Un ransomware met la pagaille au Royaume-Uni, en Espagne et ailleurs

Mickaël Bazoge |

Un rançongiciel a, ce vendredi 12 mai, infecté plus de 75 000 ordinateurs dans 99 pays ; il se concentre en particulier sur la Russie, l’Ukraine et Taïwan, mais l’Espagne est aussi touchée, notamment chez l’opérateur Telefonica. Cette infection provoque également de gros dégâts au sein du NHS, le système de santé britannique : plusieurs hôpitaux en sont réduits à refuser des patients.

Le message du ransomware. Image BBCCliquer pour agrandir

Une fois installé dans un PC, ce ransomware chiffre les dossiers et exige une rançon de 300 $ en bitcoin pour les libérer. Outre Manche, la pagaille dans les établissements hospitaliers touchés provient moins du logiciel malveillant que du fait que les services informatiques éteignent les PC afin d’en éviter la propagation.

Selon les chercheurs en sécurité informatique de BAE Systems, ce rançongiciel tire partie d’une vulnérabilité dans Windows qui a été bouchée il y a quelques temps… mais on sait très bien que dans les grandes structures d’entreprises, les mises à jour logicielles ne sont pas forcément effectuées en temps et en heure. Les rançonneurs et les pirates sont parfaitement au courant et ils exploitent cette faille bien humaine.

Quant à la source du logiciel malveillant — une variante de Wanna Decryptor —, il proviendrait d’un groupe baptisé Shadow Brokers qui avait subtilisé des outils de piratage mis au point par… la NSA ! Ce qui est tout de même assez ironique puisque ces outils, assimilables à des portes dérobées, sont censés protéger le grand public — et ils sont réclamés à cor et à cri par les autorités un peu partout dans le monde. Mais quand ils passent des mains des « gentils » à celles des « méchants », ils peuvent faire de sérieux dégâts…

avatar rikki finefleur | 

agapimou
Je ne te parle pas de celui-ci mais en général, et combattre de fausses idées.
Les ransomwares touchent tout le monde.
Se croire protéger est une erreur et donc prendre des mesures y attenant.
Voila c'est tout.
Peu importe que cela soit 1 ou des milliers d'ordis , ce qui compte ce sont tes données et pas ceux du voisin, dans ce cadre.

Et pour les gros systèmes à partir du moment ou tu as accès à la station qui te sert de passerelles vers ceux ci , ils peuvent subir des dégâts d'un autre genre, par usurpation d'identité par exemple.

Il est très rare de voir des consoles d'admin de gros systèmes reposer (a minima) sur un vlan différent des autres. Non elles sont considérées comme toutes autres stations ou l'on fait son web, son mail et autres.

avatar agapimou1 | 

@rikki finefleur

Tu t'entêtes. On n'accède pas à un système central depuis le web ! Ces systèmes sont en réseau local. L'usurpation d'identité ne peut pas donner accès à tous les systèmes de la planète comme cela est le cas de ce virus Wanna Cry. Là, dans le cas présent, il s'agit de contourner les sécurités d'un OS en exploitant une faille de sécurité dans l'OS. Cela est impossible avec un système IBM type IBM i, MVS voire AIX.

T'inquiète, GOOGLE travaille sur un nouvel OS Fuchsia en remplacement d'Android et de son noyau Linux qui sera à coup sûr bien plus robuste et sécurisé que Windows étant donné les compétences de l'entreprise dans le domaine du logiciel. Maps est supérieur à Plans d'Apple, Chrome est supérieur à IE et Safari, Google Now est supérieur à Siri etc...

avatar rikki finefleur | 

agapimou1
Tu ne comprends pas . On prend le contrôle ta machine sur laquelle repose ta console d'admin pas n'importe quel moyen.
Ce n'est pas un pb de gros ou petit système mais de point d'entrée détourné.
Les postes d'admin d'AS400 et cie utilisent le même poste pour leur admin que pour surfer , web et cie.

Le hacker t'installe un keylogger sur ta machine d'administration
On prend ta machine à distance celle-ci étant relié au web.
C'est fini.
Tant qu'il n'y a pas sur ces machines d'authentification autre que par des mdp tappés manuellement sur clavier le compte est presque bon,
De plus la plupart des stations d'admins ne sont pas reliés à un vlan dédié et hors d'un accès au net. (comme souvent)

Et je ne parle pas ici du ransomware mais plus globalement de falsification des données de leur lecture, ou leur copie.

D'ailleurs ce n'est pas obligatoirement un poste d'admin qui peut être visé mais celui d'un simple utilisateur comme un employé de banque (avec plus ou moins de pouvoir),un responsable d'entrepot, ... qui peut voir son poste détourné, avec des incidences moindres mais réelles pour le fonctionnement de la boite dans son activité.

