---

Informations importantes sur le ransomware WannaCry

Le vendredi 12 mai 2017, une cyberattaque d’envergure mondiale a été lancée. En quelques jours seulement, elle a infecté plus de 230'000 ordinateurs dans 150 pays, dont parmi les victimes des hôpitaux, des gouvernements et des grandes entreprises dont les chaînes de production ont été touchées. Son vecteur d’attaque, le logiciel nommé « WannaCry » (ou encore WanaCrypt0r 2.0, WannaCrypt) qui fait partie de la famille des ransomwares est propagé par e-mail, mais se répand également de façon autonome vers les systèmes Windows (toutes les versions de Windows XP à Windows 8 et Windows Server 2003, 2008 et 2012) qui ne sont pas à jour (patch Microsoft MS17-010 de mars 2017), ce qui le place également dans la famille des vers. Les machines touchées infectent, quant à elles, d’autres machines et la propagation devient exponentielle.

Le malware tire avantage d’un code exploitant une vulnérabilité 0day nommé « EternalBlue » et appartenant à l’origine à la National Security Agency des Etats-Unis d’Amérique (NSA). Le programme (considéré par les experts comme une cyber-arme) leur a été dérobé en 2016 par un groupe de hackers nommé « The Shadow Brokers », puis publié publiquement en ligne avec une multitudes d’autres outils et codes d’exploitation de 0days (le terme 0day désigne une vulnérabilité qui n’est pas encore connue du grand public). C’est cette méthode de propagation inhabituelle pour un logiciel malveillant de cette famille qui rend « WannaCry » beaucoup plus virulent que les ransomwares lancés par le passé.

---

Dans les jours à venir

Le ransomware WannaCry continue de se propager et des nouvelles versions et variantes apparaissent. Il est probable que ce ne soit que le début d’une cyberattaque globale sans précédent. La seule façon de s’en protéger est d’appliquer les mises à jour fournies par Microsoft et d’avoir des sauvegardes prêtes à l’emploi et déconnectées du reste du parc informatique. Il ne faut évidemment pas sous-estimer la méthode de propagation traditionnelle qui est le courrier électronique.

Nous comptons actuellement plus de 1'500'000 machines dans le monde ayant un service SMB (dont une partie encore vulnérable) ouvert sur Internet, dont plus de 2800 machines en Suisse, et ce n’est que la partie émergée de l’iceberg. Les entreprises possèdent la majorité de leurs serveurs de ce type à l’intérieur de leur réseau, ce qui signifie qu’ils ne sont pas atteignables depuis Internet, mais le risque d’infection par le vecteur du courrier électronique est toujours présent. Un poste de travail touché par WannaCrypt infecterait potentiellement tous les serveurs Windows vulnérables dans l’entreprise, créant ainsi une interruption des services fournis par ces serveurs, pouvant générer des pertes.

 

---

Que faire ?

1) Installer les mises à jour Microsoft sur votre ordinateur
2) Contrôler les sauvegardes et toujours avoir des sauvegardes hors site
3) Informer vos collègues sur la dangerosité de ce virus afin qu'ils soient vigilants avec les courriers électroniques

Que peut faire Infosynergie ?

Nous pouvons installer les patchs de sécurité sur vos serveurs et contrôler l'état de vos sauvegardes. Nous pouvons également mettre en service des sauvegardes externalisées.

Pour cela, il vous suffit de nous envoyer un e-mail à info@infosynergie.ch. Nous vous ferons un compte rendu de la situation de votre société par rapport à ce type de virus et qu'elles sont les améliorations nécessaires à apporter.

Nous sommes à votre disposition pour toutes vos questions.

Votre équipe Infosynergie

Infosynergie SA
Rte André-Piller 21
1862 Givisiez

T 026 460 8000
F 026 460 8009

info@infosynergie.ch
www.infosynergie.ch