Discussion :

[Coriolan]

Le ransomware WannaCrypt a rapporté 80 000 dollars à ses auteurs
Le collectif Résistance Cyber appelle à revoir le modèle de sécurité en France

Vendredi dernier, le ransomware WannaCrypt s’est propagé dans le monde affectant les entreprises, les gouvernements et les particuliers. Cette souche de ransomware causée par un exploit découvert par la NSA a infecté plus de 300 000 ordinateurs dans plus de 150 pays. Le ransomware WannaCrypt (ou Wcry, WanaCry, WanaCrypt, Wanna Decryptor) exige 300 $ en bitcoins pour le déverrouillage des fichiers qu’il a chiffrés, une rançon qui double après trois jours. Les utilisateurs sont également menacés de voir tous leurs fichiers supprimés en permanence si la rançon n'est pas payée dans l’intervalle d’une semaine.

Malgré l’ampleur de l’attaque, WCry n’a rapporté que 20 000 dollars en rançons payées par les victimes durant le weekend. Mais à partir du lundi, les paiements ont augmenté pour atteindre 80 000 dollars depuis le 12 mai, jour du début de l’attaque. Jusqu’à présent, 288 paiements ont été envoyés aux portefeuilles liés au code du malware.

En jetant un coup d’œil sur l’historique des paiements de chaque portefeuille, on se rend compte que les transactions individuelles vont de 0,16 à 0,34 Bitcoin (environ 300 et 600 dollars), avec l’accroissement des paiements d’une valeur plus grande avec le temps. Il faudrait aussi savoir que le prix du bitcoin a considérablement augmenté la semaine dernière, ce qui a affecté la valeur des paiements envoyés par les victimes.

Selon des chercheurs de Symantec Security Response, le traçage des transactions aurait été difficile sans un bogue dans le code du malware destiné à assigner un portefeuille bitcoin individuel pour chaque victime. À cause de ce bogue, les trois portefeuilles ont été assignés par défaut, ce qui laisse suggérer que WCry n’a pas été testé entièrement avant sa propagation.

Savoir combien génère WannaCry en temps réel

Rançons payées par les victimes de WCry depuis le début de l'attaque

Le ransomware WannaCry constitue la cyberattaque la plus réussie et aussi la plus dévastatrice enregistrée durant ces dernières années, et ce malgré le fait qu’elle a été mal exécutée.

En raison de l’ampleur de l’attaque, certains seraient tentés de savoir combien a généré le ransomware en paiements de rançons. Elliptic surveille actuellement la balance des trois adresses Bitcoin associées au ransomware Wannacry. Les données sont mises à jour toutes les 30 secondes. Vous pouvez voir les résultats ici, jusqu’à présent, le ransomware a généré près de 80 000 dollars.

Un jeune chercheur de sécurité anglais stoppe accidentellement WannaCry

Un jeune anglais, devenu un héros national, est parvenu à stopper la propagation rapide de WannaCry après avoir analysé le code source du ransomware. En effet, le chercheur de sécurité a découvert une mesure d’urgence “kill switch” pour ralentir les infections et les dégâts causés par le rançongiciel.

La méthode du jeune anglais, qu’il a découverte par hasard a consisté à enregistrer une adresse web, qui a aussitôt stoppé la propagation du malware. La raison est simple, les auteurs du malware ont implémenté un frein d’urgence dans le code, qui fait que WCry essaie d’établir une connexion avec un site web non enregistré. MalwareTech (pseudonyme Twitter du jeune anglais) a vite remarqué ça et a entrepris d’enregistrer le nom de domaine en question (en l’occurrence : iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com). Aussitôt, le ransomware cessa de se propager les fichiers ne furent plus pris en otages sur les ordinateurs contaminés. Cette erreur de la part des pirates laisse présager que WCry était encore en phase de développement avant son lancement précoce.

