Le ransomware WannaCrypt continue de faire des dégâts partout dans le monde

Mickaël Bazoge |

C’est la revanche de Windows XP. Le bon vieux système d’exploitation, dont Microsoft a officiellement cessé le support le 8 avril 2014 (ce qui n’est pas tout à fait vrai dans les faits), a pourtant bénéficié d’une mise à jour exceptionnelle ce vendredi 12 mai. L’éditeur a en effet mis en ligne un correctif à destination de Windows XP, ainsi que pour Windows 8 et Windows Server 2003 (toutes les infos sont ici), et ça n’est pas pour la galerie : cette mise à jour est absolument indispensable pour éviter l’attaque Wanna Decryptor, ou WannaCrypt.

C’est le petit nom du rançongiciel qui se déploie massivement à travers le monde depuis hier (lire : Un ransomware met la pagaille au Royaume-Uni, en Espagne et ailleurs). Une centaine de pays sont touchés et, selon les chercheurs en sécurité, WannaCrypt aurait infecté plus de 100 000 PC. Microsoft explique que Windows 10 n’est pas concerné.

Cliquer pour agrandir

Le système de santé britannique fait partie des victimes les plus touchées, et depuis hier des histoires horribles nous parviennent d’outre-Manche de patients qui n’ont pas pu se faire opérer ; il faut dire que 90% du National Health Service fonctionne encore sous Windows XP… Mais le Royaume-Uni n’est pas le seul pays infecté : c’est le cas aussi de l’Allemagne avec la Deutsche Bahn (voir capture ci-dessus), en Russie ou encore en Asie. Le New York Times a mis en ligne une carte interactive où l’on peut voir la propagation du rançongiciel.

Cliquer pour agrandir

La France aussi est frappée. Le CERT, Centre de veille et d’alerte de l’ANSSI (agence de la sécurité des systèmes d’information) a posté un bulletin d’alerte prévenant de la propagation d’un ransomware qui affecte les systèmes d’exploitation Windows. Renault a été touché, rapporte l’AFP, mais le constructeur automobile « fait le nécessaire pour contrer cette attaque ». L’inquiétude est de mise pour lundi alors que de nombreuses entreprises — en particulier les PME — vont revenir au travail.

La propagation semble toutefois se ralentir : non seulement Microsoft a pris rapidement les choses en main, mais encore le chercheur en sécurité MalwareTech a, un peu par hasard, trouvé le moyen de bloquer le déploiement du logiciel malveillant. Ce dernier se connecte à un site web (dont l’URL est présente dans son code) et s’il n’y parvient pas, la diffusion se poursuit. En achetant le nom de domaine, ce chercheur a tout simplement fermé le robinet de la propagation.

Rappelons que WannaCrypt, qui se propage au travers de courriels, exploite une vulnérabilité qui faisait partie de l’arsenal de la NSA. Les Shadow Brokers, un groupe de pirates qui entretiendrait des liens avec la Russie, sont parvenus à subtiliser ces informations en avril. Ce ransomware chiffre les données du PC infecté et réclame 300 $ en bitcoin pour les libérer.

Pour éviter ces graves problèmes de sécurité, il faut mettre constamment à jour ses machines, ce qui dans des grandes infrastructures comme le NHS anglais peut poser des problèmes logistiques ; et aussi mettre en place une stratégie de sauvegarde de ses données, de telle sorte de pouvoir réinstaller une version antérieure propre en cas d’infection.

avatar vince29 | 

elle est vachement agressive la dernière campagne de Microsoft pour encourager les gens à migrer à W10

avatar Orus | 

Etre encore sous Windows XP en 2017 ???
Un chose est sûr, il va y avoir des conséquences...

avatar anonx | 

Ah ils sont forts Windows pour pousser leurs clients à faire une mise à jour et passer à w10... ??

avatar agapimou1 | 

@anonx

T'inquiète, GOOGLE travaille sur un nouvel OS Fuchsia en remplacement d'Android et de son noyau Linux qui sera à coup sûr bien plus robuste et sécurisé que Windows étant donné les compétences de l'entreprise dans le domaine du logiciel. Maps est supérieur à Plans d'Apple, Chrome est supérieur à IE et Safari, Google Now est supérieur à Siri etc...

