.
hebergeur image

WannaCrypt : la NSA connaissait cette faille du système d'exploitation XP


QU’EST-CE QUI S’EST PASSÉ ?

Dans la journée du vendredi 12 mai, un programme informatique malveillant a frappé de très nombreux ordinateurs dans le monde. Celui-ci s’est propagé à très grande vitesse, à tel point qu’on a retrouvé sa trace dans une centaine de pays. En l’espace de 24 heures, il a notamment pénétré dans les systèmes informatiques de nombreuses administrations et entreprises, Dans l’Hexagone, Renault serait la seule entreprise d’importance à avoir été touchée, selon l’agence nationale de la sécurité des systèmes d’information. Mais l’attaque a quand même été suffisamment sévère pour forcer le constructeur automobile à mettre des sites de production à l’arrêt. Ailleurs dans le monde, l’Allemagne, la Russie, l’Inde, l’Espagne ont aussi été touchés, ainsi que le Royaume-Uni via ses hôpitaux.

5 millions d'emails envoyés chaque heure répandant le logiciel malveillant appelé WCry, WannaCry, WanaCrypt0r, WannaCrypt ou Wana Decrypt0r. Microsoft a de son côté réactivé une mise à jour pour aider les utilisateurs de certaines versions de son système d'exploitation à faire face à l'attaque. Le virus s'attaque notamment à la version Windows XP, qui n'est en principe plus supportée techniquement par Microsoft. Le nouveau logiciel d'exploitation (OS) Windows 10 n'est pas visé par l'attaque, souligne Microsoft.

Les auteurs de cette attaque ont intégré dans leur programme malveillant, un « killswitch » un mécanisme destiné à freiner l'attaque après avoir obtenu ce qu'ils voulaient. En attendant la prochaine attaque ?


QU’EST-CE QU’UN RANSOMWARE ?

Un rançongiciel (ou ransomware) est un logiciel malveillant conçu pour extorquer de l’argent. Son principe est simple : il s’agit d’infecter un ordinateur et de verrouiller tout ou partie des fichiers et des dossiers qu’il contient en les chiffrant avec une clé que son concepteur est le seul à connaître. Pour espérer obtenir cette clé, et donc libérer le PC, la victime est incitée à verser un certain montant.



Le problème, c’est qu’il n’y a aucune garantie d’obtenir la clé de déchiffrement une fois le paiement effectué. Face à ce chantage informatique, des initiatives comme No More Ransom ont vu le jour pour améliorer la coopération entre les forces de l’ordre et les sociétés pour fournir une réponse unifiée à ce problème. Il existe aujourd’hui de nombreux outils permettant de déchiffrer gratuitement ces rançongiciels. Trop peu de grandes entreprises prennent au sérieux le risque de cyberattaques. Il y a déjà un mois, de nombreux experts ont expliqué qu'il était possible d'utiliser cette vulnérabilité pour y glisser un « worm », c'est-à-dire un logiciel malveillant qui s'auto-réplique. Or, beaucoup d'organisations ont ou bien omis de patcher ou bien l'ont fait trop tard, ou encore ont omis certains postes de travail.

POURQUOI DEMANDER 300 DOLLARS ?

Les ransomwares demandent des montants relativement abordables pour que les paiements puissent avoir lieu. Il vaut mieux en effet demander quelques dizaines ou quelques centaines d’euros plutôt qu’un très gros montant. La somme est suffisamment petite pour que les personnes infectées cèdent au racket. Mais par rapport à l’échelle de l’attaque, ça peut faire potentiellement une belle somme.

Dans le cas de WannaCrypt, le ransomware demande de verser 300 dollars en bitcoins en échange du déchiffrement des fichiers et des dossiers. Histoire de forcer la main de la victime, le message ajoute qu’il vaut mieux ne pas trop tergiverser car le prix double après trois jours d’attente. Et au bout de six, les fichiers sont déclarés « perdus ». Un décompte figure à côté du message pour mettre la pression.  Il s'agit d'une organisation professionnelle qui avait prévu la propagation internationale du rançongiciel, car ils avaient prévu d'énoncer leur demande de rançon en 17 langues. En quelques heures, j'estime qu'ils ont gagné au minimum 25 000 dollars. J'ai réalisé cette estimation en observant le montant récolté par trois adresses bitcoin rendues publiques par le ransomware pour le paiement de la rançon. Mais ce n'est pas fini : beaucoup d'organisations continuent à payer la rançon de manière discrète pour ne pas dévoiler au monde entier leur vulnérabilité.

QUI EST DERRIÈRE L’ATTAQUE ?

C’est la grande interrogation. Le fait que l’attaque informatique mobilise un rançongiciel laisse à penser qu’il s’agit d’une opération criminelle. Mais l’on pourrait aussi penser à une attaque étatique ou soutenue par un État. Le Guardian indique qu’une première version d’un même logiciel, nommé WeCry, avait été mis au point par le ou les mêmes individus. Il avait été repéré en février.

L’attaque elle-même utilise deux approches pour se diffuser : il suffit que la victime ouvre par inadvertance une pièce jointe infectée, comme un document Word ou un fichier PDF, ou que la machine figure dans un réseau local. Dans ce cas, le logiciel malveillant analyse l’infrastructure réseau à partir du poste sur lequel il se trouve pour ensuite se transmettre aux autres machines.

QUE VIENT FAIRE LA NSA LÀ-DEDANS ?

