WannaCrypt : une infection « jugulée », le point sur la situation

WannaCrypt : une infection « jugulée », le point sur la situation

Révélateur de risques

Avatar de l'auteur
Vincent Hermann

Publié dans

Internet

15/05/2017 13 minutes
93

WannaCrypt : une infection « jugulée », le point sur la situation

Dès vendredi soir, une large attaque par phishing a provoqué une vague d’infections par un ransomware, WannaCrypt. Exploitant une faille Windows déjà corrigée, sa propagation a forcé Microsoft à publier un correctif pour d'anciennes versions de son OS.  Depuis, plusieurs rebondissements ont eu lieu et le danger persiste.

Des dizaines de milliers de machines infectées. C’est la conséquence d’une attaque qui a commencé vendredi par une campagne de phishing, comme souvent dans ce genre de cas. Un lien, un fichier téléchargé et exécuté, et les données des ordinateurs se retrouvaient chiffrées, avec une demande de rançon à la clé. Il infecte ensuite d'autres appareils via SMB, un protocole de partage de fichiers en réseau.

Le ransomware WannaCrypt (ou Wcry, WanaCry, WanaCrypt, Wanna Decryptor, Wana Decrypt0r, WanaCrypt0r) a très rapidement fait parler de lui, notamment en Espagne et au Royaume-Uni où de nombreux hôpitaux ont été touchés. La situation s’est répercutée en quelques heures dans bon nombre de pays, où différents types de structures ont été touchés : opérateur, environnement scolaire, etc. En France, Renault a notamment dû mettre à l’arrêt plusieurs usines. L'ANSSI a rapidement émis une alerte en diffusant ses conseils, mis à jour ce dimanche.

Pour éviter l’infection, un correctif sorti en mars doit avoir été installé. Que les machines soient mises à jour ou non, il est également recommandé de fermer les ports 139 et 445 utilisés par SMBv1, où réside la vulnérabilité. Mais comment en est-on arrivés là ? Revue de détail et discussion avec le chercheur Matthieu Suiche.

Une faille connue, un temps exploitée par la NSA

WannaCrypt est donc un ransomware qui fonctionne comme n’importe quel malware de ce type : s’il a le malheur de s’exécuter, il chiffre toutes les données exploitables trouvées sur la machine puis demande une somme d’argent pour les débloquer, dans le cas présent environ 300 dollars en bitcoin. À peine 64 paiements ont été effectués à l’heure où nous écrivons ces lignes, un compte Twitter les suivant en temps réel.

Mais si les ransomwares sont connus depuis longtemps, pourquoi celui-ci déclencherait-il tout à coup une vague d’infections peu commune ? Parce qu’il exploite une faille de sécurité révélée mi-avril par les pirates de Shadow Brokers, qui en fournissaient les détails dans une archive dérobée à Equation Group, proche de la NSA.

La faille en question, nommée EternalBlue (MS17-010), était exploitable sur toutes les versions de Windows depuis XP, via les ports SMB 139 et 445 (comme DoublePulsar, que WannaCrypt reprend également), soit un nombre très important de machines. Cependant, à la divulgation des détails, on apprenait que Microsoft avait colmaté les brèches en mars, potentiellement sur la base de renseignements fournis par la NSA.

Les Shadow Brokers menaçant de diffuser de telles informations, il est possible que l’agence ait choisi d’atténuer le choc. Problème, seules les versions du système encore supportées ont été mises à jour. Ce n'était donc pas le cas de Windows 8.0 ou des versions antérieures à Vista.

wannacrypt

Le cas très spécial de Windows XP

La situation devenant complexe, Microsoft a fini par diffuser un patch pour Windows XP et Server 2003 ce samedi. Même Windows 8 a été mis à jour, alors que seule la mouture 8.1 reçoit normalement les correctifs. En clair, tous les produits hors du cycle ont reçu un patch, ce qui témoigne d’une certaine urgence.

Mais même si certains diront que Microsoft a « pris ses responsabilités », le mal est déjà fait dans de nombreux cas. Un correctif fait surtout office de vaccin préventif : si la faille est déjà exploitée et que le ransomware a chiffré les données, l’installation du patch ne changera rien au problème.

