Un ransomware met la pagaille au Royaume-Uni, en Espagne et ailleurs

Mickaël Bazoge |

Un rançongiciel a, ce vendredi 12 mai, infecté plus de 75 000 ordinateurs dans 99 pays ; il se concentre en particulier sur la Russie, l’Ukraine et Taïwan, mais l’Espagne est aussi touchée, notamment chez l’opérateur Telefonica. Cette infection provoque également de gros dégâts au sein du NHS, le système de santé britannique : plusieurs hôpitaux en sont réduits à refuser des patients.

Le message du ransomware. Image BBCCliquer pour agrandir

Une fois installé dans un PC, ce ransomware chiffre les dossiers et exige une rançon de 300 $ en bitcoin pour les libérer. Outre Manche, la pagaille dans les établissements hospitaliers touchés provient moins du logiciel malveillant que du fait que les services informatiques éteignent les PC afin d’en éviter la propagation.

Selon les chercheurs en sécurité informatique de BAE Systems, ce rançongiciel tire partie d’une vulnérabilité dans Windows qui a été bouchée il y a quelques temps… mais on sait très bien que dans les grandes structures d’entreprises, les mises à jour logicielles ne sont pas forcément effectuées en temps et en heure. Les rançonneurs et les pirates sont parfaitement au courant et ils exploitent cette faille bien humaine.

Quant à la source du logiciel malveillant — une variante de Wanna Decryptor —, il proviendrait d’un groupe baptisé Shadow Brokers qui avait subtilisé des outils de piratage mis au point par… la NSA ! Ce qui est tout de même assez ironique puisque ces outils, assimilables à des portes dérobées, sont censés protéger le grand public — et ils sont réclamés à cor et à cri par les autorités un peu partout dans le monde. Mais quand ils passent des mains des « gentils » à celles des « méchants », ils peuvent faire de sérieux dégâts…

avatar rikki finefleur | 

@fte
Généralement on ne change pas le système en l’occurrence XP a cause d'un vieux soft résident
Vu dans de nombreux cas et quel que soit le système d'exploitation. (programme en cobol par exemple)
Tout ceci est juste une histoire de budget et on sait que la gestion de parc passe sous la finance .
Il est plus facile de faire de l'excel que d'avoir un parc à peu près propre.
Les premiers s'en lavent les mains.
Les administrateurs sont compétents, mais la phrase habituelle qu'on leur sort
- Y a pas de budget !
Ben assumez now, messieurs du budget.
A l'heure des solutions virtualisées, il y a de quoi faire.

Ceci n'est que le reflet d'une informatique qui plonge d'année en année pour tout ce qui est gestion de parc et infrastructure, avec les salaires s'y attenant.
- Ca marche donc cela peut être moins cher, et cela d'année en année.

Et ceci n'est pas un pb d'os, comme ce journal équipé de la pomme lui aussi victime de ransonware, mais d'infrastructure.

Aujourd'hui ces grosses sociétés comme ces hôpitaux sous traitent leurs infos avec pour seul objectif la réduction de coût et non pas une infrastructure apte être cohérente et a même de pouvoir à faire face a des désastres majeurs.

A la base un directeur informatique dans ces boites n'a souvent aucun poids et préfère sous traiter, pour éviter de porter des responsabilités.

avatar occam | 

@rikki finefleur

100% d'accord avec tous les points que vous évoquez.

C'est aussi mon expérience. Une très mauvaise analyse des coûts et des risques effectifs attire des pépins en cascade qui se transforment cumulativement en désastre potentiel. Il suffit de peu de chose pour qu'il se réalise.

avatar Ingmar97432 | 

@rikki finefleur

Pas que le coût mais aussi un intérêt personnel (des fois je vois que ça tellement il faudrait être bête que c'en est inconcevable): exemple: un hôpital qui reçoit en dotation des ordis tout neufs, qui rament à mort, tellement qu'ils plantent à tours de bras: "on" a préféré investir dans des écrans Sony qui coûtent un bras (super pour de la bureautique) plutôt que de mettre suffisamment de Ram... y a des baffes qui se perdent des fois..

avatar fte | 

@rikki finefleur

Oh je ne le sais que trop bien.