WannaCrypt s’appuie en fait sur une faille de sécurité figurant dans Windows et dont l’existence n’était jusqu’à présent connue de personne sauf… de la NSA. En effet, il est en train d’apparaître que cette vulnérabilité faisait partie d’une collection d’outils de piratage appartenant à la puissante agence de renseignement pour mener à bien des opérations de piratage ou d’espionnage.

Le fait que la NSA soit indirectement impliquée dans cette affaire a fait couler beaucoup d’encre ce week-end. Edward Snowden par exemple a expliqué que « si la NSA avait discrètement fait part de la brèche utilisée lors de l’attaque des hôpitaux britanniques [à Microsoft], et non pas lorsqu’elle l’a perdue, tout ceci ne serait peut-être pas arrivée ». En effet, ces outils ont été dérobés par un mystérieux collectif.

Si Microsoft n'était pas au courant de l'existence de cette faille informatique sur son système d'exploitation, la NSA, l'Agence nationale de la sécurité des Etats-Unis, l'était. Pourquoi ne pas l'avoir communiqué à Microsoft ? C'est la question qu'a publiquement posé Brad Smith, président de Microsoft, sur une note de blog, pointant ainsi la responsabilité de la NSA dans la crise actuelle. Même si l'on comprend bien que l'Agence exploite elle-même ce type de failles pour ses propres opérations...

QUEL A ÉTÉ LE RÔLE DU JEUNE HACKER ANGLAIS POUR FREINER LA PROPAGATION ?

C’est tout à fait par hasard que l’arrêt de la propagation du logiciel malveillant a pu être obtenu. Un jeune homme de 22 ans a en effet découvert un « kill switch » dans le code du programme de ransomware. Il s’agit d’un nom de domaine qui, lorsqu’il est inactif, permet au logiciel malveillant de se propager. Mais lorsque le nom de domaine est actif, alors le ransomware cesse de s’étendre.


L’adresse en question — iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com — servait en effet dans la propagation du logiciel. Lorsque le programme infecte un nouvel ordinateur, il vérifie d’abord l’adresse web pour voir si le domaine est enregistré. Tant que le domaine est inoccupé, l’infection se déroule, chiffre le disque dur de l’ordinateur et le verrouille jusqu’à ce que la rançon soit payée.

COMMENT SE PROTÉGER ?

En premier lieu, ne payez pas la rançon. Vous n’avez aucune garantie que vous aurez la clé de déchiffrement en échange. Par contre, vous ne ferez que prouver que les rançongiciels marchent, puisque vous avez versé  de l’argent. En second lieu, appliquez sans tarder toutes les mises à jour de sécurité permettant de corriger les failles exploitées pour la propagation du ransomware et mettez à jour l’antivirus.

Si vous gérez des postes informatiques, l’agence nationale de la sécurité des systèmes d’information recommande de manière préventive, s’il n’est pas possible de mettre à jour un serveur, de l’isoler en le déconnectant du réseau, voire de l’éteindre le temps d’appliquer les mesures nécessaires. Il est aussi conseillé de faire des sauvegardes sur des supports amovibles pour avoir des doubles sains en cas d’infection.

WannaCrypt : pourquoi les mises à jour de votre système d’exploitation sont primordiales

Depuis la sortie de Windows 10, Microsoft a dû faire face à de nombreuses critiques concernant son nouveau modèle de mise à jour. En effet, l’éditeur considère son dernier système comme un service et a décidé de forcer les utilisateurs à garder à jour leurs machines. Seuls les professionnels et les organisations peuvent décider de retarder …

Call of Duty: World War II : le retour aux sources (enfin !)



Call of Duty marque un retour aux racines de sa franchise lancée en 2003. Développé par Sledgehammer Games, le jeu nous ramène dix ans après dans la même période historique que le premier jeu de la franchise sorti en 2003 et que "World at War" sorti en 2008.

C'est au total une vingtaine de missions sur les lieux emblématiques de la Seconde Guerre Mondiale en Europe qui attendent les joueurs. Commençant par le fameux D-Day, le débarquement sur les plages de Normandie, le jeu se transporte ensuite sur les différentes zones des batailles iconiques de cette période: la forêt de Hürtgen à la frontière belgo-allemande ou la libération de Paris.

Les images de la bande-annonce laissent entrevoir un univers réaliste, viscéral et dans la lignée des grands films de guerre. "Doté d'un large casting de personnages à travers l'Europe, les joueurs suivront l'histoire passionnante de Ronald 'Red' Daniels, un jeune soldat américain, alors que lui et son équipe, la légendaire Division d'infanterie des États-Unis, traversent le terrifiant théâtre de guerre européen", précise le distributeur.

Ce que la bande-annonce ne dit pas, en revanche, c'est la multitude de modes de jeu proposée dans ce 14e opus. Le classique mode multijoueurs est bien présent. Plus abouti, il offre aux joueurs la possibilité d'interagir de manière plus poussée avec leurs compagnons de mission. Autre nouveauté, le mode Co-op Explosif. Il permet de rejoindre une équipe dans une histoire originale et indépendante de l'histoire centrale.

Comme le mentionne Forbes, le jeu sur la Seconde Guerre Mondiale n'a pas résisté à insérer des nazis zombies dans son scénario. A priori une nouvelle fois dans un mode spécifique. Il faudra patienter jusqu'au 3 novembre, date de sortie de "Call of Duty: World War II" sur PC, PlayStation 4 et Xbox One.

Egger Ph.