Cela étant, comme nous le verrons plus tard, la mise à jour des parcs informatiques en entreprise ou dans les grandes structures n’obéit pas forcément aux seuls impératifs de sécurité et d’urgence.

Le « kill switch » de WannaCrypt

En à peine 24 heures, le ransomware avait cumulé plus de 75 000 victimes dans une centaine de pays, principalement en Russie, comme indiqué par Kaspersky. Pourtant, un espoir est rapidement apparu.

Samedi après-midi, un chercheur britannique répondant au nom de MalwareTech fait une trouvaille : WannaCrypt émet des appels vers un nom de domaine qui n’a pas été enregistré. Il l’enregistre alors lui-même et découvre dans le ransomware un « kill switch », c’est-à-dire une fonctionnalité d’autodestruction s’il parvient à contacter le fameux domaine. Le logiciel se croit dans une sandbox (espace mémoire isolé), partant du principe que l'adresse n'existe pas dans la réalité, donc préfère s'effacer plutôt que d'être étudié par un chercheur.

Porté aux nues par la presse anglaise, il finit par se décrire lui-même comme un « héros accidentel », relativisant son impact. En effet, et alors que le NHS (National Health System) indique de son côté que 100 000 infections ont ainsi pu être empêchées grâce à cette découverte, MalwareTech prévenait déjà The Guardian que rien n’empêchait l’attaque d’être redémarrée avec d’autres paramètres. Et c’est effectivement ce qui s’est passé.

Par ailleurs – et c’est un point capital – le kill switch ne pouvait rien pour les machines déjà infectées.

Une menace pour l’instant « jugulée »

Actuellement, et d’après le directeur d’Europol Rob Wainwright, plus de 10 000 organisations diverses et 200 000 particuliers sont touchés par WannaCrypt, le tout réparti dans 150 pays. La menace est clairement internationale et prend racine dans toutes les machines qui ne sont pas à jour, que les systèmes soient anciens ou récents. L'organisation a d'ailleurs ouvert une enquête et « travaille de manière étroite » avec les autorités des pays concernés.

Deux variantes du ransomware sont en outre apparues hier. MalwareTech avait prévenu : la « version 2.0 » de WannaCrypt avait toutes les chances de n’avoir aucun kill switch. Concrètement, ce n’est pas encore tout à fait le cas. La première a pu être rapidement bloquée grâce à l’enregistrement d’un autre nom de domaine, car elle possédait elle aussi un kill switch.

Nous nous sommes entretenus avec le chercheur Matthieu Suiche, qui s’est justement occupé de cette autre version. Il nous a confirmé que plus de 10 000 infections avaient ainsi pu être empêchées, là encore principalement en Russie. Selon lui, la menace est pour l’instant jugulée car les seules deux variantes connues comme étant actives ont vu leur kill switch activé : « Normalement les gens devraient avoir le temps de mettre à jour leur système, mais certaines machines peuvent être depuis déconnectés d’Internet. Ça prendra du temps ».

Pourquoi un kill switch ? « On ne sait pas » nous répond le chercheur. « On suppose qu’ils [les pirates auteurs de la menace] ont voulu garder la main pour du « damage control ». Mais une nouvelle version sans kill switch reste tout à fait possible ». La deuxième variante, qui en était dépourvue, s’est révélée être une fausse menace.

Une partie de son code était en effet corrompue. Même si l’échantillon avait été envoyé par Kaspersky, aucune exploitation active n’a été détectée dans la nature. En dépit d’un nombre grandissant d’articles sur le sujet, Matthieu Suiche nous confirme qu’il s’agit d’une fausse alerte.

Signalons, puisque l’on parle de « menace armée », que nous ne savons pas actuellement qui se tient derrière cette vague d'escroquerie à grande échelle. Comme l’a indiqué Guillaume Poupard, directeur de l’ANSSI, tout porte à croire dans tous les cas que l’on est face « à une attaque criminelle ».

La situation revient peu à peu à la normale

Actuellement, avec la mise à jour progressive et à marche forcée des parcs informatiques, les problèmes se règlent petit à petit. C’est notamment le cas chez Renault, dont une partie des usines avait été fermée suite à l’infection par le ransomware. Comme confirmé à nos confrères du Monde, la société avait ainsi stoppé durant le week-end les sites de Batilly, Douai et Novo Mesto (Slovénie). Actuellement, seul le site de Douai est encore à l’arrêt. Selon un porte-parole, l’usine devrait être remise en route dès demain.