C'est un peu facile d'accuser les admins d'incompétence, lorsqu'on ne fait pas soi-même le boulot. Bref.

avatar dragao13 | 

Ils gueulent quand on a pas nos vaccins à jour et ils sont toujours sous XP !!! O_o

Une bonne distribution Debian développée pour et par l' Europe, ça serait pas mal.
Vu le nombre de postes concernés, ça inciterait même les éditeurs à porter leur logiciel dessus.

avatar NerdForever | 

@dragao13

Carrément d'accord! C'est dingue de vouloir construire une Europe et des logiciels européens mais toujours sur un OS américain...

avatar RyDroid | 

Le fait qu'il soit américain ne me parait pas être un problème. Donc si on fait un OS basé sur CentOS (qui se base sur Red Hat Entreprise Linux) pour la souveraineté, ça ne me choquerait pas (au-delà du fait de faire un énième fork). Ce qui me semble crucial est le contrôle que l'on a sur le logiciel : il faut avoir le droit et la possibilité technique de lire le code source, de le modifier, de le partager (y compris les potentielles versions modifiées), et l'utiliser, dit d'une manière plus brève il est nécessaire qu'un logiciel soit non privateur (donc libre ou privé) pour en avoir le contrôle. https://www.gnu.org/philosophy/categories.fr.html

avatar adn95 | 
avatar Zash_FX | 

Le code de l'archive zip créée a été trouvée : WNcry@2ol7

avatar r e m y | 

Renault est également fortement impacté.

avatar RyDroid | 

Source(s) ?

avatar Moonwalker | 

Dure la vie sur PC.

avatar chabalo | 

Hello
Ce type de problème peut il arrivée sur Mac ?
Merci pour vos conseils ;)

avatar ever1 | 

@chabalo

Oui on a vu apparaître de plus en plus de failles et ransomwares sur mac en parallèle du parc qui grossit. C'est le prix à payer de la popularité, plus il y a de machines et plus il y aura des gens qui essaieront d'exploiter des failles. D'autant plus que Apple met du temps à réagir et ne communique pas.

avatar NerdForever | 

@chabalo

C'est arrivé le mois dernier à un copain sur son iMac... Il ne s'est pas attarde sur le sujet mais il était dégoûté... Le gars de la boutique Mac n'a rien pu faire n'en plus... À part formater... Les boules...

avatar chabalo | 

@ever1 @NerdForever @fte
Merci pour ces retours.
En fin de compte, il faut faire des sauvegardes régulières car on ne peut pas s'en prémunir...
Et une autre question, Linux est il aussi vulnérable ?
Je pensais (naïvement) que MacOS (basé sur Linux) était imperméable à ce genre d'attaque...

avatar fte | 

@chabalo

Oui. Ça peut. Et c'est arrivé.

Le plus grand problème, comparativement à Windows, est l'absence quasi-totale de logiciels de protection. Le Mac était historiquement très peu ciblé, ça change, mais très vulnérable.

Sur Windows au contraire il n'y a que l'embarras du choix en matière de logiciels anti-saletés et celui livré de base par Microsoft n'est pas sans qualités. Windows est moins vulnérable. Enfin, lorsqu'il ne date pas du siècle passé et que les mises à jour de sécurité sont appliquées...

Experience personnelle totalement pas représentative de quoi que ce soit. J'ai switché sur Windows progressivement en un peu plus de 2 ans. Mes archives diverses sont passées d'un DAS sur Mac à un serveur Windows Server. L'anti-virus de Windows Server m'a gentiment signalé divers virus et malwares et m'a nettoyé mes archives. Comme quoi...

avatar Moonwalker | 

macOS dispose de protections variées et efficaces, au nombre desquels sa base Unix n'est pas des moindres. Les logiciels tiers ne sont pas une garantie, loin de là. Windows en est la démonstration depuis de nombreuses années.

