé WanaCrypt0r, un logiciel qui chiffre intégralement les données ciblées, les rendant illisibles pour la victime qui doit alors verser une rançon (généralement en Bitcoin) pour obtenir la clé de déchiffrement connue des seuls malfaiteurs.

UNE ATTAQUE INTERNATIONALE

La liste des victimes est très longue et couvre de nombreux pays. La Russie, le Royaume-Uni, l’Espagne, le Portugal ou la Roumanie sont parmi ces victimes. La France est aussi concernée où le parquet de Paris a ouvert une enquête pour « accès et maintien frauduleux dans des systèmes de traitement automatisé de données », « entraves au fonctionnement » de ces systèmes, et « extorsions et tentatives d’extorsions ». Pour le moment, par son ampleur, par le nombre de sociétés et d’administrations concernées, cette attaque semble bien être la plus vaste connue à ce jour.

À l’étranger, cette attaque a notamment mis à genoux le système informatique de plusieurs hôpitaux publics en Angleterre, perturbant gravement le système de santé publique NHS (National Health Security) anglais, avec des conséquences parfois graves puisque, comme en témoigne un jeune médecin de l’hôpital de Londres, il devient impossible de faire des radios, élément pourtant essentiel de la médecine d’urgence, ou d’imprimer les bracelets d’identification des nouveaux-nés. Europol évoque une attaque informatique « d’un niveau sans précédent » et indique « collabore[r] avec les unités de cybercriminalité des pays affectés et les partenaires industriels majeurs pour atténuer la menace et assister les victimes ».

En France, des sites de production Renault, ciblés, sont maintenant à l’arrêt pour éviter la propagation du virus. Apparemment, le site de Sandouville en Seine-Maritime serait notamment concerné même si la direction n’a pas apporté de précision sur les sites touchés.

UNE ATTAQUE POURTANT FACILE À ÉVITER

Pourtant, l’attaque aurait pu être prévenue. Le logiciel malveillant – qui, une fois installé, chiffre tout ou partie des données de la victime – se base en effet sur plusieurs failles qui sont maintenant toutes connues.

D’une part, les victimes ont essentiellement été infectées par deux vecteurs : le phishing et une infrastructure informatique en réseau pas suffisamment tenue à jour. D’autre part, il existe des correctifs pour la faille exploitée depuis déjà plusieurs semaines !

Le phishing (ou hameçonnage) est une technique menée, dans le cas qui nous occupe, par l’envoi d’un courrier électronique suffisamment bien fait pour obtenir de la personne visée qu’elle exécute certaines opérations apparemment bénignes sur sa machine, comme ouvrir un document texte (PDF, Word…). Normalement, la mise en place de politiques strictes de filtrage des pièces attachées des courriers électroniques, de politiques de sécurités sur les machines de travail de toutes les entreprises (privées ou publiques) permet sinon de garantir une totale étanchéité à ce genre de soucis, au moins une vigilance des utilisateurs et des alertes devant de telles tentatives qui sont, de nos jours, monnaie courante. À titre individuel, l’usager moyen ne devrait plus, de nos jours, ouvrir des attachements de provenance incertaine, ou installer des applications depuis une source non reconnue.

Quant à l’infrastructure réseau et les machines qui la composent, elle se doit d’être régulièrement mise à jour pour éviter l’accumulation de failles et de vulnérabilités. Là encore, même l’usager lambda dispose d’outils standards qui lui permettent de conserver son ordinateur, sa tablette ou son téléphone à jour pour tenir compte des correctifs de sécurité émis par les fournisseurs. Or, dans le cas du NHS par exemple, un rapport de décembre 2016 rapporté par The Guardian montre que « presque tous les établissements du NHS utilisaient une version obsolète du logiciel Windows » dont les dernières mises à jour de sécurité remonte à avril 2014. Autant dire pour le monde informatique : une éternité.

Enfin, on pourra noter que, dans bien des cas, la restauration de données non-chiffrées à partir de sauvegardes récentes et lisibles semble poser des problèmes, ce qui en dit long sur les plans de contingence en cas d’incident que ces institutions ont mis en place. Là encore, de gros efforts semblent indispensables, surtout lorsque des vies sont en jeu.

UNE ATTAQUE BASÉE SUR… UN OUTIL DE LA NSA

Fait plus grave encore : l’attaque se base sur l’exploitation d’une faille mise à jour il y a quelques semaines par ShadowBrokers, un groupe de hackers qui avaient fait fuiter des outils utilisés par la National Security Agency (NSA) américaine.

Autrement dit, ces outils permettent à l’agence d’espionnage américaine d’infiltrer aisément des ordinateurs cibles et utilisent pour ce faire différentes techniques dont l’une est basée sur une faille présente dans la version Microsoft de logiciel gérant le protocole réseau SMB. Or, depuis que cette faille est connue suite à la publication de ces outils, Microsoft avait largement publié les correctifs logiciels à appliquer sur toutes ses versions encore supportées de son système d’exploitation Windows. Charge à ses clients de tenir à jour les machines concernées, soit manuellement, soit automatiquement via le service Windows Update disponible en standard dans son système d’exploitation.

Cette attaque aux conséquences déjà graves et coûteuses impose de tirer des leçons sur la façon dont la plupart des pays industrialisés mettent en place de véritables cyber-armes, basées sur l’exploitation de ces failles dites « zero-day », c’est-à-dire inconnues des fournisseurs et développeurs de logiciels, et conservées secrètes pour servir les intérêts nationaux… Jusqu’au moment où ces failles finissent par fuiter et se retourner contre ceux qui les recherchent, les cultivent et les gardent secrètes. En l’occurrence, il est difficile de ne pas faire un parallèle entre cette catastrophe informatique et le développement de gaz neurotoxiques ou les menaces biologiques (virales ou bactériennes) dont les effets peuvent facilement se retourner contre ceux qui les ont créées.

Les citoyens et les contribuables qui ont maintenant à gérer les conséquences fort désagréables de ces chiffrements sauvages et des rançons afférentes sont en droit de demander des comptes à ces agences qui ont, en premier lieu, développé ces cyber-menaces au lieu de comprendre que la sécurité passe avant tout par l’amélioration continue des systèmes, amélioration continue qui nécessite une saine concurrence et la transparence à tous les niveaux.

By: Ministerio TIC ColombiaCC BY 2.0

WanaCrypt0r, une cyberattaque ‘sans précédent’

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.