Comme vous le savez probablement tous, un ramsomware a bénéficié d’une faille de l’OS Windows afin d’infecter plusieurs milliers d’appareils depuis vendredi soir. Revenons sur les premiers éléments de réponse concernant cette attaque massive.

Qu’est-ce qu’un ramsomware ?

Avant de rentrer dans les détails de cette infection, revenons d’abord sur ce qu’est un ramsomware. Il s’agit d’un malware, soit un logiciel malveillant, qui s’installe sur votre ordinateur via un mail. La pratique couramment utilisée consiste à présenter cet email comme étant inoffensif, se faisant passer pour l’un de vos contacts vous invitant à ouvrir une pièce jointe qui contient le logiciel malveillant. C’est ce qu’on appelle le phishing.

ramsonwareUne fois ouvert, le logiciel va chiffrer tout le contenu de votre ordinateur (avis aux divers journalistes des grands médias : arrêtez de dire CRYPTER, j’ai eu une poussée de crise d’urticaire tout le week-end à cause de vous) et ensuite, il vous réclamera une rançon, allant de plusieurs centaines jusqu’à plusieurs milliers d’euros.

Le cas WannaCrypt

Concernant le cas WannaCrypt il en existe plusieurs variantes. Il a été détecté pour la première fois au mois de février dernier. Ce qui change ici par rapport à un ramsomware classique, c’est que les pirates ont intégré un cheval de troie à WannaCrypt, ce qui empêche de procéder à la récupération des fichiers de Windows. De plus, il a la faculté de se répliquer grâce à une faille de sécurité de toutes les versions antérieures à Windows 10. Vous voilà donc condamné soit à payer (sans avoir la certitude de récupérer l’accès à vos fichiers), soit à formater votre disque dur neuf ayant bel et bien perdu toutes vos données.

C’est ainsi que plus d’une centaines de pays ont été touchés. On dénombre parmi les victimes le constructeur Renault, des gares, des hôpitaux ou encore des universités.

La responsabilité de la NSA

L’élément légèrement ironique de la situation, c’est que cette faille était connue et utilisée par la NSA depuis de nombreuses années. Cette faille a été rendue publique à cause de la fuite des données des outils de la NSA. Voilà pourquoi elle est désormais connue des pirates du monde entier. Failles dont Microsoft n’a jamais entendu parler.

Que faire si on est infecté et comment s’en prémunir ?

Si vous avez déjà été infectés, la réponse va être simple : vous ne pouvez strictement rien faire, à part formater votre disque dur et désactiver immédiatement votre réseau, sinon il infectera les autres machines connectées. Penser toujours à faire plusieurs sauvegardes de vos données, il est aisé aujourd’hui d’en faire facilement.

Pour les chanceux qui n’ont pas encore été infectés, si vous êtes sur Windows 10, vous ne craignez rien. Pour les autres, mettez immédiatement à jour votre OS. Microsoft a publié en urgence un patch afin de combler cette faille de sécurité. Cliquez ci-dessous sur les liens en fonction de votre système d’exploitation :

Afin de vous prémunir des futures fuites (car oui, il y en aura d’autres) :

  • Passez à Windows 10 si vous le pouvez
  • Faites les mises à jours de sécurité via Windows Update
  • désactivez le SMB de Windows
  • si vous avez un doute sur l’un de vos emails, ne cliquez jamais dessus et supprimez-le immédiatement de votre boite mail.

Une attaque qui en appelle d’autres

Avec les outils de la NSA dans la nature, la responsabilité de l’organisme américain est importante. Cependant, je pense que n’importe quel service secret aurait gardé ces informations confidentielles. Malgré tout, la NSA n’est pas la seule à endosser la responsabilité.Il faut également chercher du côté des entreprises et des particuliers. Certes, les particuliers n’ont pas toujours la connaissance nécessaire et les entreprises, pas envie d’investir plusieurs (centaines) de milliers d’euros dans le renouvellement de leur parc informatique. Mais regardez le résultat ! Plus de 3 000 employés n’ont pas pu travailler aujourd’hui à Renault Douai. Quid de l’impact sur la santé des patients dans les hôpitaux concernés ? Les particuliers pas très geek doivent comprendre que nos différentes machines ont des failles. Que des mises à jour doivent être faites et adopter un comportement responsable. Cette remarque vaut à la fois pour la sécurité, tout comme pour la protection de la vie privée. J’en profite pour le dire aux nouveaux parents : arrêtez de publier 25 000 photos de vos enfants ! On le sait, certaines de vos publications se retrouvent sur des réseaux pédophiles. Laissez votre progéniture gérer eux-mêmes leur image, quand il seront en âge de le faire.

Cette attaque est un rappel à l’ordre également pour chaque pays. L’Etat va devoir prendre ce problème à bras-le-corps et faire connaitre à l’ensemble de la population les bons comportement à avoir. Je suis d’ailleurs surpris qu’aucun des services du pays n’ait été infecté. Certes, vous me direz que l’Etat prend la sécurité au sérieux avec la future cyberarmée qui verra le jour prochainement. Mais ce n’est pas suffisant.

Gageons que notre nouveau président et son gouvernement sauront prendre ceci en considération.
Aujourd’hui, des entreprises et des particuliers ont été touchés. Qu’arrivera t-il si des pans entiers de l’économie sont infectés ?

Affaire à suivre.