Quand les outils de la NSA *deviennent disponibles pour tous les hackers, toute entreprise peut rapidement être confrontée à un risque majeur.
Adista informe régulièrement ses clients sur le sujet de la sécurité.
L’arrivée sur le marché d’outils de piratage extrêmement performants change totalement la situation. Initiée avec le malware Double Pulsar, poursuivie avec l’arrivée de WannaCry, une nouvelle époque se profile, dont nous devons tous prendre conscience
Comment tout ceci a-t-il été rendu possible ?
Le fait que la NSA ait développé ses propres outils de piratage n’est plus un secret pour personne. Ce qui est nouveau, c’est que ces outils aient été mis à la disposition de tous, par le groupe de hackers «Shadow Brokers »**, après avoir été dérobés à Equation Group, une organisation considérée comme proche de la NSA.
Les cybercriminels ont évidemment visé d’abord les serveurs Windows, les plus répandus, en exploitant une faille de sécurité de Windows Server.
Microsoft avait colmaté ces brèches et apporté certains correctifs, mais la situation prend une ampleur qui n’aura malheureusement été médiatisée qu’à cause de WannaCry, ce malware ayant bloqué des hôpitaux, un constructeur automobile et de nombreuses entreprises dans le monde.
Dès la fin avril, selon les observations de nombreux chercheurs en sécurité informatique, plusieurs dizaines de milliers, voire plusieurs centaines de milliers de serveurs dans le monde auraient été infectés par Double Pulsar. La France n’a pas été épargnée, certains experts évoquent des milliers de serveurs concernés par cette infection dans notre pays.
Ce malware exploitait déjà des failles au sein du protocole SMB utilisé par Windows pour le partage de ressources. Une fois installé sur une machine, celle-ci reste infectée et Double Pulsar est capable de télécharger d’autres modules pour ensuite subtiliser des données, des identifiants, etc…
En réponse à cette attaque, Microsoft a bien corrigé la faille exploitée par ce malware dans son lot de correctifs datant du 14 mars. Malgré cela, de nombreuses machines sont restées fragilisées face à cette menace.
Mi-mai, c’est WannaCry qui replace les vulnérabilités SMB de Windows au cœur de l’actualité. La force (si on ose cette formule) de WannaCry est qu’il associe la technique d’un ver informatique au ransomware. Ce piège est capable non seulement de crypter les données contenues sur un système vulnérable, mais aussi de se répandre sur le réseau.
Par son ampleur, WannaCry a illustré un nouveau monde, celui où une industrie criminelle (voire un état) utilise la puissance d’outils de piratage conçus par la NSA à des fins de « surveillance ».
La réponse d’Adista face à ce risque.
Les systèmes obsolètes et non mis à jour peuvent se comporter comme des passoires face aux risques. Plus inquiétant maintenant, des systèmes modernes sont également exposés par le biais d’exploits ciblant notamment les services SMB et RDP de Windows. Ces outils visent aussi certaines caméras IP et enregistreurs vidéo.
Adista rappelle à ses clients que l’application du principe de défense en profondeur est une obligation absolue, et insiste sur le fait que certains services ne sont pas capables de se protéger eux-mêmes et ne devraient donc pas être exposés sur internet. Les firewalls, UTM, serveurs d’accès distant et autres proxys sont là pour ça.
Notre réponse s’inscrit naturellement dans la mission de protection des systèmes d’informations nationaux, fédérée par l’ANSSI(***). ADISTA invite d’ailleurs toutes les organisations françaises, clientes ou non, à se référer aux documents publiés par l’ANSSI. En l’occurrence :
Propagation d’un rançongiciel exploitant les vulnérabilités MS17-010
https://www.cert.ssi.gouv.fr/site/CERTFR-2017-ALE-010/CERTFR-2017-ALE-010.html
Désactivation du protocole SMBv1, opération permettant de contrer l’utilisation des exploits nouvellement diffusés :
https://www.cert.ssi.gouv.fr/site/CERTFR-2017-ACT-019/CERTFR-2017-ACT-019.html
Fuite de codes d’attaques attribués au groupe Equation
https://www.cert.ssi.gouv.fr/site/CERTFR-2017-ACT-016/CERTFR-2017-ACT-016.html
Avec l’arrivée de WannaCry, nous avons au plus vite communiqué de manière large sur les moyens proposés par Microsoft pour combler les vulnérabilités des systèmes Windows et Windows Server :
- En mettant à jour sans délai ces systèmes. Un bulletin de sécurité concernant cette vulnérabilité SMB des systèmes Windows est disponible à cette adresse, avec les mises à jour associées à chaque OS.
- En rappelant la mise à disposition exceptionnelle de mises à jour pour les systèmes arrivés en fin de support.
Concernant les systèmes hébergés dans nos Datacenter, nous avons décidé de procéder à leur mise à jour, après avoir demandé leur accord à nos clients, certaines interruptions de service étant à prévoir. Et de manière conservatoire, nous avons pris les mesures nécessaires concernant l’accessibilité des ports SMB depuis internet.
Ces sujets doivent devenir une priorité pour les responsables d’entreprise. Et l’arrivée du Règlement Général de Protection des Données va accélérer l’impératif de réflexion, l’information des autorités devenant obligatoire en cas de fuite des données.
