WannaCrypt : une infection « jugulée », le point sur la situation

Révélateur de risques 93
image dediée
Crédits : kaptnali/iStock
Securité
Par
le lundi 15 mai 2017 à 16:48
Vincent Hermann

Dès vendredi soir, une large attaque par phishing a provoqué une vague d’infections par un ransomware, WannaCrypt. Exploitant une faille Windows déjà corrigée, sa propagation a forcé Microsoft à publier un correctif pour d'anciennes versions de son OS.  Depuis, plusieurs rebondissements ont eu lieu et le danger persiste.

Des dizaines de milliers de machines infectées. C’est la conséquence d’une attaque qui a commencé vendredi par une campagne de phishing, comme souvent dans ce genre de cas. Un lien, un fichier téléchargé et exécuté, et les données des ordinateurs se retrouvaient chiffrées, avec une demande de rançon à la clé. Il infecte ensuite d'autres appareils via SMB, un protocole de partage de fichiers en réseau.

Le ransomware WannaCrypt (ou Wcry, WanaCry, WanaCrypt, Wanna Decryptor, Wana Decrypt0r, WanaCrypt0r) a très rapidement fait parler de lui, notamment en Espagne et au Royaume-Uni où de nombreux hôpitaux ont été touchés. La situation s’est répercutée en quelques heures dans bon nombre de pays, où différents types de structures ont été touchés : opérateur, environnement scolaire, etc. En France, Renault a notamment dû mettre à l’arrêt plusieurs usines. L'ANSSI a rapidement émis une alerte en diffusant ses conseils, mis à jour ce dimanche.

Pour éviter l’infection, un correctif sorti en mars doit avoir été installé. Que les machines soient mises à jour ou non, il est également recommandé de fermer les ports 139 et 445 utilisés par SMBv1, où réside la vulnérabilité. Mais comment en est-on arrivés là ? Revue de détail et discussion avec le chercheur Matthieu Suiche.

Une faille connue, un temps exploitée par la NSA

Lisez la suite : 89 % de ce contenu reste à découvrir

Seuls nos abonnés peuvent lire l'intégralité de cet article.


chargement
Chargement des commentaires...