Duquesne Group Duquesne Group

English version
Blog des experts

Les avis et les commentaires exprimés dans les blogs sont ceux des experts individuels. Ils ne représentent pas nécessairement l'opinion du cabinet. Contactez-nous pour en savoir +
French version
Blogs

In these blogs, individual experts freely express their own opinions and comments. They do not necessarily reflect the opinion of the firm. Contact us to find out more


Attaque en rançongiciel : quelle leçon tirer de "Wannacry" ?


L'attaque "Wannacry" bat son plein et cause des dégâts visibles. Pourtant les spécialistes pensent que tout ceci est classique et prévisible, même si tous les mécanismes ne sont pas encore connus.

Que peut-on recommander en protection et réaction ? Le point avec les quelques informations publiquement disponibles.



Le vecteur de la charge utile

Comme tout malware, on peut le décomposer en deux parties :
  • le vecteur : c'est à dire le moyen de propagation du code malveillant vers le lieu où il pourra agir
  • la charge utile : c'est à dire le code malveillant lui-même et ce qu'il cause comme dégâts

Dans le cas présent une inconnue demeure : sommes-nous face à une propagation par e-mail (classique, avec pièce jointe ou lien dans un e-mail et invitation à cliquer) ou sommes nous face à un passage par une entrée réseau (le port TCP 445 non protégé) ? Sachant que les deux vecteurs d'attaque sont possibles bien sûr. Cela pose diverses questions :

En cas d'e-mails :
  • La collecte des e-mails n'est pas très compliquée pour les fraudeurs ; il reste à sensibiliser encore et toujours le récepteur de l'e-mail frauduleux qu'il ne faut pas cliquer dessus, ni aller sur le site qu'il indique éventuellement....

  • Quelle est l'identité affichée de l'expéditeur ? lorsque la victime potentielle reçoit l'e-mail infecté, elle doit vérifier le nom de l'expéditeur. Cela peut être un inconnu ou au contraire quelqu'un avec lequel elle communique et qui s'est fait pirater son carnet d'adresse (à son corps défendant).


Moralité : vous recevez de quelqu'un que vous connaissez un e-mail en anglais qui vous demande de cliquer sur une pièce jointe ou un lien. Bien sûr ne le faites pas ! Tout s'arrêtera là. A plus forte raison si l'expéditeur vous est inconnu, même si c'est plus rusé.

En cas de passage par le port 445 TCP qui semble la situation la plus courante (au 15 mai au soir) :

  • Tout administrateur réseau sait que ce port d'accès aux fichiers doit être fermé sur les pare-feu en entrée. Combien de sociétés laissent encore un paramétrage permissif ?

  • le malware doit être doté de capacité de scan de ports puissantes avec des robots adaptés pour identifier ses victimes.

Moralité : revoyez les paramétrages de vos systèmes de pare-feu pour fermer ces ports dangereux.


La charge utile

La charge utile semble dans la cas présent assez complexe car elle apparaît rassembler au moins trois parties :
  • une partie qui chiffre les fichiers du système de fichier Windows du poste
  • une partie qui va chercher à accéder via SMB (TCP 445) à des systèmes de fichiers partagés en réseau local pour les chiffrer
  • une partie (ce point est moins sûr) qui va chercher à se propager plus loin (en recherchant des port 445 ouverts sur Internet)

Cette charge utile est donc un exécutable (ou plusieurs) qui va profiter de vulnérabilités présentes sur le poste de travail et/ou sur les serveurs de fichiers (sous Windows Server).

Rien de malveillant ne peut se produire si les versions de Windows utilisées sont à jour des dernières corrections. Les dernières corrections datant de mars 2017, un retard de mise à jour est évidemment dommageable mais possible...

Pour les versions anciennes de Windows (comme XP qui a 16 ans...) non maintenues en standard par Microsoft, ce dernier a publié tout récemment des correctifs.

De plus, selon certains témoignages, le programme malfaisant essaie de se connecter à une url (adresse de site internet) non enregistrée (il doit donc attendre en réponse un message d'erreur du genre 404). Un chercheur britannique s'est intéressé à cela et a enregistré ce site, ce qui a eu pour effet semble-t-il de bloquer le programme malfaisant où qu'il soit (il ne reçoit plus le message attendu).

