WannaCry : les vers d’hier font peau neuve

Le vendredi 12 mai en matinée, de nombreuses sources en Espagne ont été les premières à signaler l’apparition d’une vague d’attaques informatiques menées à l’aide du ransomware désormais identifié sous le nom de WannaCry.

Dès que McAfee a été informé de ces incidents, notre équipe s’est immédiatement attelée à analyser des échantillons de ce logiciel de demande de rançon. Nous avons mis au point des mises à jour pour sa détection ainsi que des conseils de prévention à l’intention de nos clients.

Le vendredi après-midi, le système de cyberveille McAfee Global Threat Intelligence a été actualisé pour permettre l’identification de tous les échantillons connus de WannaCry. En outre, nous avons fourni à tous nos clients des mises à jour de signatures (fichiers DAT).

Nous leur conseillons vivement non seulement de s’assurer que ces mises à jour DAT ont été appliquées, mais aussi de veiller au déploiement des mises à jour de sécurité requises pour toutes les solutions logicielles qu’ils utilisent. Pour plus d’informations, veuillez consulter cet article du Knowledge Center.

L’offensive menée à l’aide de WannaCry est inédite : c’était la première fois que l’on observait un mode opératoire combinant des tactiques typiques des vers avec le modèle économique des ransomwares. La conversion en outil d’attaque de l’exploit Eternal Blue, rendu public il y a plusieurs semaines, et la mise à profit de milliers de failles de systèmes d’exploitation Windows encore présentes malgré la publication du correctif MS-17-010 ont permis à WannaCry d’infecter des centaines de milliers d’ordinateurs. Tous les secteurs d’activité et la planète entière ont été frappés, en un jour à peine. De plus, ces attaques n’ont pas nécessité d’intervention humaine, ou très peu, comme c’est généralement le cas dans les campagnes de propagation de ransomware.

Un croisement entre méthodes éprouvées, sans le facteur humain

La réussite de WannaCry est due à sa capacité à amplifier chaque attaque grâce à l’exploitation des vulnérabilités de nombreuses machines connectées au réseau. L’impact est donc nettement plus important que celui des campagnes de diffusion de ransomware classiques observées jusqu’ici.

Pratiquement tous les logiciels de demande de rançon qui sévissent à l’heure actuelle visent des utilisateurs particuliers, souvent par des techniques de harponnage (spear phishing). Ainsi, les cibles reçoivent généralement un e-mail qui semble émaner d’un expéditeur légitime et les incite à cliquer sur un lien ou à ouvrir une pièce jointe entraînant le téléchargement ou l’exécution de code malveillant sur le système du destinataire. Ce type d’attaque n’affecte cependant que l’ordinateur de la victime.

Dans les années 1990 et au début des années 2000, à l’époque de Code Red, NIMDA et SQL Slammer, ces vers se propageaient rapidement parce qu’ils n’avaient pas besoin du concours de l’être humain pour activer le logiciel malveillant sur les ordinateurs. Les attaques qui ont fait rage à la mi-mai ont eu un comportement similaire.

Nous essayons toujours de déterminer comment une machine « patient zéro » a pu être infectée, mais nous savons qu’à partir de cette première infection, d’autres systèmes dépourvus du correctif MS-17-010 étaient contaminés via leur réseau.

Plutôt que de voler des données ou d’endommager d’autres machines, le logiciel malveillant a exécuté une attaque par ransomware classique, en chiffrant des fichiers et en exigeant une rançon. Deux techniques ont été associées pour produire un impact maximal.

Dans le cas où les systèmes de l’entreprise présentaient la vulnérabilité en question (pour laquelle Microsoft avait publié une mise à jour de sécurité en mars), le ransomware WannaCry pouvait infecter un premier ordinateur, puis se propager très rapidement et toucher de nombreuses autres machines dépourvues du correctif ad hoc.

En matière de cybercrime, nous savons que lorsqu’une technique se révèle efficace, elle est presque systématiquement copiée. Vu la réussite impressionnante de cette cyberattaque, on peut raisonnablement penser qu’elle inspirera d’autres pirates. Elle sera cependant difficile à reproduire car ce type d’approche nécessite la présence d’une vulnérabilité logicielle dont les caractéristiques permettent l’expression d’un comportement similaire à celui d’un ver informatique.

L’attaque WannaCry est unique en cela qu’elle a tiré parti à la fois d’une vulnérabilité critique pour laquelle Microsoft avait déjà publié un correctif et d’un exploit actif qui s’est retrouvé sur Internet, accessible à quiconque : ces deux facteurs ont offert à son auteur l’opportunité et le modèle de fonctionnement lui permettant de créer ce ver de demande de rançon très particulier.