Fuchsia tout ou tard finira par remplacer Windows à l'échelle planétaire lorsqu'il sera mature...

Et cerise sur le gâteau, il sera gratuit ! Google oblige !

avatar alfatech | 

@agapimou1

"T'inquiète, GOOGLE travaille sur un nouvel OS Fuchsia en remplacement d'Android et de son noyau Linux qui sera à coup sûr bien plus robuste et sécurisé que Windows étant donné les compétences de l'entreprise dans le domaine du logiciel. Maps est supérieur à Plans d'Apple, Chrome est supérieur à IE et Safari, Google Now est supérieur à Siri etc..."

Pas trop d'accord, Chrome est bien mais Safari n'a rien à lui envier (surtout sur les appareils de la pomme…J'avoue qu'après l'avoir installé sur un PC sous Windows j'ai vu que son fonctionnement était moins sympa), et le système de favoris de Google à 50 ans de retard sur les autres. Pour Maps c'est normal car  s'est investi il n' y a pas très longtemps dans le domaine. Sinon niveau compétence en logiciels Ms et  n'ont aucune leçon à recevoir.

avatar agapimou1 | 

@alfatech

Mon pauvre ! Windows utilise une base de registres non chiffrée partagéé entre le système et les applications. Une vraie cochonnerie et qui pollue le système ! A cause de cette BdR, il t'es impossible de récupérer ton environnement utilisateur lorsque tu changes de machine. Tu dois ton réinstaller de A à Z. Te retaper tous les programmes de setup des applications à réinstaller. Ah que oui ! Microsoft a bien besoin de recevoir des leçons en matière de conception d'OS.

Windows est le seul système qui a besoin d'un anti-virus pour se protéger. Ah oui ! Windows a une conception d'il y a 50 ans !

Quant à safari, chaque année, les hackers le craquent en quelques secondes alors que Chrome résiste beaucoup mieux. Personnellement, sur mon mac, je n'utilise plus que Chrome, il est plus cool a utiliser que Safari et surtout fonctionne mieux.

Par exemple, avec Safari, j'ai des problèmes d'affichage avec le Web mail de Microsoft (Outlook version web) alors qu'avec Chrome tout s'affiche correctement

avatar GoldenPomme | 

"Windows est le seul système qui a besoin d'un anti-virus pour se protéger."

Ca pêche carrément au lance-roquettes...

Xprotect n'existe pas et les serveurs sous linux ne se font jamais véroler c'est bien connu. Mince j'ai mordu^^

avatar agapimou1 | 

@GoldenPomme

Ben Ecoute, tu as un mac ? As-tu un anti-virus sur ton mac ?

Moi pas ! Et cela fait 10 ans que je n'en ai pas ! Sous Android, personne n'a un anti-virus non plus et pourtant c'est un noyau Linux ! Essaie d'aller sur internet avec un PC sous Windows sans anti-virus, tu m'en diras des nouvelles !

Je ne connais pas ton Xprotect mais combien de machines sous Linux, de mac et de systèmes sous Android ont un anti-virus ?

Par contre absolument TOUS les PC de la planète sous Windows ont besoin d'un anti-virus pour se protéger !

Sais-tu que Microsoft protège ses propres serveurs Windows avec des pare-feux Linux !

Dernière question, as-tu besoin d'un anti-virus sur ton iPhone sous iOS ? Absolument pas !

Ta démonstration pêche énormément !

CQFD

avatar NymphadoraTonks | 

Mr Robot et FSociety.

avatar Ielvin | 

@NymphadoraTonks

Sort de ce corps ! :-)

avatar supermars | 

Je ne sais pas si il y a un lien, mais free adsl est en rade chez moi depuis 30min

avatar mrkapp | 

Je vous confirme qu'en France Renault semble aussi touché.