Pour le NHS anglais, durement touché pendant le week-end, la situation semble stabilisée mais continue de rester problématique. Comme la BBC l'a tout juste indiqué, nombre d'établissements de santé restent en partie paralysés, obligeant les patients à se rendre dans d'autres hôpitaux.

Une partie des structures impactées a retrouvé son système informatique, mais des délais plus ou moins importants sont toujours constatés. Il faudra encore plusieurs jours pour un rétablissement complet, mais les conséquences sur les plannings perdureront pendant des semaines, voire des mois.

La mise à jour parfois difficile des parcs informatiques

Ce que souligne finalement le cas WannaCrypt, c’est le manque de mises à jour dans certains parcs informatiques. Les administrateurs ont bien pour mission de faire attention aux principales menaces de ce type et d’agir en conséquence. Lorsque les Shadow Brokers ont publié l’archive, les chercheurs étaient unanimes : des attaques étaient à prévoir. Ces infections auraient donc pu être en grande partie évitées, surtout sur Windows XP, qui n’est plus supporté depuis 2013.

La situation n’est pourtant pas aussi simple. La mise à jour des systèmes, tant via les patchs réguliers que les migrations vers des versions plus récentes des systèmes, représente des contraintes économiques fortes. Dans de nombreux cas, le problème n’est pas tant la compétence des administrateurs que les moyens investis dans la sécurité.

On trouve par exemple encore Windows XP dans certains robots d’usine. Comme l’a indiqué Laurent Hausermann, cofondateur de Sentryo au Monde, le déploiement des mises à jour est alors assez long, car chacune doit être testée pour vérifier que tout fonctionnera bien. Un délai que l’on retrouve parfois chez les constructeurs Android, qui doivent valider chaque mois les correctifs fournis par Google.

Parfois, le souci réside directement dans le manque de moyens. La BBC rappelle ainsi comment le budget du département informatique du NHS a continuellement baissé au cours des dernières années, un contrat de sécurité n’ayant notamment pas été reconduit en 2015. Actuellement, la situation reste tendue puisque de nombreux services dans les hôpitaux n’ont toujours pas rouvert, mais elle est sous contrôle. 

Microsoft : un « appel à se réveiller » pour les gouvernements

La société de Redmond a été particulièrement active durant le week-end, fournissant les correctifs pour les systèmes qui n’étaient plus sous support technique et publiant des guides et conseils. Pourtant, l’éditeur semble particulièrement en colère, comme l’a indiqué Brad Smith, son responsable juridique.

Bien qu’il fasse le point sur la rapidité de réaction des ingénieurs impliqués, il n’y a selon lui aucune raison d’être à la fête. Smith indique que la sécurité est devenue un tel enjeu qu’elle est désormais « une responsabilité partagée entre les entreprises et le client », une situation illustrée par le nombre de machines non mises à jour deux mois après la publication des correctifs.

Ce que nous relativiserons. Il nous semble délicat en effet d’intéresser l’ensemble des utilisateurs à la sécurité de produits dont, pour beaucoup, ils n’ont aucune idée du fonctionnement. Un point d’ailleurs de plus en plus compensé par des systèmes entièrement automatisés fonctionnant à marche forcée. Windows 10 illustre parfaitement cette évolution : les mises à jour sont obligatoires et installées automatiquement.

Mais Smith s’en prend au « stockage des vulnérabilités par les gouvernements ». En ligne de mire évidemment, la NSA. Le cas illustre effectivement un danger de très nombreuses fois répétées, surtout depuis les premières révélations d'Edward Snowden : les failles stockées pour servir de « cyberarmes » ne sont pas corrigées par les éditeurs concernés. Si elles sont découvertes par des pirates, elles peuvent être alors utilisées pour voler des informations ou obtenir des rançons. 

On retrouve donc une situation typique que l’on pouvait craindre : un outil produit par un État, entre les mains du crime organisé. Smith rappelle de fait l’appel lancé en février dernier pour une « Convention de Genève numérique », afin que les gouvernements, qui « doivent se réveiller », considèrent les cyberarmes comme des armes classiques. Les dégâts sur la population sont tout aussi réels selon l’éditeur.