La sécurité c'est la connaissance pas de louer un logiciel pour qu'il réfléchisse à votre place.

Le problème sur Macintosh est que les utilisateurs ne se méfient pas assez de ce qu'ils installent. Ils se croient invulnérables, ce qui n'a jamais été le cas, et ne pensent pas assez avant de saisir leur mot de passe administrateur.

La faille principale sur macOS reste l'utilisateur.

avatar fte | 

@Moonwalker

macOS dispose de fort peu de protections, contrairement à ce que tu sembles penser. Si effectivement tu le penses, dis-toi qu'il faut mieux penser le contraire et avoir tord que de penser ainsi et d'avoir tord.

Les plus grandes failles sont toujours entre la chaise et l'écran, indépendamment du système.

macOS dispose de protections passives. Elles ralentissent une propagation, mais ne la stoppent pas. macOS n'a pour ainsi dire aucune protection active, qui elles peuvent stopper et nettoyer une infection.

avatar Moonwalker | 

La meilleure protection de mon système c'est moi. Et je t'assure que je suis très actif.

Je n'ai pas besoin de "désinfecter" parce que mon système est sain. Mon système est sain parce que mes pratiques son saines.

Ce que tu appelles faussement des protections ne sont que des "solutions d'après". Ça ne protège de rien.

T'es comme les gugusses qui se bourrent d'antibiotiques. Ça ne les empêchera jamais d'attraper la grippe, ni même le rhume.

avatar Bigdidou | 

@Moonwalker

"T'es comme les gugusses qui se bourrent d'antibiotiques. Ça ne les empêchera jamais d'attraper la grippe, ni même le rhume."

Oui, enfin les vaccins, ça protège.
Mais un comportement responsable aussi, c'est sur.

avatar fte | 

"T'es comme les gugusses"

Tu ne me connais pas. Merci de rester civil.

avatar Bigdidou | 

@fte
"Tu ne me connais pas. Merci de rester civil."

Si tu obtiens ça de moonwalker, tu pourras espérer persuader ton boucher de te livrer gratuitement tes rôtis en tutu rose et en chantant la Traviata, avec du persil dans les trous de nez et de l'estragon dans le derrière.
Mais il a un bon fond, et dans les forums il est plus que de très bon conseil ;)

avatar Moonwalker | 

Prout !

avatar occam | 

@fte

Microsoft vient de lancer un patch spécial dédié à XP, pour faire face à cette situation de crise.
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Quatre ans après la fin du support officiel ; on ne peut plus les accuser d'indolence envers les ennuis de leur base d'utilisateurs.

avatar Bigdidou | 

@occam

"Quatre ans après la fin du support officiel ; on ne peut plus les accuser d'indolence envers les ennuis de leur base d'utilisateurs."

C'est sûr, mais le revers de la médaille, c'est que ça entretient ces administrations dans cette attitude totalement irresponsable du maintien de xp.
Un Tricostéril sur un plaie béante.
Concernant la nih, je serais une association de patients, j'envisagerais très sérieusement de porter plainte pour une mise en danger délibérée liée à une insuffisance de moyens, là encore délibérée et évitable : on doit bien trouver un truc juridique tenable qui correspond à ça. Pas pour en tirer du bénéfice, mais pour faire bouger les choses.

avatar fte | 

@Bigdidou

Ça ne maintient pas XP en place, je ne pense pas. XP est toujours supporté pour les clients qui paient cher un contrat de maintenance à Microsoft.