Je suis passer dans une concession pour demander une devis pour une révision, et tous les PC étaient éteints pour éviter de se chopper le "virus"... :)

avatar Ginger bread | 

Pas la faute de Microsoft mais des societes continuant à utiliser un ancien OS ou ne mettant pas à jour leur systeme.

avatar supermars | 

Free ADSL de retour
Désolé ?

avatar mrfish84 | 

Qui en 2017 stocke encore ses fichiers en local ?

avatar Ielvin | 

@mrfish84

Moi ? (Avec svg).
Ma boîte ? (Dans laquelle il faut 20 minutes pour scanner une feuille.. ) vive Genius scan by the way..)
L'ensemble de mes collègues qui ne savent pas ce qu'est cet espace noir sous le clavier des ordis et qui cherchent la souris sans fil.

=> c'est clairement un soucis de logiciel non optimisés, les nôtres (où ceux du prestataire) fonctionnent comme il se faut sur des ordis bien puissant (voir trop pour les tâches demandés) et sont à la ramasse sur nos ordis et non adaptés à la taille de nos écrans.

Le tout en 2017.

avatar occam | 

@mrfish84

"Qui en 2017 stocke encore ses fichiers en local ?"

P. ex. ceux qui, comme moi, ont 55+ TB de données à gérer sur leurs systèmes. Mais si vous avez une solution facile et pas chère pour faire ça sur le cloud, je suis preneur.

avatar byte_order | 

> Qui en 2017 stocke encore ses fichiers en local ?

Change rien, WannaCrypt accède aussi aux disques réseaux s'ils sont montés sur le PC victime.
Et je vois pas trop ce qui empêcherait un WanaCrypt du futur de faire de même avec des services de stockage en cloud : une fois que le ver est dans le fruit, il peut accéder à la même nourriture que vous...

La solution efficace, c'est d'avoir une politique efficace de sauvegarde et de restaurations des postes de travail, données *et* environnement de travail compris.

avatar madaniso | 

Microsoft aurait plutôt du leur filer une clé avec Windows 10... ou leur faire un gros doigt. J'espère qu'il y aura des postes d'admin qui vont sauter. Par capable d'avoir des parcs informatiques à jour.

avatar rikki finefleur | 

madaniso
Et comment tu fais si on ne te donne pas le budget ?
Tu prends vraiment les gens pour des idiots.
Pourquoi ne pas s'en prendre plutot a ceux qui font sous traiter leurs infos pour gagner 3 bouts de chandelles et ainsi annoncer fièrement à leur PDG qu'ils ont fait des économies.
Des winners.

Peut être faut il réfléchir un peu avant de causer ou alors tu n'as jamais bosser dans ce genre de boites.

La plupart des parcs info on te donne 3 ficelles et un bout de bois, sauf pour oracle , BO et cie qui eux savent bien y faire pour pomper une bonne partie du budget.

A la base déjà nommer de vrais directeurs informatiques et non pas des hommes dont le seul but est de faire des budgets et fairesous traiter. Comme chez renault par exemple.
Cela ne leur fait pas de mal de se prendre des tôles dans le visage.

avatar A884126 | 

@rikki finefleur

Je suis d'accord mais le patch du 14 mars est gratuit. Il suffisait de mettre les systèmes à jour. Ce n'est pas un upgrade juste une mise à jour de sécurité.

avatar rikki finefleur | 

madaniso
Oui mais moi je parle des gars comme madiso qui parle des admins alors que c'est la direction de ces boites qui est en cause, en réduisant les bugets sur les parcs et les infras d'années en années.
Ils sont trop éberlués par les offres d’infogérance (les marchands de viande)
Lire ce genre de commentaires est d'une stupidité totale.