Hygiène informatique : le rappel des bases

Il est probable que l’aventure WannaCrypt ne s’arrête pas ici. Les chercheurs estiment actuellement que tout est possible. Face à cette éventualité, il est nécessaire encore une fois de rappeler les règles d’hygiène élémentaires. La première, et de loin la plus importante, est d’avoir un système toujours à jour. La règle dépasse le cadre du simple ordinateur et est valable pour l’ensemble des appareils disposant d’un système d’exploitation.

Dans tous les cas, l’utilisateur est tributaire de la manière dont la sécurité est gérée par le constructeur. Sur un ordinateur, le fonctionnement est simple : tant que le produit est supporté, les correctifs affluent. Dans les environnements mobiles et les objets connectés, la situation est plus complexe. Idéalement, le client devrait toujours faire attention à ce qu’il achète, en s’intéressant notamment à la manière dont le fabricant gère la sécurité.

Parmi les autres points importants, on citera la désinstallation systématique de tout ce qui ne sert pas pour réduire la surface d’attaque potentielle, la mise à jour des applications utilisées, le choix de mots de passe forts et uniques pour chaque service en ligne, l’authentification à deux facteurs partout où elle est disponible, ou encore l’utilisation d’une solution antivirale.

N’oublions pas non plus le grand classique : n’ouvrir une pièce jointe que lorsque vous êtes certain de l’expéditeur et que l’email vous paraît tout à fait authentique. Et pour éviter de perdre toute donnée en cas de problème : la mise en place de sauvegardes qui doivent être vérifiées de manière régulière... avec une historisation afin de pouvoir retourner à une période particulière, comme le jour avant l'infection de vos données par un éventuel malware.

93

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Une faille connue, un temps exploitée par la NSA

Le cas très spécial de Windows XP

Le « kill switch » de WannaCrypt

Une menace pour l’instant « jugulée »

La situation revient peu à peu à la normale

La mise à jour parfois difficile des parcs informatiques

Microsoft : un « appel à se réveiller » pour les gouvernements

Hygiène informatique : le rappel des bases

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (93)


Au taff (Total pour ne pas les citer), ils ont rapidement communiqué qu’il n’y avait pas d’infection mais que tout le monde devait redémarrer son PC par sécurité.



Et là, on a vu passer des tas de correctifs pour Windows… Une livraison d’urgence de la part du service info ?


Les patchs de sécurité, en entreprise, ne sont pas directement appliqués lors de leur publication par Microsoft.

On utilise la plupart du temps des serveurs gérant ces dits patchs, sur WSUS (Windows Server Update Services) et on applique ces patchs progressivement : 1) machines de qualification; 2) machines critiques; 3) reste du parc.



Cela évite le genre de déboire qui peut arriver avec un patch pouvant poser souci.

Ici, si les IT ont demandé de redémarrer, c’est pour être certains que les politiques de sécurité soient correctement appliquées sur la machine, les patchs fraîchement libérés du WSUS, récupérés et installés.



C’est le cas dans la plupart des entreprises reposant sur un écosystème Microsoft, correctement géré.

La logique serait similaire même sur d’autres systèmes, selon justement, les systèmes concernés.


C’est là que t’es content d’être sous linux <img data-src=" />

Cela dit, encore une fois, tous ceux qui suivent les mises à jour et téléchargent pas n’importe quoi évitent le pire <img data-src=" /> (que ce soit des pièces jointes ou des “toshop gratuit trouvé en torrent lol jpaye pas pour ça moi”)


Ayant travaillé pour la SSII prestataire pour Total sur la partie poste de travail, je peux indiquer qu’ils ont simplement renvoyé les mises à jour avec le forcing pour être sur que le parc complet soit correctement à jour.

Par ailleurs, le patch Tuesday était le 09/05/2017, il est donc normal de voir arriver les mises à jour une semaine après (encore une fois dans le cadre énoncé)


Aujourd’hui, peut-être, mais chaque système présente des failles qui sont régulièrement exploitées puis colmatées si les procédures sont correctement appliquées.



