Tout le bonheur du monde 2.0

The Shadow Brokers

A l'origine de tout cela, il y a le groupe de hackers "The Shadow Brokers" qui, depuis aout 2016, diffuse plus ou moins régulièrement de outils qui appartiendrait à la NSA.

On ne sait pas vraiment si les outils viennent effectivement de là, mais les experts s'accordent à dire que c'est tout à fait probable. Par déduction, il est fort probable également que derrière "The Shadow Brokers" ont trouve la Russie et/ou des personnes infiltrées au sein de la NSA.

Mais dans le fond peu importe pour la suite de notre histoire.

Eternal Blue

Parmi les différentes diffusions du groupe on trouve donc, le 14 avril 2017, plusieurs outils touchant notamment les systèmes Windows. L'un deux plus particulièrement s'appelle Eternal Blue.

Microsoft, se sentant quand même un peu concerné, se met à étudier les outils et après de longues semaines de travail intensif, sort un patch correcteur le 14 mars 2017. (Oui, avant. Il semblerait que Microsoft ait disposé des leaks plus tôt que le grand public.)
Le patch est efficace, sans conséquence négative sur le reste du système, bref propre.

Il s'agit du patch MS17-010, disponible via Windows Update pour tout le monde, sauf bien sûr les Windows XP (puisqu'ils ne sont plus supportés depuis longtemps)

La non-sécurité en entreprise

L'histoire aurait pu s'arrêter là (et aurait été bien moins drôle) si seulement les entreprises dans le monde entier n'avaient depuis toujours le réflexe pavlovien de ne PAS mettre à jour leur système. La raison annoncée est toujours la même : Lorsqu'un outil marche, on ne veut en aucun cas prendre le risque de le casser... Et donc on ne l'entretient pas.

Oui, c'est particulièrement idiot, et l'histoire a montré que les pannes dues à une non-mise à jour sont en fait bien plus fréquentes que les pannes liées à une mise à jour. (Je précise que je parle ici de mises à jour de sécurité, pas de mises à jour fonctionnelle)

Nous voilà donc, depuis avril 2017, avec un outil très virulent librement disponible à tous sur Internet et en face un monde qui considère que la sécurisation de ses machines est au mieux accessoire, au pire une perte de temps.

Donc sans surprise...

L'attaque WannaCry

...Un ransomware apparait en mai 2017 (aka il y a quelques jours) appelé WannaCry.

Le principe d'un ransomware, pour les plus néophytes d'entre vous, consiste à chiffrer l'intégralité des données présentes sur une machine (les rendant indisponibles) et d'afficher un message demandant une rançon pour restaurer les données.

WannaCry se propage donc via mail ou réseau, en utilisant la faille Eternal Blue !

Comme depuis 2 MOIS, l'immense majorité des entreprises a préféré faire la sourde oreille face aux conseils des experts sécurité, l'attaque est massive.

Selon les sources, on évoque entre 70000 et 150000 machines infectées dans une centaine de pays à travers le monde. L'ampleur place l'attaque comme l'une des plus virulentes de toute l'histoire des ransomwares.

Des institutions importantes sont touchées. Notamment plusieurs hôpitaux aux royaumes-unis, un opérateur téléphonique en Espagne, la société FedEx, ... et beaucoup d'autres !

Accidental Hero

Et tout à coup... l'infection s'est arrêtée. Toute seule. (enfin presque)

Les ordinateurs touchés le sont toujours, mais la propagation s'est soudainement stoppée, épargnant le reste du monde.

L'origine du miracle ? Un coup de chance totalement fortuit.

Un employé de la société MalwareTech (société qui tient notamment un blog sur la sécurité informatique) enregistre, dans le cadre de son travail, un nom de domaine "au pif" (une chaine de caractère aléatoire qui ressemble à ça : www.iuqerfsodp9ifjaposdfjhgosurizfnemezjfn.com) pour un besoin temporaire professionnel.

Et coup de chance, WannaCry dispose d'un "killswitch" (un bouton OFF global) qui JUSTEMENT cherche l'existence de ce nom de domaine particulier.
L'auteur du ransomware avait en effet placé ce mécanisme de sécurité pour pouvoir contrôler l'infection et le petit gars de MalwareTech l'a déclenché sans le savoir... Sauvant beaucoup d'ordinateurs par la même occasion !

Aftermath

Et maintenant, l'histoire est finie ? Et bien non : A l'heure où j'écris ces lignes, les entreprises n'ayant pas patché leur système sont encore très nombreuses. Et il n'est même pas sûr que cette histoire leur fasse suffisamment peur pour qu'elles rectifient leur mauvaises pratiques sécurité.

Tant que le nom de domaine existe, WannaCry est stoppé. Mais absolument rien n'empêche des personnes malveillantes de diffuser une nouvelle version du ransomware avec un killswitch différent (voire pas de killswitch du tout).

La seule véritable solution serait de mettre à jour tous les Windows. Si seulement il existait un système simple de déploiement des patchs de sécurité (qui s’appellerait par exemple "Windows Update") et si seulement il existait un patch de sécurité ne provoquant absolument aucune régression (qui s’appellerait par exemple "MS17-010")...

...Et si seulement les gens arrêtaient de mettre de données importantes sur des systèmes Windows !

Que la paix soit avec vous !

MISE A JOUR (14/05/2017)

Comme on s'en serait douté, l'invasion par WannaCry ne s'est pas arrêtée là. D'abord parce qu'une version sans killswitch n'a pas tardé à surgir quelques heures plus tard.

Mais il y a également eu de nouvelles infections par la version avec le killswitch. Pourquoi ? Et bien parce que plusieurs équipement de sécurité ont marqué le domaine du killswitch comme "source de malware", empêchant ainsi WannaCry de s'y connecter et donc de se désactiver.

Oui vous avez bien lu, des équipements de sécurité ont, par leur action, contribuer à la propagation de WannaCry !