Quand je vois des gens dire mon gros OS est sécurisé on craint rien. Franchement cela fait un peu peur. Je crois que renault va bien le comprendre qu'il y a de la permissivité à tous les étages.

Mais peut être faut il qu'il considère l'info comme un outil de travail, et non pas un truc que l'on sous traite ici ou là, délocalise leurs infos ici ou là, avec des personnes dont on en connait même pas la sécurité informatique interne, et qui sont potentiellement autant de chevaux de troie.

avatar agapimou1 | 

@rikki finefleur

Une console d'administration d'un IBM AS400, déjà elle n'est pas sur le web, ni même sur le réseau local de l'entreprise. Elle est connectée en liaison direct à l'AS400. Premier point.

Dès lors, comment veux-tu qu'un hacker puisse installer un keylogger qui intercepterait les identifiants admin de la machine ? Il faudrait déjà qu'il ait accès à la salle machine et puisse utiliser le clavier et la souris connectés à l'AS400.

Deuxième point, lorsque tu te connectes à partir de ton PC en réseau local via Client Access sur un AS400, il y a un premier niveau d'identification par l'application Windows d'IBM puis un second niveau d'identification lorsque la mire de connexion de l'AS400 apparaît. Les identifiants de connexion à l'AS400 s'ils sont différents de ceux fournis à Client Access au premier niveau ne permettent pas à un hacker d'entrer dans la machine IBM et constituent un rempart.

Il faudrait que ton hacker, soit capable d'installer sur l'AS400 un keylogger qui intercepterait les identifiants de connexion. Là, encore, ce n'est pas possible !

Il y a quand même des sécurités de base à mettre en place sur une machine IBM...

Voilà, voilà,

CQFD

avatar rikki finefleur | 

agapimou1
A partir du moment ou tu peux keylogger sur lequel repose client access, c'est fini.
Je connais client access.
C'est surtout les modes d'authentification qui sont à revoir, et dans la plupart des cas ils sont en mode texte.
Et il n'y a pas besoin d’être en salle machine. non plus.
Moi je te parle d’accès aux données des AS , de la part d'un utilisateur courant ou d'un admin, et /ou toutes opérations courantes d'admin, que cela soit sur un AS ou autre.
Croire que l'on est protégé car on a un as400 est une erreur.
Le souci n'est pas forcément l'OS mais la permissivité de son environnement.

avatar agapimou1 | 

@rikki finefleur

A partir du moment ou tu peux keylogger sur lequel repose client access, c'est fini.

Connais-tu beaucoup de cas où des AS400 ont été cryptés par un virus ?

Moi pas !

Le problème c'est Windows, l'OS et seulement l'OS. Windows a été créé par des non spécialistes qui n'y connaissaient pas grand chose en architecture d'OS. Ils ont mis en place une base de registres non chiffrée en clair et qui n'existe dans aucun autre système. Windows est également le seul système à avoir besoin d'un anti-virus pour se protéger. Tout ceci n'existe pas dans les autres systèmes !

C'est bien d'inventer un OS avec des choses exotiques mais encore faut il être un spécialiste de la conception d'un OS !

heureusement qu'il y a Google pour relever le niveau !

Android n'est pas une passoire comme ce Windows. Bientôt nous aurons Fuchsia ce sera le summum de l'état de l'art en matière d'OS.

avatar agapimou1 | 

@rikki finefleur

je vais te raconter une histoire vraie qui m'est arrivé il n'y a pas longtemps.

Un jeune ingénieur informaticien est venu en prestation dans mon entreprise pour que nous fournissions un fichier comptable.

Ce jeune ingénieur informaticien, est un spécialiste Windows mais ne connais absolument pas les machines IBM, il n'avait jamais entendu parlé de l'encodage EBCDIC de ces machines. Nous devons lui fournir un fichier au format unicode UTF-8.

La conversion d'EBCDIC vers UTF-8 se fait via Client Access, rien de plus simple

Ensuite, il m'a parlé de notre système de virtualisation VMware comme si je ne savais pas ce que c'était. Je lui ai répondu :

"Vous savez la virtualisation est un concept inventé par IBM il y a 50 ans ! IBM virtualise sur ses gros systèmes plusieurs OS depuis bien longtemps."

C'est IBM qui a déposé les brevets de cette technologie il y a bien longtemps et aujourd'hui tombés dans le domaine public. Dès lors, il est très facile de récupérer tous les travaux d'IBM comme le fait VMware.