Fonctionner sur Linux n’évite pas tous les dangers, notamment dans un contexte d’entreprise, les règles de bons usages et les règles de bases, comme celles décrites ici, sont toujours applicables.&nbsp;


…et des sauvegardes pas branchées constamment à la machine ou au réseau <img data-src=" />


Autrement, on peut aussi éviter d’utiliser un système où les fichiers sont systématiquement exécutables, quitte à avoir un environnement plus sécure dans une virtualbox…


Ou versionnées ?

Si tu maintiens plusieurs versions, au pire, tu reviens sur la précédente non-chiffrés par le composant infectieux.


Exactement pareil chez Atos, aucune victime mais redémarrer les PC. Enfin pour ceux qui n’ont pas un PC géré par le client.&nbsp;




Il est probable que l’aventure WannaCrypt ne s’arrête pas ici. Les chercheurs estiment actuellement que tout est possible.



Faut au minimum être chercheur pour avoir un raisonnement aussi réfléchi ! <img data-src=" />



Merci pour l’article bien détaillé <img data-src=" />


+1. Je milite pour l’abandon du modèle de sécurité “compte utilisateur” pour passer à un modèle de sécurité “application / fichier”


Une isolation par processus existe sur plusieurs systèmes. Windows propose cette isolation si l’on s’appuie sur les dernières technologies (notion d’AppContainer).

&nbsp;

Plus généralement, il faut parfois choisir entre sécurité et flexibilité, les ITs étant souvent une partie décriée dans les entreprises, et pourtant si vitale que les managers qui ne comprennent pas toujours ce qui est réalisé. Je vois mal les entreprises faire un choix structurant à ce point, le modèle “compte utilisateur” si appliqué avec parcimonie, une identification multi-facteur et surtout des droits adaptés, semble tout de même assez efficace (moins pire/juste milieu)…



Au passage, j’ai cru voir que tu bossais pour le secteur de la santé, j’espère que les patchs et autres soucis n’ont pas trop fait de dégât par chez toi. Bon courage le cas contraire.








127.0.0.1 a écrit :



+1. Je milite pour l’abandon du modèle de sécurité “compte utilisateur” pour passer à un modèle de sécurité “application / fichier”







Les deux vont de paire.

D’ailleurs que ce soit sous Linux ou Windows, tu peux définir les droits d’exécutions.



Mais comme soulevé pour le coup du Keylogger dans le package d’un pilote audio, avoir des droits granulaires comme iOS/Android serait aussi un gros plus effectivement.



Le service “lanmanserver” (SMB) est désactivé sur tous nos produits équipés de windows, donc pas trop de soucis pour ce malware en particulier. Coup de chance. <img data-src=" />


Tiens, je viens de voir que la faille passe par SMB, mais du coup, coté linux, Samba n’est pas impacté ?


oui mais bon, si le truc a accès au volume de sauvegarde c’est pas bon :P


j’ai assez envie de dire : BIEN FAIT!



ça apprendre aux compagnies qui ont des machines qui peuvent communiquer a l’extérieur a ne pas les garder a jour… le patch correctif pour les OS &nbsp;supportés a quand même été diffusé en MARS!!!



&nbsp;








tazvld a écrit :



Tiens, je viens de voir que la faille passe par SMB, mais du coup, coté linux, Samba n’est pas impacté ?





c’est un malware windows… donc non.



Normalement non, c’est lié à l’implémentation dans Windows.








CryoGen a écrit :



Les deux vont de paire.

D’ailleurs que ce soit sous Linux ou Windows, tu peux définir les droits d’exécutions.







Je ne veux pas simplement des droits d’exécution, mais pouvoir définir des “emplacements” et configurer des droits d’accès aux emplacements pour les applications. Un genre de firewall applicatif.



Location “Office” (d:\project, d:\templates, d:\sheets)

* Microsoft Office : allow

* PDF Viewer : allow

* Other application: deny




Et après ça on va encore entendre qu’un windows 10 s ça ne sert à rien 😊 , ça éviterai l’installe inopiné du malware au delà du correctif 😉


Et en français, ça donne quoi ?








bismarckiz a écrit :



Et après ça on va encore entendre qu’un windows 10 s ça ne sert à rien 😊 , ça éviterai l’installe inopiné du malware au delà du correctif 😉





non



Ok je vois, un genre de sandboxing. Ca serait pas mal en effet. D’ailleurs sous Android, quand tu ne donnes pas la permission, une application est limitée à son dossier par défaut.