Il n’en reste pas moins que grâce à sa découverte, MalwareTech est devenu un héros malgré lui et a reçu l’éloge des médias qui ont tenté de dévoiler sa véritable identité. Pour le remercier de son acte, l’initiative HackerOne, qui est une plateforme qui connecte les entreprises et les chercheurs de sécurité, a offert une récompense de 10 000 dollars au chercheur. Cette somme, le jeune hacker ne compte pas la garder pour lui, en effet, il a fait savoir sur son Twitter qu’il compte la diviser entre des organismes de bienfaisance et d’éducation. « Par éducation, je veux dire que je prévois d’acheter des livres basés sur la sécurité informatique pour les donner aux étudiants qui ne peuvent pas se le permettre », précise-t-il.

En revanche, il ne compte partager avec personne une autre récompense offerte par Just Eat, l’équivalent britannique d’Alloresto. MalwareTech aura droit à un an de pizzas gratuites en guise de remerciements pour son exploit.

Résistance Cyber : un collectif pour revoir le modèle de sécurité des entreprises en France

Si l’attaque de WCry a été jugée comme étant basique par certains experts, sa propagation rapide nous pousse à nous poser des questions sur l’état de santé des dispositifs de sécurité des entreprises et des organisations touchées, surtout que le ransomware s’appuie sur des failles de sécurité existantes depuis mars 2017. Des entreprises comme Renault ont dû carrément suspendre leur production après que leur équipement industriel a été infecté.

Pire encore, cette attaque aurait été beaucoup plus dévastatrice si elle avait touché des infrastructures beaucoup plus sensibles comme les aéroports, les contrôles aériens, les gares et les centrales nucléaires. S’il est vrai que le chercheur anglais est parvenu à ralentir l’attaque après deux jours, les chercheurs et les experts de sécurité eux ne sont pas rassurés et pensent que cette attaque n’est que la prémisse d’une opération de plus grande envergure.

Pour cette raison, le collectif Résistance Cyber, qui regroupe des spécialistes français en sécurité informatique, vient de voir le jour. Ensemble, ces experts veulent forcer le changement dans la sécurité informatique et revoir le modèle de sécurité des entreprises en France.

« Nous avons laissé la main aux professionnels de l’attaque par notre conservatisme et nos doctrines défensives dépassées et des entreprises de sécurité obnubilées par des intérêts économiques maintenant d’un autre âge », a écrit le collectif. « Les nouvelles techniques d’attaque utilisent des méthodes de dissimulation contre lesquelles une doctrine de protection périmétrique ne peut rien. Les solutions sont simples, mais les outils obsolètes... Des outils dépassés (1), des attaques ciblées (2), des alertes en trop grand nombre (3) constituent les trois éléments qui font que les entreprises seront de plus en plus dépassées et attaquées. »

Le collectif veut inciter les entreprises à revoir leur système de maintenance du parc informatique et adopter une approche préventive qui consiste à mettre à jour chaque machine de façon automatique ou le plus tôt possible.

Sans ces mesures, Résistance Cyber pense que d’autres attaques informatiques feront plus de dégâts et continueront à se développer en raison de trois enjeux économiques :

• la professionnalisation des attaquants qui perçoivent des revenus substantiels en volant ou bloquant des entreprises ;
• la récupération de données personnelles ou d’entreprises constitue le moteur de la guerre économique que se livrent les grands groupes numériques. Quand un produit est gratuit, c’est que « vous êtes le produit ». En substance, l’enjeu se trouve être la collecte de données pouvant être valorisées. Les pirates l’ont, eux, bien compris ;
• le manque de moyens et de ressources des entreprises qui doivent faire face aux enjeux de la transition numérique et voient arriver de nouveaux risques inconnus ! Particulièrement dans les secteurs à risques (santé, industrie, finance et assurances) et les startups/TPE/PME.

Source : Global Security Mag - Elliptic

Et vous ?

Pensez-vous qu'il y a un réel besoin de revoir les dispositifs de sécurité des entreprises en France ?