Quand il verra par exemple que certains lycées reposent sur une pauvre ligne adsl avec 200 éleves derrière, avec des tech payés au smic.
Voilà un bon exemple. Le smic normalement c'est fait pour des gens sans qualification. Enfin ça c'était avant. Mais démontre bien comment ces structures considèrent l'info, payés au lance pierre, le matériel allant avec.

avatar madaniso | 

@rikki finefleur

J'ai jamais bossé dans ce type de structure mais ça ne m'empêche pas d'avoir un avis sur la question. C'est ton boulot de faire comprendre à des supérieurs que l'informatique c'est pas un gadget, que c'est pas juste pour les jeux vidéos ou un budget secondaire. De toute façon, les attaques de ce genre vont se multiplier, donc ces gens au dessus qui n'y comprennent rien vont vite être rattrapé par la réalité.

Je n'aime pas les gens qui expliquent que c'est pas de leur faute, si c'est comme c'est la faute d'un autre etc etc. Dans ce cas là, effectivement pourquoi payer des gens plus que le smic si ils ne savent même pas prévenir correctement des dangers d'un OS obsolète.

Si tu as une qualification et que tu es payé au smic, personne ne te force à rester dans ton job actuel. Tu peux en chercher un autre ou monter ta boite. C'est pas moi, c'est lui niania. ça veut se donner une attitude d'adulte mais c'est pas comme un enfant.

avatar byte_order | 

Traiter des gens comme de la m%rde est la meilleure façon d'être sûr qu'ils vous feront un travail de m%rde.

C'est la loi du marché.
Je vois pas au nom de quoi des informaticiens devraient être tenus d'avoir une obligation de résultat alors que cette obligation n'est nullement rémunérée.

Les employeurs en ont pour leur argent, point barre.
Qu'ils suivent où va vraiment leur argent avant de pointer du doigt le pauvre clampin qui n'en voit jamais la couleur mais qui a dû, lui, c'est contractuel, se taper un week-end d'astreinte parce que l'essentiel de l'argent censé passer dans l'infrastructure informatique de la boite est passée dans des poches de gens qui n'en ont rien à foutre, n'y connaissent probablement rien mais qui sont ravis de pouvoir avec ces augmentations de revenus ou de dividendes partir en week-end sur un site touristique avec...

avatar 0MiguelAnge0 | 

@rikki finefleur

Renault où le paradis des cost killers: tous leurs sous-traitants de cette sont obligés d'aller dans des pays à bas coût avec la casse sociale qu'on connait! Et se qui me fait gerber, c'est Ghosn adulé par tous les blaireaux.

Mais PSA a recolté Tavarez, élevé à la même école, qui pratique les mêmes règles avec une variante: même si en produisant en France, tu es dans les clous, ils obligent à avoir une part de la prod dans certains pays...

Et que font les Français: ils achètent en masse leurs daubes pour les remercier...

avatar C2SC3S | 

@0MiguelAnge0

Sûrement. Mais VW fait pareil ( tous font peu ou prou la même chose) : design in germany , mais moteurs assemblés chez Skoda, tableaux de bord en fabriqués en Pologne, composants made in PRC ...

avatar A884126 | 

@0MiguelAnge0

Il faut arrêter le bashing en série.

La sous traitance n'est pas synonyme de mauvaise qualité. Les informatitiens indiens sont très bons.
De plus, il n'y a pas assez d'ingénieurs informaticiens formés en France pour répondre à la demande.
Idem pour les métiers de l'automobile où il manque cruellement de nombreux mécaniciens, carrossiers...

avatar 33man | 

@A884126

Oui les bons viennent en Suisse...

avatar zoubi2 | 

Parce que c'est l'admin qui décide du budget ???$

avatar MightyMac | 

@madaniso :
Ce n'est pas tant des Adminsys que des DSI qui devraient sauter.