Regarde du coté de Sandboxie sous Windows si tu cherches ce genre de sécurité : Site officiel


C’est étonnant que ça ne soit pas arrivé plus tôt ce genre de situation, car ils doivent surement avoir d’autres failles…



Quand à Microsoft qui appelle à se “réveiller”… ils sont également fautifs de laisser un Windows XP à l’abandon alors qu’il est encore assez utilisé, m’enfin le marketing….








Bakuredo a écrit :



Quand à Microsoft qui appelle à se “réveiller”… ils sont également fautifs de laisser un Windows XP à l’abandon alors qu’il est encore assez utilisé, m’enfin le marketing….







non, ms avait prévenue depuis un bail de la date d’abandon de windows xp, après si les boites n’ont rien fait derrière, ce n’est pas de leur faute



En quoi Microsoft est fautif ? Ils ont fait tout ce qu’ils pouvaient pour pousser à virer Windows XP des machines, mais ce sont les clients qui ont provoqué une prolongation du support. Pour Vista heureusement, moins de machines sont concernées.



Mais c’est avec ce genre de soucis que j’ai un peu peur. Car on se rend vite compte que les mises à jour, c’est pas la priorité dans les parcs informatiques. Or, quand c’est marqué “correctif de sécurité”, il y a une bonne raison, que l’on peut voir ici. Et tant que les financiers ne comprendront pas cela, ils continueront à perdre des millions voire pire, à mettre en danger des gens.








Haken Trigger a écrit :



Et tant que les financiers ne comprendront pas cela, ils continueront à perdre des millions voire pire, à mettre en danger des gens.







Alors pour avoir un beau frère dans les service financier d’une grosse boite, il m’a expliqué qu’en fait il préféraient jouer sur le côté “on paie pas grand chose pour l’IT, si ça tient tant mieux, si il y a un soucis il faut juste espérer que les économies réalisées seront plus important que le coups de la panne”.









YohAsAkUrA a écrit :



j’ai assez envie de dire : BIEN FAIT!



ça apprendre aux compagnies qui ont des machines qui peuvent communiquer a l’extérieur a ne pas les garder a jour… le patch correctif pour les OS &nbsp;supportés a quand même été diffusé en MARS!!!&nbsp;





En théorie, je suis d’accord, mais en pratique, c’est plus compliqué. Je pense que les éditeurs d’OS ont eux aussi une part de responsabilité en imposant des cadences de renouvellement intenables pour certaines industries : un système qui coute des millions d’euros, on est en droit d’attendre qu’il fonctionne plusieurs dizaines d’années. Quand le support de l’OS s’arrête au bout de 10 ans ben…c’est la merde.

De même, un “simple” patch de sécurité, ça peut vouloir dire des dizaines d’heures de test de stabilité/compatibilité derrière. Mars, ça ne fait jamais que deux mois (sans compter qu’en France, notre mois de Mai peut être quasiment chômé selon l’agencement des jours fériés)



Enfin, on peut en arriver à des cas ubuesque, comme ceci (source Reddit) :





Mon produit est dédié à des personnes sans aucune compétence

informatique, vu qu’il touche des composant système Windows, les MàJ de

l’OS sont désactivées…



&nbsp;



Rien d’étonnant, cest comme ca que ca marche pour tout de toutes manières.



Cest dommage pour ceux qui bosse dans le service info parce que c’est eux qui font sans budget les jours normaux et qui seront dans le rush le jour ou il y aura une merde mais bon, c’est comme ca :)








Charly32 a écrit :



En théorie, je suis d’accord, mais en pratique, c’est plus compliqué. Je pense que les éditeurs d’OS ont eux aussi une part de responsabilité en imposant des cadences de renouvellement intenables pour certaines industries : un système qui coute des millions d’euros, on est en droit d’attendre qu’il fonctionne plusieurs dizaines d’années. Quand le support de l’OS s’arrête au bout de 10 ans ben…c’est la merde.