Voir aussi :

Ransomware WannaCrypt : Microsoft publie en urgence des Maj de sécurité pour ses OS, XP reçoit ainsi son premier patch en trois ans
WannaCrypt : Microsoft rappelle aux utilisateurs l'importance de mettre à jour leurs systèmes et aux gouvernements leurs responsabilités
WannaCrypt : Poutine blâme les services de renseignement des États-Unis et dément toute implication russe

[Christophe]

Pour se protéger de ce genre d'attaque ou du moins limiter les risques, bien évidemment en dehors de l'aspect sauvegarde qui est primordial, je vous proposes

cryptoprevent
version gratuite ou payante, à vous de choisir selon les options.

Je vous invites également à vous pencher sur l'option de sandboxing d'avast (en version payante). D'autres antivirus proposent certainement cette option.

[mh-cbon]

...ont implémenté un frein d’urgence dans le code, qui fait que WCry essaie d’établir une connexion avec un site web non enregistré. ...Cette erreur de la part des pirates...

Pourquoi supputé que c'est forcément une erreur ?
Un chapeau blanc aurait bien pu vouloir faire le travail que des milliers de paroliers n'ont réussit à faire,
patcher ces ***** de détritus en ligne et donner une leçon aux utilisateurs.

La somme demandé est importante (pour un particulier), mais pas extraordinaire.
Elle laisse le temps de s'interroger.

Faudrait voir si il y a des études entre la valeur des demandes de rançon et la rentabilité des hacks.

Je m’étonne du terrain d'infection
https://intel.malwaretech.com/botnet/wcrypt

xinhua en dit autre chose
https://www.theregister.co.uk/2017/0...ypt_hit_china/
http://news.xinhuanet.com/english/20..._136285707.htm

Peut être une histoire de gfw.

En ce qui concerne la Chine,
je notes que lorsque le gouvernement est en galère,
il fait plier les acteurs du marché qui réagissent au quart de tour.
Et nous en France on regarde ce qu'il se passe de l'autre côté de l'atlantique,
comme des laquais, la 25ieme route du carrosse.

Par ailleurs, la france championne du monde de l"eau chaude ? plausible, on avait edf avant.

> Le collectif veut inciter les entreprises à revoir leur système de maintenance du parc informatique et adopter une approche préventive qui consiste à mettre à jour chaque machine de façon automatique ou le plus tôt possible.

quoi qu'il en soit heureusement que france télécom (temps ancien...) ne détient plus (activement*) wanadoo =) Quel bouze c'eut été pour l'image de marque

** je ne fais pas dans le détail ici.

[Andarus]

Pourquoi supputer que c'est forcément une erreur ?

La réponse dans un webcomics

[Tristan107]

J'ai lu plein d'articles sur ce sujet, mais je n'ai toujours pas compris si seules les entreprises qui n'ont pas appliqué le patch de mars sont infectées, ou bien si le patch a été contourné.

[nirgal76]

J'ai lu plein d'articles sur ce sujet, mais je n'ai toujours pas compris si seules les entreprises qui n'ont pas appliqué le patch de mars sont infectées, ou bien si le patch a été contourné.

Patché ou pas, si les gens n'ouvraient pas n'importe quel mail et pièce jointe, ça n'arriverait pas, c'est un gros problème d'éducation informatique.

[Marco46]

Patché ou pas, si les gens n'ouvraient pas n'importe quel mail et pièce jointe, ça n'arriverait pas, c'est un gros problème d'éducation informatique.

C'est un des axes de réflexions de cette affaire.

Il y en a 2 autres :

- les effets pervers de laisser les agences de renseignement faire de la merde sans aucun contrôle extérieur.
- l'éducation des dirigeants d'entreprises sur l'importance d'attribuer les budgets / priorités opérationnelles nécessaires aux admins sys / devops pour leur permettre de faire leur taf.

Voilà, du côté des méchants rien de bien neuf sinon l'ampleur de l'attaque.

[hotcryx]

La question que je me pose: "comment est-il possible qu'il y ait toujours autant de trous de sécurité depuis le temps que cet OS/soft existe?"

Normalement, quand c'est corrigé ça devrait drastiquement réduire les problèmes.

