1 pièce(s) jointe(s)
Le ransomware WannaCrypt a rapporté 80 000 dollars à ses auteurs
Le ransomware WannaCrypt a rapporté 80 000 dollars à ses auteurs
Le collectif Résistance Cyber appelle à revoir le modèle de sécurité en France
Vendredi dernier, le ransomware WannaCrypt s’est propagé dans le monde affectant les entreprises, les gouvernements et les particuliers. Cette souche de ransomware causée par un exploit découvert par la NSA a infecté plus de 300 000 ordinateurs dans plus de 150 pays. Le ransomware WannaCrypt (ou Wcry, WanaCry, WanaCrypt, Wanna Decryptor) exige 300 $ en bitcoins pour le déverrouillage des fichiers qu’il a chiffrés, une rançon qui double après trois jours. Les utilisateurs sont également menacés de voir tous leurs fichiers supprimés en permanence si la rançon n'est pas payée dans l’intervalle d’une semaine.
Malgré l’ampleur de l’attaque, WCry n’a rapporté que 20 000 dollars en rançons payées par les victimes durant le weekend. Mais à partir du lundi, les paiements ont augmenté pour atteindre 80 000 dollars depuis le 12 mai, jour du début de l’attaque. Jusqu’à présent, 288 paiements ont été envoyés aux portefeuilles liés au code du malware.
En jetant un coup d’œil sur l’historique des paiements de chaque portefeuille, on se rend compte que les transactions individuelles vont de 0,16 à 0,34 Bitcoin (environ 300 et 600 dollars), avec l’accroissement des paiements d’une valeur plus grande avec le temps. Il faudrait aussi savoir que le prix du bitcoin a considérablement augmenté la semaine dernière, ce qui a affecté la valeur des paiements envoyés par les victimes.
Selon des chercheurs de Symantec Security Response, le traçage des transactions aurait été difficile sans un bogue dans le code du malware destiné à assigner un portefeuille bitcoin individuel pour chaque victime. À cause de ce bogue, les trois portefeuilles ont été assignés par défaut, ce qui laisse suggérer que WCry n’a pas été testé entièrement avant sa propagation.
Savoir combien génère WannaCry en temps réel
Rançons payées par les victimes de WCry depuis le début de l'attaque
Le ransomware WannaCry constitue la cyberattaque la plus réussie et aussi la plus dévastatrice enregistrée durant ces dernières années, et ce malgré le fait qu’elle a été mal exécutée.
En raison de l’ampleur de l’attaque, certains seraient tentés de savoir combien a généré le ransomware en paiements de rançons. Elliptic surveille actuellement la balance des trois adresses Bitcoin associées au ransomware Wannacry. Les données sont mises à jour toutes les 30 secondes. Vous pouvez voir les résultats ici, jusqu’à présent, le ransomware a généré près de 80 000 dollars.
Un jeune chercheur de sécurité anglais stoppe accidentellement WannaCry
Un jeune anglais, devenu un héros national, est parvenu à stopper la propagation rapide de WannaCry après avoir analysé le code source du ransomware. En effet, le chercheur de sécurité a découvert une mesure d’urgence “kill switch” pour ralentir les infections et les dégâts causés par le rançongiciel.
La méthode du jeune anglais, qu’il a découverte par hasard a consisté à enregistrer une adresse web, qui a aussitôt stoppé la propagation du malware. La raison est simple, les auteurs du malware ont implémenté un frein d’urgence dans le code, qui fait que WCry essaie d’établir une connexion avec un site web non enregistré. MalwareTech (pseudonyme Twitter du jeune anglais) a vite remarqué ça et a entrepris d’enregistrer le nom de domaine en question (en l’occurrence : iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com). Aussitôt, le ransomware cessa de se propager les fichiers ne furent plus pris en otages sur les ordinateurs contaminés. Cette erreur de la part des pirates laisse présager que WCry était encore en phase de développement avant son lancement précoce.
Il n’en reste pas moins que grâce à sa découverte, MalwareTech est devenu un héros malgré lui et a reçu l’éloge des médias qui ont tenté de dévoiler sa véritable identité. Pour le remercier de son acte, l’initiative HackerOne, qui est une plateforme qui connecte les entreprises et les chercheurs de sécurité, a offert une récompense de 10 000 dollars au chercheur. Cette somme, le jeune hacker ne compte pas la garder pour lui, en effet, il a fait savoir sur son Twitter qu’il compte la diviser entre des organismes de bienfaisance et d’éducation. « Par éducation, je veux dire que je prévois d’acheter des livres basés sur la sécurité informatique pour les donner aux étudiants qui ne peuvent pas se le permettre », précise-t-il.
En revanche, il ne compte partager avec personne une autre récompense offerte par Just Eat, l’équivalent britannique d’Alloresto. MalwareTech aura droit à un an de pizzas gratuites en guise de remerciements pour son exploit.
