Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

WannaCrypt infecte des milliers de machines, Microsoft patche Windows XP, Server 2003 et 8

Patch day !
Logiciel 3 min
WannaCrypt infecte des milliers de machines, Microsoft patche Windows XP, Server 2003 et 8

Actuellement, un ransomware infecte de très nombreuses machines de par le monde, notamment dans des services vitaux comme des hôpitaux. Si la faille utilisée est corrigée depuis mars, certains ne sont pas à jour. Devant l'urgence de la situation, Microsoft a publié un patch pour d'anciennes versions de Windows.

Depuis hier, une attaque de très grande ampleur touche des dizaines de milliers de machines. Au dernier décompte, près de 80 pays sont concernés, mais surtout des services d'hôpitaux en Angleterre et en Espagne, des sociétés telles que FedEx,  Renault et Telefónica, des dispositifs d'information, ou même des écoles et universités.

Après les fuites de la NSA, la multiplication des attaques

En cause, WannaCrypt (ou Wcry, WanaCry, WanaCrypt, Wanna Decryptor), un ransomware qui exploite une faille dans Windows corrigée en mars dernier (bulletin de sécurité MS-17-010).

Exploitée un temps par la NSA, elle faisait l'objet de l'un des outils qui ont fuité en avril (nom de code EternalBlue). Comme souvent dans ce genre de cas, il n'aura pas fallu longtemps pour que certains l'utilisent aussi à leur profit. Le cas DoublePulsar avait déjà donné l'alerte en avril dernier, mais ici l'ampleur semble bien plus importante.

Dans la pratique, une très large campagne de diffusion par email semble être le premier vecteur utilisé, même s'il faudra analyser la propagation avec le recul nécessaire. Veillez donc, comme toujours, à ne pas ouvrir de fichier dont vous ne connaissez pas l'origine, sans vous être assuré de la fiabilité de l'expéditeur. Il est aussi recommandé de s'assurer que les ports SMB (139, 445) soient fermés puisqu'ils sont utilisés pour cette attaque.

Les machines infectées se retrouvent avec leurs données chiffrées, une rançon d'au moins 300 dollars étant demandée pour restaurer les données. S'il est assez simple de se prémunir d'une telle attaque en se maintenant à jour, force est de constater que cette pratique n'est pas vraiment rentrée dans les mœurs tant l'impact de cette faille est important.

Alerte levée du côté de l'ANSSI

L'ANSSI a d'ailleurs émis une alerte, recommandant la mise à jour de vos systèmes, et si cela n'est pas possible « de l’isoler, voire de l’éteindre le temps d’appliquer les mesures nécessaires ». En cas de découverte d'un code malveillant, les conseils suivant sont donnés par l'agence française : 

  • Déconnectez immédiatement du réseau les équipements identifiés comme compromis. L’objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés.
  • Alertez le responsable sécurité ou le service informatique au plus tôt.
  • Sauvegardez les fichiers importants sur des supports amovibles isolés. Ces fichiers peuvent être altérés ou encore être infectés. Il convient donc de les traiter comme tels. De plus, les sauvegardes antérieures doivent être préservées d’écrasement par des sauvegardes plus récentes.
  • Ne payez pas la rançon. Le paiement ne garantit en rien le déchiffrement de vos données et peut compromettre le moyen de paiement utilisé (notamment carte bancaire).

Microsoft publie un patch pour les anciennes versions de Windows, dont XP

Mais dans cette affaire, c'est Microsoft qui fait face à un problème de taille. Comme l'on pouvait s'y attendre, Windows XP est touché. Or, le support de ce dernier a cessé depuis trois ans, et de nombreuses sociétés continuent de l'utiliser. La position de l'éditeur n'était pas tenable, il a donc pris la décision de publier un patch. Trop tard, diront certains.

Dans un billet de blog, son équipe en charge de la sécurité détaille la situation et indique que c'est aussi le cas pour Windows Server 2003 et Windows 8. Vous pouvez récupérer les patchs pour vous mettre à jour au plus vite via l'un des liens suivants :

Bien entendu, nous reviendrons sur cette affaire de manière plus détaillée d'ici peu.

347 commentaires
Avatar de Rucan Abonné
Avatar de RucanRucan- 13/05/17 à 09:05:12

C’était soit acheter des licences win10 soit augmenter les salaire des infirmières ... OhWait !

Avatar de flodraft Abonné
Avatar de flodraftflodraft- 13/05/17 à 09:05:38

Dans le cas d'un distributeur de billets, c'est à la banque ou à celui qui retire les sous de payer la rançon ?

Avatar de ErGo_404 Abonné
Avatar de ErGo_404ErGo_404- 13/05/17 à 09:06:06

C'est bien fait pour la gueule de ces entreprises.

Ne pas mettre à jour son parc est une faute grave. C'est trop facile de ne pas prévoir le budget et le temps pour ce travail et de venir chialer après. C'est comme faire un système de vente en ligne et stocker les mots de passe en clair.

Avatar de Ricard INpactien
Avatar de RicardRicard- 13/05/17 à 09:06:55

C'est chaud là de toute évidence, c'est pas des scripts kiddies...

Je parie 10 contre 1 sur les vilains russes.:8

Les résultats officiels des paris seront donnés plus tard sur TF1 et BFM.:D

Avatar de Maicka INpactien
Avatar de MaickaMaicka- 13/05/17 à 09:09:42

Et oui certaines boîtes insistent à garder le vieux XP,qu'ils viennent pas chouiner.

Avatar de FinalToTor INpactien
Avatar de FinalToTorFinalToTor- 13/05/17 à 09:10:10

Moi j'aurais misé sur les nord-coréens pour changer. :yes:
 

Avatar de gavroche69 Abonné
Avatar de gavroche69gavroche69- 13/05/17 à 09:12:26

Ouais enfin on peut difficilement assimiler les hôpitaux à des chantres du capitalisme et de la finance...
S'attaquer à ces établissements est vraiment très petit et mériterait de très lourdes sanctions (prison ferme) pour les responsables si toutefois ils se font chopper un jour ce qui est peu probable.

M'enfin, c'est classique, tant qu'on est pas directement concerné on s'en fout voire même on admire les connards qui font ça...

Édité par gavroche69 le 13/05/2017 à 09:16
Avatar de Kwaïeur INpactien
Avatar de KwaïeurKwaïeur- 13/05/17 à 09:17:02

ErGo_404 a écrit :

C'est bien fait pour la gueule de ces entreprises.

Ne pas mettre à jour son parc est une faute grave. C'est trop facile de ne pas prévoir le budget et le temps pour ce travail et de venir chialer après. C'est comme faire un système de vente en ligne et stocker les mots de passe en clair.

Le truc, c'est que ça impacte indirectement de très nombreuses personnes, comme dans les hôpitaux anglais, où des patients ne peuvent plus recevoir de soin. :roll:

Avatar de David.C Abonné
Avatar de David.CDavid.C- 13/05/17 à 09:21:20

Les dab de banques, bien que sous xp, sont normalement dans des reseau fermes, separés et sécurisés...nornalement

Avatar de minette Abonné
Avatar de minetteminette- 13/05/17 à 09:26:11

Du coup je n'ai pas compris ce qu'il en est pour les ordis sous Windows 7, ils sont normalement protégés depuis une mise à jour récente c'est ça ? Ou pas ?

Il n'est plus possible de commenter cette actualité.
Page 1 / 35