« Les gouvernements du monde devraient […] reconnaître les effets de ces attaques sur les civils et réfléchir à une convention de Genève de la cybercriminalité » indiquait le Président et Directeur Juridique de Microsoft le 15 mai. Bien sûr l’impartialité du message est un peu sujette à caution, dans la mesure où une vulnérabilité de Windows est au cœur de l’attaque qui, le week-end du 13 et 14 mai, a permis, sur des machines présentes dans le monde entier, la diffusion du rançongiciel « WannaCry » qui crypte les fichiers d’un ordinateur et demande une rançon à l’utilisateur pour pouvoir les récupérer. Elle a cependant le mérite de souligner l’importance d’une nécessaire prise de conscience de la part de l’ensemble des acteurs concernés. En effet, la multiplication relativement récente de ce type d’affaire dans l’actualité (Des #MacronLeaks à #WannaCry) ne saurait faire oublier que des mesures simples existent pour, à tout le moins, freiner ces attaques. Les experts en cybersécurité de SafeBrands décryptent cette actualité chargée et vous proposent leurs conseils pour y faire face.
Tout commence (et finit ?) par un domaine…
Le virus Wannacry (aussi appelé « WannaCrypt ») utilisant une vulnérabilité du réseau local (le protocole SMB ou Samba de Windows) on a beaucoup lu que le virus n’avait pas besoin d’internet pour se propager. C’est partiellement vrai, puisqu’il circule sur le réseau interne de l’entreprise… mais c’est oublier que, même si le premier ordinateur infecté n’a pas été identifié à l’heure où nous écrivons, le « virus » a bien dû arriver sur le tout premier ordinateur hôte d’une manière ou d’une autre. Même s’il est possible que le virus se soit propagé grâce à des gestionnaires de parc informatique imprudents ayant ouvert leur serveur SMB sur Internet sans protection, il a tout aussi bien prendre la forme d’une pièce-jointe, envoyée par courrier électronique conçu pour inciter le lecteur à l’ouvrir et ainsi pénétrer le réseau.
La meilleure façon de lutter contre un virus ou une attaque étant de ne pas la laisser arriver sur son ordinateur, les entreprises ont toujours intérêt à mettre en place une surveillance de noms de domaine détectant l’activation de serveurs mail pour s’assurer que des variations du nom principal ne sont pas en circulation et susceptibles d’être utilisées à des fins d’« ingénierie sociale ». On pense notamment à l’affaire MacronLeaks, sur laquelle nous revenons dans un autre article. Un nom de domaine a donc, probablement, été utilisé pour disséminer le virus… il est donc piquant de constater qu’il en a, brièvement, interrompu la course ! Un chercheur en sécurité (qui souhaite rester anonyme) est en effet devenu un héros en un week-end lorsqu’il a découvert une parade.
Si certains journaux l’ont appelé le « héros par accident », son compte-rendu détaillé (en anglais) montre cependant que le hasard a joué un rôle bien faible : c’est au contraire grâce à une minutieuse analyse des interactions du virus avec une machine de test qu’il a découvert qu’un nom de domaine constitué d’une chaine de 40 caractères arbitraires et enregistré en .com (« iuqerfsodp9ifjaposdfjhgosurijfaewrwergwe.com ») était susceptible d’interrompre la propagation du virus. Il semble en effet que certains malwares utilisent cette méthode – qui consiste à envoyer une requête DNS vers un nom de domaine inexistant – pour tromper les environnements de tests des chercheurs en sécurité. Puisque le domaine est inexistant (pour en être certain il faut bien évidemment choisir un nom qui aura très peu de chance d’avoir été enregistré par ailleurs, ce qui explique la longueur et l’absence de signification du nom en question), il ne peut pas renvoyer une adresse IP. En conséquence, s’il en renvoie bien une, c’est probablement que le virus est en cours d’examen par des spécialistes de la sécurité dans un environnement sécurisé (appelé « bac à sable » ou « sandbox »). Face à une réponse inattendue à ce test, le virus devient inerte pour éviter d’être analysé (et donc combattu) par les chercheurs et experts.
Le DDOS pour faire sauter la rustine.