Résistance Cyber : un collectif pour revoir le modèle de sécurité des entreprises en France
Si l’attaque de WCry a été jugée comme étant basique par certains experts, sa propagation rapide nous pousse à nous poser des questions sur l’état de santé des dispositifs de sécurité des entreprises et des organisations touchées, surtout que le ransomware s’appuie sur des failles de sécurité existantes depuis mars 2017. Des entreprises comme Renault ont dû carrément suspendre leur production après que leur équipement industriel a été infecté.
Pire encore, cette attaque aurait été beaucoup plus dévastatrice si elle avait touché des infrastructures beaucoup plus sensibles comme les aéroports, les contrôles aériens, les gares et les centrales nucléaires. S’il est vrai que le chercheur anglais est parvenu à ralentir l’attaque après deux jours, les chercheurs et les experts de sécurité eux ne sont pas rassurés et pensent que cette attaque n’est que la prémisse d’une opération de plus grande envergure.
Pour cette raison, le collectif Résistance Cyber, qui regroupe des spécialistes français en sécurité informatique, vient de voir le jour. Ensemble, ces experts veulent forcer le changement dans la sécurité informatique et revoir le modèle de sécurité des entreprises en France.
« Nous avons laissé la main aux professionnels de l’attaque par notre conservatisme et nos doctrines défensives dépassées et des entreprises de sécurité obnubilées par des intérêts économiques maintenant d’un autre âge », a écrit le collectif. « Les nouvelles techniques d’attaque utilisent des méthodes de dissimulation contre lesquelles une doctrine de protection périmétrique ne peut rien. Les solutions sont simples, mais les outils obsolètes... Des outils dépassés (1), des attaques ciblées (2), des alertes en trop grand nombre (3) constituent les trois éléments qui font que les entreprises seront de plus en plus dépassées et attaquées. »
Le collectif veut inciter les entreprises à revoir leur système de maintenance du parc informatique et adopter une approche préventive qui consiste à mettre à jour chaque machine de façon automatique ou le plus tôt possible.
Sans ces mesures, Résistance Cyber pense que d’autres attaques informatiques feront plus de dégâts et continueront à se développer en raison de trois enjeux économiques :
- la professionnalisation des attaquants qui perçoivent des revenus substantiels en volant ou bloquant des entreprises ;
- la récupération de données personnelles ou d’entreprises constitue le moteur de la guerre économique que se livrent les grands groupes numériques. Quand un produit est gratuit, c’est que « vous êtes le produit ». En substance, l’enjeu se trouve être la collecte de données pouvant être valorisées. Les pirates l’ont, eux, bien compris ;
- le manque de moyens et de ressources des entreprises qui doivent faire face aux enjeux de la transition numérique et voient arriver de nouveaux risques inconnus ! Particulièrement dans les secteurs à risques (santé, industrie, finance et assurances) et les startups/TPE/PME.
Source : Global Security Mag - Elliptic
Et vous ?
:fleche: Pensez-vous qu'il y a un réel besoin de revoir les dispositifs de sécurité des entreprises en France ?
Voir aussi :
:fleche: Ransomware WannaCrypt : Microsoft publie en urgence des Maj de sécurité pour ses OS, XP reçoit ainsi son premier patch en trois ans
:fleche: WannaCrypt : Microsoft rappelle aux utilisateurs l'importance de mettre à jour leurs systèmes et aux gouvernements leurs responsabilités
:fleche: WannaCrypt : Poutine blâme les services de renseignement des États-Unis et dément toute implication russe
Craignant la fuite de ses exploits par les Shadow Brokers, la NSA a indiqué à Microsoft une faille critique
Craignant la fuite de ses exploits par les Shadow Brokers, la NSA a indiqué à Microsoft une faille critique
que l'éditeur s'est empressé de corriger
Évoquant d’anciens employés de la NSA qui se sont exprimés sous couvert de l’anonymat à cause de la sensibilité de cette affaire, le Washington Post a affirmé que lorsque la NSA a commencé à utiliser son outil de piratage appelé EternalBlue, ceux qui ont été chargés de le déployer ont été à la fois émerveillés par sa puissance rare, mais ont également redouté le danger que cela pouvait représenter si l’outil venait à être perdu. Certains fonctionnaires se sont même demandé si la faille n’était pas tellement dangereuse qu’il fallait absolument la révéler à Microsoft.
Mais le choix de la NSA a été fait : pendant plus de cinq ans, l’agence de renseignement a continué d’en profiter et désormais les pires inquiétudes de certains agents sont devenues réalité : le ransomware WannaCry, qui a fait des victimes dans des dizaines de pays, s’appuie sur des outils de la NSA. L’attaque s’est propagée tellement vite que Microsoft s’est vue contrainte de publier des correctifs pour des versions de ses systèmes qu’il ne supporte plus. C’est ainsi que Windows XP a pu recevoir son premier correctif en trois ans.
