Voici une FAQ pour répondre à toutes les questions concernant WannaCry (WanaDecryptor).
Le but est de répondre aux principales questions rapidement sur ce ransomware et attaque informatique liée à WanaDecryptor.
Q – On parle de cyberattaque, qu’est-ce que WannaCry (WanaDecryptor) ?
Le terme de cyberattaque peut faire penser à un état de guerre ou autres.
Il s’agit en réalité, d’un ransomware, c’est à dire un logiciel malveillant qui chiffre vos documents (comprenez crypter) et demande de payer une rançon pour récupérer accès à ces derniers (vous récupérez la clé de déchiffrement).
Il s’agit donc de prendre en otage vos documents afin de gagner de l’argent.
Ces pratiques sont loin d’être nouvelles, puisque ces menaces de ransomwares existent depuis des dizaines d’années et sont devenus plus fréquentes depuis fin 2015.
Le caractère exceptionnel de WannaCry est sa méthode de propagation pour ce type de menace informatique, qui a lui a permis d’infecter des milliers d’ordinateurs en peu de temps. Les ransomwares sont plutôt poussés par des campagnes de mails vérolés ou installer par des trojan (cheval de troie) pour monétiser le botnet.
Cela étant, la méthode utilisée n’est, là non plus, pas nouvelle.
La vidéo suivante présente WannaCry et les implications de sécurité :
Q – WannaCry est un ver informatique ou worm, qu’est-ce ?
Un ver informatique (worm en anglais) est un logiciel malveillant capable de se propager tout seul, il embarque donc une routine qui attaque des ordinateurs vulnérables pour les infecter automatiquement.
Pour infecter des ordinateurs, en général, les vers informatique exploitent des vulnérabilités à distance, si la vulnérabilité est accessible, l’ordinateur va être infecté.
Les ordinateurs infectés passent leurs temps à envoyer des trames sur les réseaux, afin d’infecter de nouveaux ordinateurs.
Ces logiciels malveillants de type vers ne sont pas nouveaux, en 2004, le ver Blaster avait fait beaucoup parlé de lui, par la suite Conficker aussi.
Voir notre dossier sur les vers informatiques (worm) : vers informatiques (worms) : description et fonctionnement
Afin de pouvoir infecter un ordinateur, il faut remplir plusieurs conditions :
- L’ordinateur doit être vulnérable, comprenez que Windows ne doit pas être à jour et que la vulnérabilité utilisée ne soit pas corrigée. Dans le cas de WannaCry, cela concerne la vulnérabilité MS17-010 dont les mises à jour Windows ont été mis en ligne en mars 2017.
- La vulnérabilité distante doit être accessible :
- Lors d’une connexion à internet, si vous êtes derrière un routeur/box, vous n’êtes pas concerné directement
- Depuis un réseau local (LAN), il faut qu’un ordinateur infecté soit actif et envoie des trames dans tout le réseau
- Le service réseau de Windows vulnérable, en l’occurrence SMB, qui est le serveur de partage de fichiers doit être accessible (non filtré par un pare-feu).
En France, les particuliers se connectent derrière un routeur/box, les ordinateurs ne sont donc pas directement attaquables.
Q – Comment se protéger de WannaCry et des vers informatiques ?
La première chose à faire, consiste à maintenir Windows à jour, activez Windows Update et installer toutes les mises à jour Windows.
La mise à jour correctrice a été mise en ligne en mars 2017, si vous effectuez régulièrement les mises à jour Windows, vous êtes déjà protégés.
Les liens directs :
- Patch Windows XP contre la vulnérabilité MS17-010 : https://www.microsoft.com/fr-FR/downloa … x?id=55245
- Windows 7 : http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
- Windows 10 64-bits : https://www.catalog.update.microsoft.com/Search.aspx?q=KB3210720
Les liens de toutes les mises à jour : https://technet.microsoft.com/fr-fr/library/security/ms17-010.aspx
En second lieu, assurez-vous que le pare-feu de Windows est bien actif : Panneau de configuration > Pare-feu
A gauche, cliquez sur Activer/désactiver des fonctionnalités de Windows.
Vous pouvez aussi Bloquer le partage de fichiers (SMB) avec le pare-feu de Windows, si vous n’utilisez pas le partage de fichiers Windows.
Q – A quoi faut-il s’attendre ?
D’autres attaques vont être menées par d’autres groupes ces prochaines semaines, afin d’infecter les ordinateurs vulnérables.
Le but est de profiter rapidement de ces ordinateurs encore non mis à jour, afin de faire rapidement de l’argent, avant que le parc d’ordinateurs vulnérables soient trop bas pour que cela soit intéressante de mener ces campagnes.
Une nouvelle campagne pour installer des Trojan Miner a actuellement lieu.
Il s’agit ici, plutôt d’attaques automatisés et non de vers qui utilisent les ordinateurs victimes pour se propager.
L’actualité autour de ces attaques MS17-010 : Wana Decryptor (aka WannaCry) et attaques MS17-010