Lorsque le malware sait qu'il existe une sortie vers Internet, il va chercher à y trouver des ports 445 ouverts pour pouvoir s'y infiltrer et passer ainsi d'entreprise à entreprise. (sans recours alors à l'email à PJ douteuse).


Moralité : fermer ses ports 445 ouverts et tenir à jour ses systèmes avec les dernières corrections est une pratique vitale. Définir des listes positives de site sur ses pare-feu peut aussi être utile (sauf que c'est très lourd en gestion...)

Prévention et réaction

A partir de ce qui précède, il découle comme on le voit des recommandations de prévention :

  • Sensibiliser les utilisateurs à une bonne attitude face au cliquage sollicité : on ne clique pas sur un lien ou une PJ suspecte. Il est vrai que la notion de suspicion n'est pas évidente ! Il faut régulièrement refaire des séances sur ces sujets simples.

  • Se tenir au courant des vulnérabilités et tenir à jour de manière rigoureuse les systèmes avec les derniers correctifs publiés par les éditeurs sérieux. Bien sûr cela n'est pas forcément facile partout, en particulier quand le parc applicatif ne tolère plus les montées de niveau système. Si l'on est obligé de vivre avec d'anciennes versions on veillera à isoler si possible ces systèmes du reste du réseau.

  • Assurer et vérifier les paramétrages et blocages des ports à risque sur les pare-feu (dont 445 TCP mais il y en a d'autres) ; regarder si l'on ne peut pas améliorer les listes noires/blanches des pare-feu et leur gestion.


Les yeux pour pleurer

Maintenant que tout ceci est exposé, il se peut très bien que dans l'entreprise il y ait quelque part des ports 445 ouverts ou un utilisateur peu averti qui a cliqué sur un lien dans un e-mail reçu sur un vieux poste dans une salle reculée mais...connecté au réseau local !

Il suffit en effet d'une seule personne dans ce cas ou d'un seul point d'entrée sur un LAN mal segmenté dans toute l'entreprise pour que le mal soit fait sur les serveurs les moins à jour.

Il ne nous reste alors que vos yeux pour pleurer (d'ailleurs "Wannacry" signifie exactement cela : vous aller pleurer !)

Sauf si vous avez fait des sauvegardes et que celles-ci sont encore intactes. Malheureusement, il est courant que les sauvegardes (copies d'un état antérieur de données) présentent les défauts suivants :

  • Elles ne sont pas assez fréquentes : tous les vendredi soir : on peut perdre une semaine

  • La restauration n'est pas testée : en fait quand on en a besoin, on constate que cela ne marche pas ou que l'on a sauvegardé ... les mauvaises données.

  • Les sauvegardes sont dans le même système que les données d'origine et ont aussi été chiffrées par Wanacry !

La bonne pratique est évidente : sauvegardez souvent vos données ; sortez-les de la zone de risque (par exemple sur cartouche) et testez souvent les restaurations.

La réaction sur alerte

Dernier point, et non des moindres.

L'alerte a été donnée vendredi après-midi. Comment répondons-nous aux questions de notre DG dès lundi matin :

  • sommes-nous touchés ?
  • quelles machines sont susceptibles d'être visées ?
  • que faire en cas de doute ?
  • quelle conséquences pour les métiers ?

Pour répondre à toutes ces questions typiques de cellule de crise, il nous faut des processus qui fonctionnent :

  • que les utilisateurs victimes ou saisis par le doute escaladent vite : une gestion d'incidents de sécurité est indispensable

  • la DSI doit savoir combien elle a de machines qui ne sont pas à jour et sont donc vulnérables : il lui faut une gestion de configuration digne de ce nom pour avoir une réponse fiable (avec des données non chiffrées !)

  • La DSI doit pouvoir vérifier ses paramétrages de tous ses points d'entrée réseau et corriger les erreurs éventuelles

  • la mise en protection en cas de doute doit être PREPAREE : on déconnecte telle et telle machine, on sait lesquelles et on sait comment le faire (on déconnecte du réseau ; on arrête) et ceux qui doivent le faire peuvent le faire

  • enfin, la DSI sait à quel métier servent les machines (et les métiers savent qui les gèrent) : cela fait aussi partie de la gestion de configuration et service.

Voilà ce que l'on pouvait dire à ce jour sur cette attaque.


Emmanuel Besluau
Lundi 15 Mai 2017

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Articles du même auteur :

Halte aux PCA bidons ! - 19/01/2014

1 2