Ce que nous avons appris de WannaCry et d’EternalPetya

F-Secure au Quotidien, Menaces & Hacks, Sécurité & Confidentialité

En moins de deux mois, le monde a subi les deux plus grandes attaques ransomware de tous les temps : WannaCry et Petya/ NotPetya/ EternalPetya.

Ces malware sont, certes, uniques. Ils n’ont pas été mis au point par les mêmes personnes. Mais ils possèdent beaucoup de choses en commun.

Ces deux ransomware se répandent comme des vers à travers le réseau, prennent les fichiers en otage en les chiffrant et demandent ensuite une rançon en échange de leur déchiffrement. Ces deux ransomware capitalisent sur un exploit Microsoft Windows identifié par la NSA (National Security Agency), qui était resté inaperçu et non-patché jusqu’à ce que, finalement, le groupe de hackers Shadowbrokers le rende public. Ces deux ransomware renfermaient toutefois des défauts de conception qui ont empêché les pirates de toucher le gros lot. Mais ils étaient aussi assez sophistiqués pour que certains suggèrent que ces attaques étaient soutenues par un État-nation.

Ces deux ransomware visaient les entreprises. Pour les particuliers, le principal risque était d’infecter leur ordinateur et de répandre le malware sur leur lieu de travail.

« Attendez-vous à voir de nombreux autres vers cette année », explique Andy Patel, Chercheur du Laboratoire F-Secure. Votre département informatique ferait donc bien de s’y préparer.

La croissance exponentielle des ransomware, depuis l’identification du premier de ces malware en 2012, devrait probablement se poursuivre à l’avenir.

Voici comment nous en sommes arrivés là, et comment vous défendre contre cette menace en pleine expansion :

Ransomware

  1. Le Bitcoin a tout changé

S’introduire dans les systèmes informatiques de banques ou d’autres organismes financiers est dangereux. Les cyber criminels tentent donc de trouver des moyens d’extorquer de l’argent directement auprès des clients et des entreprises. Les « Scareware », qui prenaient souvent l’apparence d’un faux antivirus signalant un malware et exigeant un paiement, étaient efficace. Mais ces scareware requéraient des transactions par carte de crédit : il était alors facile pour les autorités de remonter jusqu’aux pirates. C’est alors qu’est apparu le Bitcoin, une monnaie virtuelle permettant à ses utilisateurs de conserver un anonymat virtuel.

« La seule chose que nous voyons, c’est une transaction entre une adresse et une autre adresse. Ces adresses ne sont que des longues listes de lettres et de chiffres en apparence très aléatoires. Elles sont reliées à un utilisateur mais nous n’avons aucun moyen de savoir qui il est » expliquait sur la BBC Mikko Hypponen, Chief Research Officer chez F-Secure. « Le Bitcoin a donc été très rapidement utilisé pour des activités illégales. Cela a commencé avec le trafic de drogues : pour acheter des drogues sur internet, vous ne voudrez sans doute pas utiliser votre carte de crédit. Cette dernière mènerait les autorités tout droit jusqu’à vous. Ce n’est pas le cas du Bitcoin. »

Les pirates se sont ensuite servi du Bitcoin pour moderniser des cyber menaces déjà existantes.

« Les ransomware existent depuis déjà des années. Ils ont été créés bien avant le Bitcoin. Mais ces malware connaissent le succès qu’ils ont aujourd’hui grâce aux crypto-monnaies comme le Bitcoin. »

  1. Les mises à jour sont réellement importantes

Les vulnérabilités logicielles sont inévitables. Et, alors même que Microsoft, Apple et d’autres développeurs démontrent leur volonté de les corriger, les gouvernements, à l’inverse, tentent de tirer profit de ces failles pour mener à bien leur propres objectifs, offensifs ou défensifs.

WannaCry exploitait une vulnérabilité identifiée par la NSA (Agence nationale de sécurité américaine). Cette faille n’a été révélée au public qu’avec les publications d’un groupe de hackers baptisé Shadowbrokers.

Lorsque l’attaque WannaCry s’est produite, le patch correspondant était déjà disponible depuis plusieurs semaines mais, bien entendu, celui-ci n’avait pas été installé partout. Et Microsoft XP, dont Microsoft n’assure plus le suivi, ne disposait d’aucun correctif.

Depuis cette épidémie, XP a été toutefois également mis à jour. Pour autant, il est peu probable que les gouvernements changent leurs méthodes. Les États-nations préfèrent les cyber armes à la sécurité des internautes du monde entier. Ils continueront d’utiliser des vulnérabilités qui, après avoir fuité, pourront être utilisées contre des particuliers ou des entreprises. Mettre à jour vos appareils s’avère donc crucial pour votre sécurité.

  1. Une protection multi-niveaux est essentielle

WannaCry a enseigné aux entreprises à quel point il était important qu’elles compartimentent leur réseau afin qu’une éventuelle infection ne puisse pas se répandre sur tous les systèmes. De la même manière, les utilisateurs doivent miser sur une protection multi-niveaux s’ils veulent rester protégés contre les cyber menaces agressives et contre leurs propres erreurs. Les ransomware, par exemple, ont souvent simplement besoin de deux « clics » imprudents : le premier pour ouvrir la pièce jointe ; le deuxième pour « activer le contenu » dans Microsoft Office.

NE FAITES JAMAIS ÇA !

Don't click

Des logiciels de protection internet comme F-Secure SAFE peuvent vous protéger contre vous-même, lorsque vous commettez ces erreurs. Toutes les solutions antivirus n’ont pas été capables de détecter WannaCry et EternalPetya et d’en protéger leurs utilisateurs mais F-Secure était en mesure de prévenir ces infections.

La fonctionnalité DeepGuard de F-Secure vous protège en faisant appel à l’analyse comportementale et intercepte les exploits en bloquant les menaces de manière proactive. C’est le genre de protection multi-niveaux dont vous avez besoin pour faire face à des menaces mises au point par des cybercriminels disposant d’importantes ressources, et parfois soutenus par des États-nations.

4 Commentaires

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

Vous pourriez aussi aimer