[sergio_is_back]

Il faut mettre en parallèle cette attaque et les dernières annonces de Microsoft qui entend déployer ses IA sur tous les supports disponibles
pour soit disant rendre le monde plus "sur"... Qu'arrivera t-il lorsque des hackers prendront le contrôle d'une ou de plusieurs IA pour plus
simplement fausseront les informations à partir desquelles cette IA prend des décisions (en bref de la désinformation informatique) ???

[hotcryx]

Curieusement ils n'ont pas encore trouvé qui se faisait des millions sur notre dos!

Pas étonnant que Trump ait viré le boss du FBI.

[Invité]

Patché ou pas, si les gens n'ouvraient pas n'importe quel mail et pièce jointe, ça n'arriverait pas, c'est un gros problème d'éducation informatique.

Dans ce cas précis, il s'agirait plutôt d'une diffusion via EternalBlue
Bien sûr, ça n'empêche pas les problèmes liés à l'insouciance face aux pièces jointes, la plus grosse faille de sécurité restant l'utilisateur qui ne sait pas précisément ce qu'il fait.

[SkyZoThreaD]

J'ai lu plein d'articles sur ce sujet, mais je n'ai toujours pas compris si seules les entreprises qui n'ont pas appliqué le patch de mars sont infectées, ou bien si le patch a été contourné.

Bien que nirgal76 n'ait pas tord, il ne répond pas à la question
Le patch n'est pas contourné. Il semble que crosoft n'avait pas poussé ce patch sur toutes les versions de windows. Maintenant que c'est fait, les machines patchées devraient être safe.

[Rokhn]

Bien que nirgal76 n'ait pas tord, il ne répond pas à la question
Le patch n'est pas contourné. Il semble que crosoft n'avait pas poussé ce patch sur toutes les versions de windows. Maintenant que c'est fait, les machines patchées devraient être safe.

Ouaip crosoft n'avait pas fait les patchs pour les OS "officiellement" non supportés. Mais vu l'ampleur des dégâts, ils ont poussés les patchs pour XP et Serv2K3.

On peut voir que l'attaque de l'année dernière n'a pas fait assez de bruits vu l'impact de celle-ci. Un patch, pour les machines récentes, publié il y a 2 mois de cela... Pas de sauvegardes pour la plus part des services touchés et des utilisateurs ouvrant toutes les pièces jointes, et vous avez un ransomware/worm qui fait des ravages !

[mh-cbon]

lol : ) tous ces Responsables me font doucement rigoler avec leurs trois pièces.
Ils sont assis sur une bombe qui vas leurs péter à la tête.

Faut y penser deux secondes, une vaste majorité des systèmes déployés
le sont en utilisant des pièces logiciels construites
avec des outils d'un temps ancien où les failles étaient monnaies courantes.
Certains dirait structurelle, c'est dire à quel point c'était inadapté.

Pris dans ses propres contradictions capitalistique,
son désir de laisser fairisme, sa hargne pour le capital,
le bougre à laissé se développer une situation
qui ne fait que se révéler pire d'année en année.

L O L, qu'ils s’étouffent avec leurs cravates

M'enfin pour le fun faut pousser plus loin la logique,
c'est parce que le monde informatique c'est standardisé n'importe comment,
à la manière de l'omc ou de l'ue qui standardise nos vies,
que le fléau du cracking à pu prendre une ampleur suffisante
pour que n'importe qui puisse en faire un business viable
dans une démarche totalement capitaliste.

Je m'en vrille les neurones tellement je trouve tout cela fendard.

[devman1]

Aujourd'hui Microsoft veut embarquer des systèmes linux sous windows, afin de faire passer des utilisateurs des deux systèmes sous windows. J'espère que des situations comme celle-ci vont révéler au grand jour le problème des licences propriétaires pour les entreprises, les mastodontes comme Microsoft abandonne les versions des systèmes afin de forcer les clients à migrer vers des nouvelles versions qui demande encore des investissements colossaux pour se mettre à niveau.

[Marco46]

Aujourd'hui Microsoft veut embarquer des systèmes linux sous windows, afin de faire passer des utilisateurs des deux systèmes sous windows. J'espère que des situations comme celle-ci vont révéler au grand jour le problème des licences propriétaires pour les entreprises

Je suis pas un fanboy de Microsoft, mon avatar devrait suffire à le comprendre, mais là franchement accuser Microsoft c'est un peu gros.