Bref ! Les jeunes aujourd'hui, naissent et grandissent avec Windows et ne connaissent plus que ça ! Ils pensent que Microsoft a inventé les interfaces graphiques, qu'Oracle a inventé les bases de données, que VMware a inventé la virtualisation etc...

MDR

avatar rikki finefleur | 

agapimou1
Non mais la virtualisation des postes n'est pas encore assez développée à mon gout.
Comme les netPC.

avatar agapimou1 | 

@rikiki finefleur

Chez nous on ne virtualise que les serveurs Windows ... On n'est pas encore aux PC virtualisés.

avatar fte | 

@rikki finefleur

Vivement la virtualisation des employés.

avatar agapimou1 | 

@rikki finefleur

Quant à Renault, il est évident qu'ils ont fait le choix d'une informatique gérée par les produits Microsoft, à savoir Windows. Tant pis pour eux !

avatar rikki finefleur | 

Pour répondre cela je crois que tu n'as rien compris.
Et ceux qui ont fait le choix de la pomme et qui se font rançonner tu l'expliques comment ???
Tous les OS ont des failles connues ou pas.

Et dans le cas présent, en plus, les sociétés utilisaient un soft qui n'était plus maintenu depuis des années.
Tu me diras le temps que la pomme maintient ces OS, par exemple par rapport à MS. Il y a un gouffre entre les deux.

C'est pas une histoire de chapelle, mais de moyens donnés aux systèmes informatiques dans les sociétés et les budgets en baisse d'année en année, car si cela marche l'année précédente , pourquoi est ce que cela ne continuerait en nous coûtant encore moins cher pur cette année ?
Vue court termiste = désastre en cours..

Que l'on nomme déjà de vrais directeurs informatiques et non pas des hommes faisant uniquement du budget sur excel ou des lanceurs de sous traitance.

avatar agapimou1 | 

@rikki finefleur

Dans le cas présent, il ne s'agit pas d'un virus qui vise macOS mais Windows.

macOS est comme Windows un système connu des hackers. Safari tombe chaque année au concours organisé par Google.

"Que l'on nomme déjà de vrais directeurs informatiques et non pas des hommes faisant uniquement du budget sur excel ou des lanceurs de sous traitance."

C'est exactement le cas dans mon entreprise, c'est le DAF qui fait des plans sur la comète sur Excel qui gère l'Informatique !

Beaucoup d'utilisateurs veulent des jouets graphiques aujourd'hui peu importe si cela pose des problèmes de sécurité. Ils veulent s'amuser sur Excel, faire de la BI etc...

Nous avons eu un responsable informatique diplômé et expérimenté mais on ne lui donnait pas de gros moyens financiers pour développer l'outil informatique. Il achetait toujours les produits les moins chers faute de moyens. Aujourd'hui c'est un DAF qui n'a jamais eu de cours d'informatique durant son cursus scolaire, il se forme en permanence et décide de l'orientation de l'outil informatique. Il veut du Windows ! Il pense que Windows c'est moderne et que IBM c'est le passé...

avatar rikki finefleur | 

agapimou1
Oui c'est un peu partout pareil concernant les daf / DSI.

Tiens je viens de téléphoner à un ami qui bosse en tant qu'admin BO et cie dans grosse boite d'assurance.
Ben ils veulent délocaliser leur info en Roumanie.
3 bouts de ficelles. Un bout par ci , un bout par là.

Concernant IBM je crois qu'ils ont quitté montpellier d'ailleurs.. pour aller en Pologne ou en tchequie (je suis pas sur de la destination). On avait des serveurs hébergés chez eux.. mais comme j'ai quitté la boite, je ne connais pas la suite.

Pour finir je le sais que c'est une faille dans windows XP, mais moi je parlais de la sécurité en général et surtout de gens qui disent , moi j'ai tel OS donc pas de pb = Pas de précaution.
Et cela on l'entend souvent malheureusement.

avatar cecemf | 

Bravo surtout au équipe informatique de chaque entreprise qui savent pas mettre les ordi à jours. C'est pas compliqué quand même !

avatar fte | 

@cecemf

C'est quoi ton job ? C'est sûrement pas compliqué.

avatar RyDroid | 

Certains logiciels ne marchent pas avec une version encore mise-à-jour de Windows ou WINE. De plus, pour Windows, cela nécessite un budget. Néanmoins, le risque aura probablement pu dans bien des cas être réduits avec de la virtualisation, des proxys, une vision à long terme des logiciels, l'usage de logiciels libres (qui ne rendent pas dépendant d'un seul fournisseur), etc.

Pages

CONNEXION UTILISATEUR