L’ironie qui veut qu’un nom de domaine censé protéger le virus ait abouti à son interruption n’a sans doute pas échappé aux auteurs du forfait qui ont donc utilisé un autre élément de l’arsenal de la cybercriminalité : le Déni de Service (DDOS) ! Pour rappel, cette technique consiste pour les criminels à prendre le contrôle de très nombreuses machines non protégées sur Internet et de les diriger vers une seule adresse IP (les machines étant dans ce cas téléguidées, on parle de « réseau de robots » ou botnet). Face à un nombre de demandes d’accès beaucoup plus important, le site devient inaccessible, un peu comme si des centaines de personnes essayaient de rentrer dans un magasin en même temps. Dans le cas présent, le DDOS n’est pas utilisé pour empêcher des tiers d’accéder au nom de domaine de test, mais bien de faire croire au virus lui-même que le nom de domaine n’est plus accessible, pour contourner la sécurité anti-chercheurs mise en place et donc le convaincre de continuer sa sale besogne !
C’est le logiciel malveillant Mirai, déjà bien connu pour être responsable d’attaques très importantes, qui a été mis à contribution pour générer ce DDOS très spécifique. Cette affaire dans l’affaire vient opportunément rappeler l’importance de protéger les appareils connectés à Internet au sein de l’entreprise comme de la maison : toujours appliquer les mises à jour et utiliser un pare-feu, même pour des objets connectés qui semblent inoffensifs ou peu tentant pour les criminels, puisque Mirai s’introduit en priorité dans des caméras de surveillance et les lecteurs de vidéos !
Questions clés pour (tenter) d’y faire face
Las, le « nom de domaine interrupteur » n’aura pas été utile très longtemps – même si un autre chercheur avait trouvé un nouveau nom de domaine dans un virus similaire et a ainsi stoppé plus de 10 000 attaques en Russie – car depuis lundi des variantes de WannaCry qui ne sont plus arrêtées par le test de l’accès au nom de domaine sont apparues. Le répit n’a été que de courte durée mais la solution n’était de toute façon que temporaire, aussi efficace qu’une écope face à un raz-de-marée ! Face à cette attaque comme à tant d’autres, ce sont bien les pratiques au sein de l’entreprise qui doivent évoluer. Cette évolution passe par l’audit général du parc informatique de l’entreprise, qui permettra de répondre à des questions essentielles :
- Les machines trop anciennes pour bénéficier des mises à jour de sécurité régulièrement diffusées par les systèmes d’exploitation (Microsoft, Apple, ou les distributions Linux) et donc extrêmement vulnérables sont-elles toujours indispensables ?
- Si elles ne peuvent pas être remplacées, doivent-elles obligatoirement être connectées au réseau interne ?
- Il est fortement recommandé de ne pas connecter des machines trop anciennes à Internet justement car l’absence de mise à jour en fait des cibles de choix, sont-elles derrière un pare-feu efficace ? Il faut rappeler que Microsoft proscrit de rendre les serveurs sous SMB accessibles en direct depuis Internet (à travers le port 45) et recommande d’utiliser une connexion VPN.
- Est-ce que les patchs sont proposés par les éditeurs même pour ces machines trop anciennes ? Dans ce cas précis, Microsoft met à disposition un correctif pour corriger la vulnérabilité des machines anciennes au virus WannaCry, il faut donc l’installer d’urgence !
- Est-ce que les fichiers de l’utilisateur font l’objet d’une sauvegarde régulière ? Si c’est le cas le cryptage des données en local par le rançongiciel engendrera tout au plus la perte de temps de reformatter le disque dur infecté et la restauration des données.
- Faut-il payer la rançon ? Même si ici le montant demandé (300 $ en bitcoin) était faible, la réponse de principe est, et doit toujours être, négative : d’abord il n’y a aucune garantie que les pirates donneront le code nécessaire au décryptage, mais surtout payer entretient une économie parallèle qui incite d’autres criminels à faire de même. Il semble d’ailleurs que le butin soit relativement faible à l’heure où nous écrivons, et on ne peut que s’en réjouir.
Prestataire d’hébergement depuis 20 ans, SafeBrands peut vous aider à sauvegarder vos données critiques sur des serveurs fiables et situés à France. Spécialistes de la sécurité liée aux noms de domaine, nous pouvons aussi vous aider pour faire face aux e-mails malfaisants utilisés pour disséminer ce type d’attaques.
Contactez-nous pour en savoir plus ou pour consulter notre récent Webinar sur la Cybersécurité.