Les mecs préviennent des années à l'avance avant de décommissionner le support sur une version obsolète, et même là, alors qu'ils n'ont aucune obligation légale de faire quoi que ce soit, ils ont publié il y a 2 mois un correctif sur des versions qu'ils ne supportent plus de puis des années.

2 mois sur une vulnérabilité aussi critique c'est mathusalem.

Le problème c'est l'administration de parcs obsolètes et le sous dimensionnement des budgets liés à la sécurité informatique et à l'administration des systèmes. Il est là le problème. Microsoft n'a pour le coup pas grand chose à se reprocher je trouve ...

Je ne vois pas non plus le rapport avec la licence sur le code source.

les mastodontes comme Microsoft abandonne les versions des systèmes afin de forcer les clients à migrer vers des nouvelles versions qui demande encore des investissements colossaux pour se mettre à niveau.

Non. Quiconque a eu à gérer une application dans la durée sait que ce n'est pas viable de chercher à maintenir un support sur toutes les versions publiées. C'est juste ingérable. C'est au client de se tenir à jour. Microsoft laisse suffisamment de temps pour effectuer des migrations.

[MikeRowSoft]

Le problème c'est l'administration de parcs obsolètes et le sous dimensionnement des budgets liés à la sécurité informatique et à l'administration des systèmes. Il est là le problème. Microsoft n'a pour le coup pas grand chose à se reprocher je trouve ...

D'accord sur se point.
Surtout le coté Microsoft Windows 10 qui permet à un autre poste Windows 10 de se mettre à jour sur simple "accord" sans passer par les serveurs Internet de "Microsoft.com"...
Le modèle des dépôts Linux a vraiment une petite avance sur le projet final.

Pour l'instant, aucun ingénieur déploiement se prononce... Unification des dépôts ? Ce n'est pas moins de distributions Linux, mais peut-être beaucoup moins "d'optimisation" propriétaire (le minimum étant le design).

Vraiment ambitieux le projet "plus d'obsolète".

[Stéphane le calme]

WannaCrypt : Microsoft rappelle aux utilisateurs l'importance de mettre à jour leurs systèmes,
et aux gouvernements leurs responsabilités dans ces types d'attaques

En commençant d'abord au Royaume-Uni et en Espagne, le logiciel malveillant baptisé WannaCrypt s'est rapidement répandu dans les systèmes d’informations de nombreux autres pays, empêchant les utilisateurs d’avoir accès à leurs données à moins qu’ils n’aient payé une rançon en bitcoins de 300 dollars.

Pour faciliter sa diffusion, les pirates se sont appuyés sur un exploit, au nom de code EternalBlue, utilisé par la NSA qui a été diffusé récemment et qui s’appuie sur une faille dans le service Windows Server Message Block (SMB), sur lequel les ordinateurs Windows comptent pour partager des fichiers et des imprimantes sur un réseau local.

Microsoft assure avoir colmaté cette faille le 14 mars dernier avec une mise à jour de sécurité. L’Américain note que bien que ces systèmes et ordinateurs Windows plus récents protégés aient permis à Windows Update d'appliquer cette dernière mise à jour, nombreux sont les ordinateurs qui ne l’ont pas appliquée à l'échelle mondiale. En conséquence, les hôpitaux, les entreprises, les gouvernements et les ordinateurs dans les maisons ont été touchés.

Face à la propagation de l’attaque, Microsoft a dû réagir et a fourni à Windows XP son premier correctif de sécurité en trois ans. Windows 8 et Windows Server 2003 ont eux aussi eu droit à un correctif de sécurité.