Une brèche ouverte aux exploits

À la fin des années 1990, il était courant de laisser s’exécuter toutes sortes de logiciels sur des ordinateurs qui pourtant n’étaient pas en cours d’utilisation. Ainsi, un des vers actifs à cette époque tirait parti d’une vulnérabilité d’un logiciel de serveur d’impression qui était inclus par défaut sur tous les serveurs, même si la configuration ne comptait en réalité aucune imprimante. Tous les serveurs du réseau étaient donc exposés au risque qu’un ver se connecte à leur port d’imprimante, créant ainsi un scénario de propagation où le ver pouvait infecter un système après l’autre.

Pour contrer ce type d’attaque, une bonne pratique appelée « principe du moindre privilège » a été adoptée. Selon celle-ci, une application ou un service exécute sur une machine ou un réseau uniquement les éléments strictement nécessaires à l’accomplissement des tâches ou fonctions propres à son rôle particulier. L’application de ce principe a limité les risques d’attaques par des vers traditionnels, mais les vulnérabilités non corrigées laissent elles aussi une porte ouverte par laquelle les exploits peuvent s’engouffrer — particulièrement lorsqu’elles permettent des transferts de fichiers, des partages entre systèmes, etc.

Il serait très compliqué d’orchestrer des attaques telles que la campagne WannaCry sans la présence de vulnérabilités non corrigées, sans un exploit rendu public et sans disposer d’une série de technologies et tactiques de ransomware à l’efficacité éprouvée.

Corriger ou ne pas corriger, telle est la question

WannaCry doit rappeler aux équipes informatiques combien il est essentiel d’appliquer rapidement les patchs requis. L’une des raisons pour lesquelles elles hésitent à corriger leurs systèmes ou à exécuter un contrôle qualité interne est qu’elles veulent s’assurer de l’absence de problèmes de compatibilité logicielle. J’envisage la question sous un angle différent : lorsqu’un correctif est disponible, tant son application que sa non-application comportent un certain risque. L’un des rôles du responsable informatique consiste à peser ces risques respectifs et à évaluer ce qu’ils représentent pour leur entreprise.

Dans certains cas, retarder le déploiement d’un patch limite les risques d’incompatibilité. Dans d’autres, cela augmente le risque de compromission par une menace qui exploiterait une vulnérabilité existante. Pour chaque patch, l’équipe informatique doit déterminer le niveau de risque associé à chaque cas de figure et ensuite prendre la bonne décision, celle qui mettra le moins possible l’entreprise en péril.

Des incidents majeurs tels que WannaCry vont probablement peser dans la balance lors de cette analyse. Il arrive souvent que les équipes de sécurité interprètent l’absence d’attaques comme une preuve de l’efficacité de leurs défenses. Or, il n’en est rien. Il est tout à fait possible que des entreprises négligentes dans l’application de patchs n’aient pas subi d’attaques exploitant les vulnérabilités concernées. Cela peut renforcer l’idée qu’un déploiement différé n’est pas problématique.

Or, cette attaque massive du mois de mai doit rappeler aux entreprises qu’elles doivent absolument adopter une stratégie rigoureuse de correction des vulnérabilités dans leur environnement.

Pourquoi les hôpitaux ?

Les hôpitaux sont des cibles vulnérables, car leur première préoccupation est bien évidemment les soins aux patients, et pas le déploiement des meilleures technologies de cyberdéfense ou le recrutement de personnel qualifié en cybersécurité.

De fait, jusqu’à présent, les cybercriminels avaient très peu à gagner avec ces établissements. Il était toujours possible de voler les dossiers médicaux ou d’autres types de données, mais en termes de valeur totale, les données provenant d’un hôpital étaient généralement moins attrayantes que celles subtilisées à des entreprises de secteurs comme les services financiers.

Avec le modèle économique criminel des ransomwares, tous les secteurs d’activité deviennent des cibles potentiellement intéressantes. Puisque l’objectif du cyberpirate est la rançon, il est plus aisé de s’en prendre à une structure aux cyberdéfenses faibles plutôt qu’à une entreprise dotée d’un dispositif de protection performant. Voilà pourquoi des hôpitaux, des bureaux de police, des établissements d’enseignement et des universités ont été frappés par des ransomwares l’année dernière. Nous commençons à observer également un intérêt accru pour des entreprises moins vulnérables, mais pour l’instant du moins, les pirates disposent encore de nombreuses opportunités de cibler ces proies plus faciles.

Et demain ?

Même si l’attaque WannaCry présente des caractéristiques inédites, dont il faudra tenir compte à l’avenir, lorsqu’une vulnérabilité est signalée publiquement et qu’un exploit est diffusé au risque d’être utilisé par des cybercriminels, nous devons nous attendre à une attaque de ce genre et nous y préparer. Et, très vite, à de nombreuses autres qui s’en seront inspirées.

 

Leave a Comment

nine − four =