Peut-être même que de livrer ce patch pour tous aura l'effet inverse et poussera les services exploitant encore XP à migrer, sous maintenance spéciale ou non. La com de Microsoft est plutôt excellente sur cette question. Excellente pour Microsoft évidemment. Rejeter la faute sur le gouvernement, se poser en lanceur d'alerte et défenseur, et inciter à la migration pour se débarrasser de ce vieux boulet encombrant... car en vérité, cette faille, c'est bien un vieux stupide bug jamais corrigé de Microsoft. Enfin maintenant si, corrigé. Au bout de 20 ans.

avatar fte | 

@occam

Microsoft a des contrats de maintenance spéciaux pour les versions anciennes de Windows. XP et 2000, Windows Server 2003... l'existence de ce patch n'est pas une surprise.

Sa mise à disposition gratuitement et globalement en est une par contre. Coup de pub pour Microsoft, absolument, mais diminution de valeur des contrats spéciaux.

Je doute cependant que ces contrats spéciaux pour XP rapportent encore énormément, sans parler du boulot de merde que font les équipes en charge de ces maintenances.

avatar RyDroid | 

Tu peux installer Windows sur un Mac. De plus, quelque soit le système d'exploitation, ne pas le mettre à jour ou en utiliser un qui ne le sera plus est dangereux.
Au passage : http://www.nicola-spanti.info/fr/documents/articles/computing/mine/stupid-things-that-people-say-about-computing.html#pc

avatar frankm | 

L'histoire des mises à jours non appliquées me rappelle quelque chose... le boulot tiens donc

avatar ziggyspider | 

Et ce sont les mêmes trous du cul qui voudraient installer ces backdoors dans nos iDevices …

avatar deltiox | 

@ziggyspider

Non a priori ce seraient d'autres trous du cul

Mais largement aussi puants je vous l'accorde

La Securite sous un OS avec un outil de contrôle dédié et l'assurance de ne pas avoir de Key logger devrait être un objectif primordial d'Apple et autres grands constructeurs / développeurs

avatar debione | 

Le problème des mises à jour de l'Os... combien en ai- je fais sur toutes les plateformes qui m'ont mis la pagaille, ont rendu inopérant plein de truc...
Si les éditeurs d'Os n'était pas presse par la rentabilité extrême, ils pourraient beaucoup plus tester leurs trucs avant de les diffuser...

C'est un peu mathématique en fait... dans les cgv ils se dédouanent complètement du fait qu'une mise à jour foutent votre travail en l'air, à vous de tester et de voir...

Combien de chance que de grosses erreurs surviennent suite à une mise à jour? Combien de chance de se faire infecter par un virus du à une NOn mise à jour?

avatar Bigdidou | 

Tous ceux qui travaillent ou ont travaillé dans les hôpitaux publics français connaissent leur indigence en terme de sécurité informatique et leur extreme vulnérabilité.
Nous avons une grande culture de la sécurité, mais en l'absence de toute formation, une conduite totalement irrationnelle devant un ordinateur concernant la sécurité. Donner un ordinateur à un médecin lambda, c'est à peu près comme laisser conduire un type ivre mort défoncé au crack sur l'autoroute un dimanche soir en espérant que tout se passera bien.
Pour tout vous dire, un ransomware nous a infecté dans notre structure après que quelqu'un se doit demandé ce sue pouvait bien contenir un dossier qu'il trouvait bien mystérieux car intitulé "Spam".
On en est là.

On imagine la catastrophe d'une attaque terroriste coordonnée ; d'un coté on met à mal les services d'urgence des hôpitaux par une attaque virale, de l'autre, un gros truc genre Bataclan...

avatar Moonwalker | 

Yep !

avatar occam | 

@Bigdidou

Juste pour ajouter un cran à vos scénarios de crise : The Guardian rapportait l'année passée que les sous-marins britanniques lanceurs de missiles nucléaires Trident embarquaient encore une version de Windows XP (!) dénommée, ça ne s'invente pas, «Windows for Submarines».
https://www.theguardian.com/technology/2016/jan/16/trident-old-technology-brave-new-world-cyber-warfare

L'hebdomadaire allemand Die Zeit vient d'actualiser une série d'articles sur la cyberattaque Wcry en cours.
Ils se sont renseignés auprès de leurs sources navales : XP toujours à bord.

