WannaCrypt : les 4 leviers de l'épidémie

Sécurité : Cette attaque sans précédent ne s’appuie pas seulement sur l’existence d’une faille mais bien sur l’incapacité des entreprises et des organisations à maintenir à jour leurs SI.

Après un week-end noir, la crise WannaCrypt semble s’atténuer ce lundi même si une seconde vague reste possible. Au dernier pointage, la cyber-attaque aurait fait 200.000 entreprises/organisations victimes dans 150 pays au moins. Surtout, des entreprises vitales ont été touchées ayant pour conséquences des arrêtes temporaires de la production. Une première.

 

Cette attaque sans précédent ne s’appuie pas seulement sur le duo phishing/ransomware bien connu. Comme l’explique Frédéric Charles, Directeur Stratégie & Innovation chez SUEZ Smart Solutions, Frédéric Charles, dans nos colonnes, le vrai problème pour les SI est surtout du côté de la défense! 

“En effet, plusieurs “faits” découlant de politiques passées ont considérablement affaibli les défenses des entreprises, ce qui a favorisé la vitesse de propagation du virus en leur sein. Ces faits doivent nous faire réfléchir sur la gouvernance des systèmes d’information au moment où ils deviennent de plus en plus critiques pour toutes les activités”, explique-t-il.

On peut lister 4 de ces faits faisant office de leviers pendant l’attaque : 

 

  • Une faille connue

 

Cette faille de sécurité dans Windows était connue et bien identifiée, notamment par la NSA qui l’exploitait comme porte dérobée pour espionner les PCs. Elle a fait l’objet du bulletin de sécurité de Microsoft du 14 mars (MS17-010), donc il y a déjà un mois, avec la liste des systèmes concernés et le correctif à appliquer.

Et pourtant tous les systèmes n’ont pas été mis à jour en un mois alors que la mise à jour était critique. Si vous différez régulièrement le déploiement des patchs et mises à jour, alors vous êtes une partie du problème, dont WannaCry. S’il y a une chose qui doit prendre fin, c’est la désactivation des mises à jour automatiques. Si vous êtes une de ces personnes ayant désactivé les mises à jour automatiques sur votre système, vous avez probablement une excuse bien rodée pour le justifier. Et cette excuse pourrait être en partie légitime. Après tout, patcher est pénible. Cela peut casser des choses. Les patchs peuvent être un casse-tête. Et cela prend du temps et interrompt votre travail.

Mais il n’en reste pas moins nécessaire que vous le fassiez.

 

  • Des SI qui utilisent des produits non maintenus

 

La faille est aussi présente sur Windows XP et Server 2003 qui représentent encore un bon pourcentage respectivement des postes de travail et serveurs, et notamment ceux du NHS, alors que ces produits ne sont plus maintenus par l’éditeur. Heureusement, dans l’urgence, Microsoft a diffusé gratuitement un correctif ce week-end mais la persistance de XP dans ces entreprises et organisations interroge aujourd’hui plus que jamais. Comment une DSI sérieuse peut-elle encore maintenir des postes équipés de cet OS (à moins qu’ils soient offline).

Quoi qu’il en soit, l’obsolescence est une réalité dont le management devrait se préoccuper, une partie du SI tourne sur des produits non maintenus donc vulnérables et ce souvent des applications anciennes au cœur des processus et de l’organisation. Est-ce que les métiers en charge des applications en sont conscients ?

“A l’ère du digital et de la transformation numérique le rôle de la DSI reste prioritairement de gérer cette obsolescence, car la durée de vie des applications est entre 7 et 10 ans, donc bien après la fin des projets de développement. Pour cela elle a besoin des métiers et du management, elle doit mettre en place une gestion des compétences pour conserver celles dont on peut avoir besoin sur des systèmes obsolètes. Mais pour ne pas faire crouler les investissements sous le poids de sa dette (technique) la meilleure stratégie reste encore de supprimer les applications qui apportent une valeur marginale mais sont surtout un handicap ou un danger pour la globalité du SI”, analyse Frédéric Charles.