Dans un billet des plus passionnés publié dimanche dernier, Brad Smith, qui est le juriste en chef de Microsoft, n’a pas manqué d’en appeler à la responsabilité de l’État : « Cette attaque fournit un autre exemple de la raison pour laquelle le stockage des vulnérabilités par les gouvernements est un problème. Il s'agit d'un modèle émergent en 2017. Nous avons vu des vulnérabilités stockées par la CIA apparaître sur WikiLeaks, et maintenant cette vulnérabilité volée de la NSA a touché des clients à travers le monde. À plusieurs reprises, les exploits entre les mains des gouvernements se sont répandus dans le domaine public et ont causé des dégâts répandus. Un scénario équivalent avec des armes conventionnelles serait l'armée américaine dont certains de ses missiles Tomahawk sont volés. Et cette attaque la plus récente représente un lien complètement involontaire, mais déconcertant entre les deux formes les plus sérieuses de menaces de la cybersécurité dans le monde d'aujourd'hui : l'action de l'État-nation et l'action criminelle organisée. »
Alors que peu de critiques disent que la NSA ne devrait plus développer de logiciels malveillants, l'incident de WannaCry a relancé les inquiétudes concernant la sécurité interne dans une agence qui, en 2013, a perdu énormément de documents classés secrets au profit de son ancien contractuel Edward Snowden.
« Ils doivent absolument faire un meilleur travail dans la protection des outils de piratage. Vous ne pouvez pas défendre cela », a déclaré l'ancien directeur de la NSA, Keith B. Alexander, qui a dirigé l'agence de 2005 à 2014, mais a déclaré qu'il n’était pas dans la mesure d’émettre un quelconque commentaire sur un outil en particulier parmi ceux que Shadow Brokers a laissé fuiter.
Richard Ledgett, qui a pris sa retraite le mois dernier en tant que directeur adjoint de la NSA, a déclaré que divulguer toutes les failles empilées par l’agence équivaudrait à un « désarmement unilatéral ». Aussi, il a déclaré que « tout irait bien » si la NSA révélait toutes les vulnérabilités qu'elle trouve être « absurdes ».
La NSA, lanceur d'alerte ?
Après avoir appris que certains de ses outils de piratage les plus précieux, parmi lesquels EternalBlue ont été volés par un groupe mystérieux qui s'appelait les Shadow Brokers, l’agence a décidé d’avertir Microsoft. Ce qui a permis à l’entreprise de préparer un correctif de sécurité qui a été diffusé durant le mois de mars. Cependant, les Shadow Brokers ne se sont pas contentés de publier la faille, ce qui aurait demandé aux pirates un certain temps avant de pouvoir développer des outils pour l’exploiter : ils ont publié les exploits utilisés par la NSA. Ce qui implique que même un pirate débutant qui se sert d’eux peut causer des dégâts.
Il y a quelques mois, alors que les Shadow Brokers ont commencé leur campagne de divulgation d’exploits, un ancien haut responsable de l'administration a expliqué que « Dès lors, la valeur du renseignement des exploits a été "dégradée", de sorte qu'il a été décidé que la NSA alerterait tous les fournisseurs concernés. »
« La NSA a identifié un risque et l'a communiqué à Microsoft, qui a publié un correctif immédiat » en mars, a déclaré Mike McNerney, un ancien responsable de la cybersécurité du Pentagone et un membre du Truman National Security Project. Le problème, a-t-il dit, c'est qu’aucun haut fonctionnaire n’a pris l’initiative de crier au monde : « Celui-ci est très sérieux et nous devons nous protéger. »
L'article du Washington Post est le premier à déclarer explicitement que la NSA a été la source qui a alerté Microsoft sur la vulnérabilité corrigée dans le bulletin de sécurité MS17-010 de mars. Mais ce n'est pas une grande surprise : plusieurs éléments de preuve ont amené des spéculations qui ont duré des semaines selon lesquelles la NSA serait la partie divulgatrice.
Le premier élément de preuve était le timing. Le 7 janvier, les Shadow Brokers ont annoncé la vente aux enchères de dizaines d'outils de la NSA, dont un appelé DoublePulsar, une porte dérobée installée par EternalBlue. Cinq semaines plus tard, Microsoft a brusquement annulé la mise à jour programmée de février, citant un problème de dernière minute non divulgué. C'était la première fois que l'entreprise avait annulé un Patch Tuesday. Quatre semaines plus tard, MS17-010 a été publié. Et précisément 28 jours après, les Shadow Brokers ont publié EternalBlue, DoublePulsar et des dizaines d'autres outils de piratage.
Le second élément a été la décision de Microsoft de ne pas nommer la partie qui a signalé les vulnérabilités colmatées dans le bulletin MS17-010. Alors qu’il peut arriver que les bulletins Microsoft omettent de temps à autre de divulguer les parties à l’origine de l’alerte, la plupart d'entre elles sont créditées.
Source : Washington Post