XKCD résume encore une fois bien la situation :
https://xkcd.com/1834/

avatar supermars | 

Franchement, croire que seuls les pc sous xp sont touchés...
Renault, les banques russes, Telefonica... ça m'étonnerait qu'ils ne tournent que sur xp.

avatar Bigdidou | 

@supermars

"Renault, les banques russes, Telefonica... ça m'étonnerait qu'ils ne tournent que sur xp."

Un ransomware nous a touché sur un serveur win 2012 et des clients win 7 avec toutes les bonnes mises à jour de sécurité.
Quand tu lances un truc comme ça avec un minimum de droits (bien trop si tu es capable de faire un truc pareil), y a rien à faire.
Après, j'imagine que des vulnérabilités propres au système vont faire que l'attaque est plus ou moins grave et circonscrite.
Dans notre cas, la personne qui a lancé le machin avait des droits pour alimenter le système d'information interne qui s'est trouvé tout crypté.
Elle n'avait aucun droit sur le reste et l'essentiel, le coeur du système et la base de donnée patients, qui n'ont en fait rien eu : windows a correctement fait le boulot.
S'il y avait eu une vulnérabilité du type de celle qui a été exploitée sur win xp concernant la nih, avec une possibilité d'attaque catastrophique du serveur et du serveur redondant qui aurait pris le relais, là, soit les sauvegardes quotidiennes de la base était épargnées et on perdait "juste" 24h00, soit on payait ou on fermait boutique.
Ça me rappelle qu'il faut que je demande à la scii si nos sauvegarde sont bien dans ilot sécurisé qui y empêche la propagation de type de malware.

Ces ramsonwares sont particulièrement inquiétants et doivent pousser à étudier le bien fondé des droits de chacun et les limiter au maximum. Je trouve que c'est paradoxalement plus compliqué pour une petite structure qui sous traite à une scii qu'à une plus grosse qui a ses propres admins salariés.

avatar julien0910 | 

Malheureusement, aujourd'hui, une grande partie des personnes utilisant les outils informatiques ne sont pas suffisamment informés ou ignorent tout simplement les règles essentielles de sécurité et de prévention. Une bonne grosse campagne d'information et de formation à un niveau national voire mondial ouverte à tous les âges et niveaux pourrait peut-être éviter ce genre de désagrément...
Et permettre de faire des économies sur le long terme !

avatar RyDroid | 

Là il y a des responsables informatiques et des budgets informatiques (peut être trop petits), donc ce n'est pas un problème d'information pour les gros collectifs de production (comme les "grosses" entreprises ou les hôpitaux).

avatar poco | 

Sans compter :

- Le Bring Your Own Device
- Les clés USB qui même neuves et/ou formatées peuvent infecter un ordinateur
- L'obsolescence accélérée (Apple par exemple) ne permettant pas de mettre à jour un ordinateur au bout de 4-5 ans.

avatar agapimou1 | 

Moi, la question que je me pose est la suivante :

Y a t'il des banques qui gèrent les comptes de leurs clients avec des systèmes Microsoft Windows ?

Parce que là ça craint du boudin ! Il faut établir la liste de ces banques et vite retirer tout son argent pour le mettre en sécurité sur des machines IBM.

avatar rikki finefleur | 

agapimou1
Ce n'est pas un pb d'OS le ransomware, mais tous les fichiers dont tu peux avoir accès.
Des parcs avec du matos Apple ont été déjà touché comme une grosse rédaction dernièrement

Il faut éviter de se croire protéger, ce qui est fausse piste et justement ne pas t'amener à prendre des mesures pour ta protection.

avatar RyDroid | 

Quel est le rapport entre Microsoft Windows (un système d'exploitation) et des machines IBM ?

avatar agapimou1 | 

@RyDroid

On voit que tu n'as jamais travaillé sur un vrai système professionnel ! Tu ne connais que ce jouet de Windows ! Tu joues à Game of Thrones ? C'est bien !