Brad Smith, qui est le juriste en chef de Microsoft, n’a pas manqué de souligner que cette attaque démontre dans quelle mesure la cybersécurité est devenue une responsabilité partagée entre les entreprises technologiques et les clients : « Le fait que tant d'ordinateurs sont restés vulnérables deux mois après la publication d'un patch illustre cet aspect. À mesure que les cybercriminels deviennent plus sophistiqués, il n'y a aucun moyen pour les clients de se protéger contre les menaces à moins qu'ils ne mettent à jour leurs systèmes. Sinon, ils luttent littéralement contre les problèmes du présent avec des outils du passé. Cette attaque est un rappel puissant que les bases de la technologie de l'information comme garder les ordinateurs à jour et patchés sont une responsabilité élevée pour tous ».

Il en a également appelé à la responsabilité de l’État : « Cette attaque fournit un autre exemple de la raison pour laquelle le stockage des vulnérabilités par les gouvernements est un problème. Il s'agit d'un modèle émergent en 2017. Nous avons vu des vulnérabilités stockées par la CIA apparaître sur WikiLeaks, et maintenant cette vulnérabilité volée de la NSA a touché des clients à travers le monde. À plusieurs reprises, les exploits entre les mains des gouvernements se sont répandus dans le domaine public et ont causé des dégâts répandus. Un scénario équivalent avec des armes conventionnelles serait l'armée américaine dont certains de ses missiles Tomahawk sont volés. Et cette attaque la plus récente représente un lien complètement involontaire, mais déconcertant entre les deux formes les plus sérieuses de menaces de la cybersécurité dans le monde d'aujourd'hui : l'action de l'État-nation et l'action criminelle organisée. »

Pour lui, les gouvernements du monde devraient considérer cette attaque comme un réveil : ils devraient adopter une approche différente et adhérer dans le cyberespace aux mêmes règles appliquées aux armes dans le monde physique. « Nous avons besoin que les gouvernements envisagent les dommages causés aux civils par l'accumulation de ces vulnérabilités et l'utilisation de ces exploits. C'est une des raisons pour lesquelles nous avons appelé en février une nouvelle “Convention Numérique de Genève” qui régit ces problèmes, y compris une nouvelle exigence pour les gouvernements de signaler les vulnérabilités aux vendeurs plutôt que de les stocker, de les vendre ou de les exploiter. Et c'est pourquoi nous avons promis notre soutien pour défendre chaque client partout dans le monde face aux cyberattaques, indépendamment de leur nationalité. Ce week-end, que ce soit à Londres, à New York, à Moscou, à Delhi, à Sao Paulo ou à Pékin, nous mettons ce principe en action et en travaillant avec des clients à travers le monde ».

Source : Microsoft

[marsupial]

Pour info je suis expert en cybersécurité. Windows XP à bon dos. Le problème c'est que sur le NET n'importe quel individu sans connaissances pointues sur le sujet peut trouver le moyen de lancer une attaque d'envergure vers les sites insuffisamment protégés. Les politiques ne connaissent rien sur le sujet , les chefs d'entreprises non plus et que dire des élus locaux ou territoriaux que je côtoie à longueur d'année et qui me prennent pour un extra-terrestre....
6 millions de chômeurs et on n'est pas fichu de former quelques milliers d'ingénieurs en cybersécurité.. Cherchez l'erreur . Mettre en cause les responsables informatiques, c'est mettre en cause les personnes qui les ont embauchés. Soit on est compétent , soit on ne l'est pas. Et on abouti à ce genre de résultat.

A force de vendre du troué pour du safe et de passer la sécurité au dernier plan...

Excellente nouvelle que la propagation soit circonscrite d'une part.
D'autre part, j'espère que cet évènement fera prendre conscience, non seulement aux Direction mais aussi et surtout en haut lieu, plus que le botnet Mirai, de la nécessité d'une action mieux coordonnée sur le sujet de la sécurité. Le G7 s'est réuni ce jour samedi 13 mai 2017 à ce sujet.
Espérons qu'ils comprendront et trouveront un accord sur les portes dérobées dans les logiciels. Je pense notamment à l'algoritme de chiffrement dans le cadre des affaires de terrorisme et/ou de criminalité : une porte dérobée serait une hérésie en terme de sécurité et inutile pour l'objectif qu'il permettrait intuitivement d'atteindre.

[Marco46]

@marsupial

tu as cité quel post au juste ?