avatar A884126 | 

Il me semblait que pour ne pas être infecté il ne fallait pas cliquer sur tout et n'importe quoi.
Cela voudrait il dire que certaines personnes de Renault surfe où il ne faut et ouvre des fichiers qu'il ne faudrait pas non plus. En sachant que ces derniers auraient dû être scannés par l'Aveyron de l'entreprise. Et qui des firewalls internes qui devraient stopper l'attaque ?

https://www.welivesecurity.com/2017/05/13/wanna-cryptor-ransomware-outbreak/

http://support.eset.com/alert6442/

avatar rikki finefleur | 

A884126
tu oublies que les gens ont des tel portables avec messagerie , et messagerie instantanée
Tel Portable qui est un bon cheval de troie.
Et également ceux qui font du télétravail et se connectent aux serveurs..puis éventuellement à leurs stations en direct tout cela en vpn.

avatar A884126 | 

@rikki finefleur

Je ne comprends pas.

Wannacry utilise une faille Windows. Si le mail est reçu sur un OSX, iOS, Android... Il n'y pas d'infection. J'ai lu que ce worm se propage par un click sur un fichier.

Question télétravail, les mises à jour se font aussi à distance. La fois dernière je ne pouvais ouvrir Outlook qu'après la mise à jour envoyée par les serveurs de l'entreprise. Être à distance ne bloque les mises à jour.

avatar rikki finefleur | 

A884126
Non je voulais dire que les accès aux données de l'entreprise sont nombreux et ont complètement changés en 20 ans.
Il devient difficile de sécuriser des données connaissant tous les moyens d'accès directs ou indirects possibles aux données.
Par exemple une clef usb infectée est difficilement prévisible, et pourtant c'est un cheval de troie possible totalement à l'insu de son utilisateur.
Il en est de même pour la personne qui en télétravail se connecte via vpn directement à sa machine du boulot.
On peut essayer de sécuriser les points d'entrée mais beaucoup plus difficilement les datas qui y transitent surtout si ces dernières sont cryptés de bout en bout.

avatar byte_order | 

> J'ai lu que ce worm se propage par un click sur un fichier.

Nope, le mécanisme de propagation du ver exploite une faille dans l'implémentation par Microsoft du protocole SMBv1 (appelée EternalBlue, renommée EternalRomance par ceux qui l'ont publié après la fuite de la NSA), faille qui permet d'exécuter du code qu'on lui envoi à travers le réseau et à partir de là d'installer et modifier le comportement de Windows sans autre forme de frein.

Il n'est pas certains que le ver se soit beaucoup propagé via phishing, ni même que le phishing soit un vecteur de propagation initial.

Un gros scan depuis quelques mois pour cataloguer des adresses ip public autorisant les protocols SMBv1 peut très bien avoir été fait avant d'activer le ver avec une première liste de machines identifiées, par exemple...

avatar 33man | 

@A884126

Je ne vais donc pas cliquer sur tes liens ?

avatar guigus31 | 

La culture du risque n'existe pas dans l'informatique grand public, et pas beaucoup plus en entreprise...
C'est déjà compliqué d'inculquer la culture HSE, alors bon ! "Moi, mettre un casque, des gants et des lunettes ?? C'est pour les blaireaux ! Moi je ne me blesse pas, je n'en ai pas besoin..."

Le parallèle peut se faire. De même que les boites finissent par s'apercevoir qu'une politique HSE forte permet de faire des économies (arrêts / accidents de travail), elles s'apercevront peut être un jour qu'il en est de même pour leur parc informatique. Il faut malheureusement des accidents pour réévaluer les normes et les pratiques..

Quand je vois autours de moi que je suis pris pour un fou fêlé avec mes trois types de sauvegarde (icloud / CrashPlan / 2 disques durs) et mes os toujours à jour, je me dis qu'il y a encore du boulot d'éducation à faire. (En attendant je ne compte plus les histoires de type (rayez les mentions inutiles):
"-prfffff j'ai perdu 10 ans de photos... (cambriolage / café sur l'ordi / crash...)

-t'as fait aucune copie ?