Mais moi je suis autre chose.

avatar agapimou1 | 

@rikki finefleur

Il s'agit d'après Mac4ever d'un virus qui touche Windows

https://www.mac4ever.com/actu/121165_un-virus-windows-paralyse-de-nombreux-pays-maj-un-patch-pour-windows-xp

avatar agapimou1 | 

@rikki finefleur

Peut être que des mac ont été touchés mais pas des machines IBM !

avatar rikki finefleur | 

agapimou1
Hé tu te connectes comment à ton IBM >> depuis une station, pc mac ce tu veux..
Les keyloggers tu connais...
Un admin me tenait les mêmes propos dans son invulnérable serveur Lotus notes (2000 BAL)
On a parié, ben il a perdu.

Se croire protéger par un os est une erreur.
Tu sembles sous estimer la fourberie des hackers.

avatar agapimou1 | 

@rikki finefleur

Premier point : Tu t'es trompé en m'affirmant qu'il ne s'agissait pas d'un virus qui attaque les systèmes Windows. Il s'agit du virus Wanna Cry qui touche l'OS de Microsoft Windows et particulièrement les vieux systèmes Windows XP de Microsoft.

Deuxième point : Les hackers aujourd'hui, comme la plupart des utilisateurs et informaticiens, naissent et grandissent avec le système de Microsoft à savoir Windows. Ils ne connaissent que ça, même le vénérable système Unix n'est quasiment plus dans leur domaine de connaissance. Les jeunes aujourd'hui, naissent et grandissent avec Windows et finissent par ne connaître plus que ça !
Quant aux systèmes propriétaires d'IBM, t'inquiète, ils sont inconnus des hackers, que ce soit IBM i, MVS ou AIX, il n'y a pas grand monde qui soit capable de les pénétrer comme cette passoire de Windows.
Même macOS est très connu des hackers maintenant....

Du coup, il vaut mieux avoir son argent dans un banque qui fonctionne avec un système IBM que du Windows ! Mais existe t'il des banques qui se risquent à gérer les comptes de leurs clients sous Windows ?

Dernier point, aujourd'hui, seul Google est capable de créer un OS robuste et protégé (regarde le présentation de Fuchsia au I/O 2017 cette semaine). Le virus en question Wanna Cry n'est pas rentré dans les systèmes Windows via keylogging comme tu le dis mais via un faille de sécurité. Il n'y a pas grand monde capable de trouver et d'exploiter une telle faille dans un système IBM. Comme je te le dis, aujourd'hui les gens naissent et grandissent avec Windaube et ne connaissent que ça !

CQFD

avatar agapimou1 | 

@rikki finefleur

Hé tu te connectes comment à ton IBM >> depuis une station, pc mac ce tu veux..
Les keyloggers tu connais...

Je vois que tu n'as pas bien suivi l'affaire ! Il s'agit d'une attaque à grande échelle, planétaire, via l'exploitation d'une faille de sécurité dans l'OS de Microsoft et non d'une attaque via keylogging. Une telle attaque via keylogging ne peut pas s'effectuer à l'échelle planétaire, cela n'a aucune chance d'affecter un très grand nombre de machines. De plus, les systèmes savent détecter lorsqu'ils sont bombardés de requêtes de connexions et ferment les portes dans ce cas ! Donc, tu as très peu de chance de pouvoir pénétrer des milliers d'ordinateurs via cette méthode

CQFD

je te redonne le lien pour que tu relises bien ce qui y est expliqué :

https://www.mac4ever.com/actu/121165_un-virus-windows-paralyse-de-nombreux-pays-maj-un-patch-pour-windows-xp

Pages

CONNEXION UTILISATEUR