 

  • Des postes de travail pas toujours sauvegardés

 

Avoir un backup de l’ensemble des postes de travail de son entreprise peut sembler une évidence, mais est en fait très compliqué à mettre en oeuvre opérationnellement (avec la mobilité et les portables par exemple). La réalité est donc que si un poste est verrouillé et crypté, le retour arrière se fera en perdant certainement des données du poste.

Il faut donc accepter cette réalité, tout poste de travail doit pouvoir être détruit sans prévenir et sans impacter l’entreprise (au-delà des heures perdues par son malchanceux utilisateur… ) et surtout se préparer à l’affronter. 

Ceux qui ont engagé des politiques d’outils collaboratifs auront plus de chance avec les données des projets stockées dans ces outils au lieu d’être sur les postes des utilisateurs. Mais j’ai malheureusement vu trop de projets repasser d’outils collaboratifs à des outils personnels sous Excel, au gré des consultants de passage, pour encore y croire…

 

  • Une NSA qui joue à l’apprenti sorcier

 

La faille a été identifiée par la NSA il y a longtemps et les outils pour l’exploiter, qui ont certainement mobilisé les meilleurs experts en sécurité du moment, ont malencontreusement été dérobés à la NSA par un collectif de hackers en mars dernier (ShadowBrokers). Un peu comme si l’Institut Pasteur laissez filer plusieurs souches du virus de la variole, aujourd’hui disparu, et qu’il conserve à des fins scientifiques.

On peut accuser tous les hackeurs du monde, la responsabilité de la NSA ne doit pas être oubliée et elle est double: avoir fabriqué les matériaux du virus ET les avoirs perdus dans la nature. Il n’y a malheureusement pas de comité d’éthique pour ce qui concerne l’informatique. Avec l’arrivée de l’intelligence artificielle, peut-on tout laisser faire parce que c’est du logiciel et non de la manipulation d’embryons humains? Et finalement, cela ne montre-t-il pas que les gouvernements peuvent aussi être plus dangereux que les hackers ? 

Microsoft critique d’ailleurs vivement la pratique de ces agences gouvernementales consistant à accumuler des failles de sécurité et à garder le secret à leur sujet. Pour l’éditeur, cette attaque fait office de réveil et de prise de conscience.

Dans un billet de blog publié dimanche, le directeur juridique de Microsoft, Brad Smith, estime qu’en gardant secrètes des vulnérabilités, on expose les utilisateurs à des attaques comme WannaCry. Celle-ci aboutit au blocage d’ordinateurs jusqu’à ce qu’une rançon soit payée. Il compare la mise à disposition par WikiLeaks des outils de piratage de la NSA à un vol d’armes de l’armée américaine.

“Un scénario équivalent avec des armes classiques serait l’armée des États-Unis, dont certains de ses missiles Tomahawk auraient été volés” écrit Smith. “Et cette attaque la plus récente représente un lien complètement involontaire, mais déconcertant, entre les deux formes les plus sérieuses de menaces de cybersécurité dans le monde d’aujourd’hui : action d’un l’État-nation et action criminelle organisée.”

“Les gouvernements du monde devraient traiter cette attaque comme une prise de conscience” juge le cadre de Microsoft. “Nous avons besoin que les gouvernements envisagent les dommages causés aux civils par l’accumulation de ces vulnérabilités et l’utilisation de ces exploits.”

Ce n’est pas la première fois que les agences US d’espionnage sont accusées de détenir des vulnérabilités et de conserver le secret sur cet arsenal. La NSA aurait ainsi eu connaissance de la faille Heartbleed au moins deux ans avant qu’elle ne soit révélée en 2014, mais aurait gardé cependant le secret pour l’exploiter dans le but de recueillir des renseignements.

ZDNet vous accompagne

10 conseils pour lutter contre les ransomware dans l’entreprise (avant d’être attaqué)

WannaCrypt : les 4 leviers de l'épidémie

Source : L’article << WannaCrypt : les 4 leviers de l'épidémie >> est extrait de ZDNet

Du contenu qui pourrait bien vous intéresser !

1 Etoile2 Etoiles3 Etoiles4 Etoiles5 Etoiles 1 avis, 5,00/5
Loading...
2017-09-18T18:29:30+00:00

Laisser un commentaire