-ben si j'avais dupliqué les photos sur l'ordi dans un deuxième dossier
/ ben en fait, ce que j'ai sauvegardé, c'est que des alias , j'avais pas fait gaffe !
/ si j'ai des clefs usb dans une boite à chaussures mais elles ne marchent plus
/ si mais les cambrioleurs on aussi pris le disque dur externe
/ le disque dur externe est mort

-? / ? / ? / ??"

L'informatique aujourd'hui, c'est comme la bagnole dans les années 70: rouler à fond et doubler dans les virages, sans ceinture mais avec un coup dans le nez. Et les enfants en vrac dans le coffre.
Et voir si ça passe...

avatar byte_order | 

> Et voir si ça passe...

Si c'était limité qu'à l'informatique, ça.
C'est toute la société humaine qui fonctionne désormais comme ça, largement incitée si ce n'est pas parfois carrément forcée à poursuivre toujours plus le profit au présent en envoyant la facture dans le futur et ainsi hypothéquer l'avenir.

avatar r e m y | 

@byte_order

Bah... le futur on s'en fout vu qu'on n'a toujours vécu et on ne vivra jamais QUE dans le présent! ?

Oui je connais la sortie...?

avatar jerome christopher | 

Shadow brokers qui entretiendrait des relations avec La Russie ! Merci iGeneration , même dans un article vous exposez vos fourberies et votre russophobie répugnante

avatar r e m y | 

c'est ce que rapportent tous les spécialistes du sujet!
Même l'Humanité le mentionne... et je ne pense pas qu'on puisse taxer ce journal de Russophobie.

avatar Shralldam | 

@jerome christopher

Démonstration de la russophobie de MacG, s'il vous plaît ? Vos arguments ?

avatar r e m y | 

Si au moins cette histoire (qui vient quand même de la "perte" par la NSA de ses outils de hacking) faisait comprendre à ceux réclamant des portes dérobées à usage des agences de sécurité gouvernementales que ce serait une erreur gravissime, on aura fait un grand pas...

On voit ce que ça peut donner quand des portes dérobées à usage des "gentils" sont utilisées par les "méchants"!

avatar jeanCloud | 

Sacré viRusse !

avatar Nesus | 

Très bon événement, ça va faire réfléchir beaucoup de monde sur ce que représente l'informatique aujourd'hui. Beaucoup risque d'arrêter de nous dire que les ordinateurs n'ont pas besoin d'être mis à jour, que ça coûte trop cher, et que chiffrer est un acte terroriste.

avatar Mandrin | 

Je pense que si tout le monde faisait des sauvegardes journalières le problème serait vite réglé. Erase and reintall et hop!
.A moins que le bloquage soit firmware.

avatar poco | 

Certains commentaires... ?
Oui, il y a beaucoup de systèmes qui tournent sous XP. Tout le monde ne fait pas que du mail, word, facebook et Photoshop avec son ordinateur.

En 2014 95% des distributeurs de billets dans le monde tournaient sous XP. XP était encore trés présent dans les systèmes multimédia de nombreux avions de ligne en 2016. En Afrique, XP avait en 2014 encore plus de 10% de pdm...

Quid des lignes de production, machines outils, dispositifs médicaux etc...? C'est un vrai problème.

Et encore je trouve M$ beaucoup plus souple et sérieux qu'Apple en la matière des màj de sécurité et de suivi.

avatar alfatech | 

@poco

"Et encore je trouve M$ beaucoup plus souple et sérieux qu'Apple en la matière des màj de sécurité et de suivi."

Et qu'est ce qui te fait penser à ça? car dès qu'un problème est découvert  sort vite un correctif pour palier au problème.

avatar poco | 

@alfatech

"Et qu'est ce qui te fait penser à ça? car dès qu'un problème est découvert  sort vite un correctif pour palier au problème"

Pas sur un OS X de plus de 3-4 ans.

Pages

CONNEXION UTILISATEUR