De même, un “simple” patch de sécurité, ça peut vouloir dire des dizaines d’heures de test de stabilité/compatibilité derrière. Mars, ça ne fait jamais que deux mois (sans compter qu’en France, notre mois de Mai peut être quasiment chômé selon l’agencement des jours fériés)



Enfin, on peut en arriver à des cas ubuesque, comme ceci (source Reddit) :







Pour ton exemple, c’est le cas des fiery de traceurs ou de copieur ou les mecs te disent de ne pas mettre à jour (ou même mettre un antivirus), pour ne pas bloquer le système. Alors quand tu paies un copieur 100 000 boules comme c’est le cas chez canon, ça fait mal au cul de voir qu’on te file une passoire en guise de fiery.









PtiDidi a écrit :



Rien d’étonnant, cest comme ca que ca marche pour tout de toutes manières.



Cest dommage pour ceux qui bosse dans le service info parce que c’est eux qui font sans budget les jours normaux et qui seront dans le rush le jour ou il y aura une merde mais bon, c’est comme ca :)







Sauf que quand il y a une merde c’est la faute de l’IT payé à rien foutre et quand tout fonctionne c’est “pourquoi on paie des techs alors que tout fonctionne bien” alors que derrière tu bosses pour que tout fonctionne bien et que ça soit transparent.



Un peu comme les namespaces du noyau Linux.


S’attendre à ce que quelque chose qui coute des millions durent plusieurs dizaines d’années..

Ben faut le payer le support :) (ou alors le faire soit même)

Si tu veux que ca dure des dizaines d’années, faut payer des milliards.



Faut pas oublier que le matériel n’est pas éternel non plus.

Windows est fait pour du matériel grand public, donc une durée de vie de.. aller, on va être gentil, 10 ans.

Encore, 10 ans cest depuis quelques années, avant les évolutions technologiques allaient tellement vite que 3 ans c’était dépassé.



Microsoft a un business model basé sur la vraie vie (renouvellement du matériel, prix qu’est prêt à payer le consommateur tout ca). C’est dailleurs pour ca qu’ils proposent de faire payer un support étendu.


ha ben oui bien sur, dans tous les cas c’est l’IT qu’est reponsable évidement :)








PtiDidi a écrit :



ha ben oui bien sur, dans tous les cas c’est l’IT qu’est reponsable évidement :)





bah écoute, ce matin, j’étais ‘fautif’ parce qu’il y a eu une coupure de courant supérieur à la durée de service du onduleur… (parce que oui, on sait bien que les serveurs tournent à coup de hamster dans des roues <img data-src=" />)



Hum, non, c’est de la faute aux idiots qui conçoivent des systèmes industriels autour d’OS dont le support annoncé ne fait même pas la moitié de la durée de vie attendue du système. C’est pas comme si les dates de fin de support étaient annoncées dès le début…



Et s’ils veulent quand même faire tourner leurs robots industriels sous WinXP parce que ce sont des branques qui ne savent coder qu’en VB6, au minimum, qu’ils ne les connectent pas au réseau…








Quiproquo a écrit :



Un peu comme les namespaces du noyau Linux.





C’est également la base du principe de la déférlante des ‘containers’, à la docker.





WannaCrypt est donc un ransomware qui fonctionne comme n’importe quel malware de ce type : s’il a le malheur de s’exécuter, il chiffre toutes les données exploitables trouvées sur la machine puis demande une somme d’argent pour les débloquer, dans le cas présent environ 300 dollars en bitcoin.





Tiens, une utilisation pratique de la monnaie du futur…



<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />


Dans l’agence où je suis on a aussi eu droit aux mises à jours forcée, par contre le responsable sécurité est passé 2 ou 3 fois sur le plateau a chercher des PC potentiellement infecté ou très vulnérable <img data-src=" />


+1, le problème vient du fait que les matériels industriels tournent sur des applications qui nécessitent :

-Une version bien particulière d’un OS

-Et cet OS possède une durée de vie bien inférieure au matériel.



A défaut d’un sursaut des fabricants de ces machines, le mieux serait que les OS embarqués industriels doivent&nbsp; être supportés durant très très longtemps (au moins 20 ans) pour ne pas poser des problèmes. Et donc être vraiment minimalistes et utiliser des technologies validées (pour ne pas être inmaintenables). Et êtres très restrictifs pour empêcher du code mal fait de tourner.

(on me dit dans l’oreille qu’on a déjà des systèmes qui s’en rapproche, faudrait surtout les utiliser !)


Y a un truc que j’ai dû louper quelque part…

La faille EternalBlue a donc permis la diffusion rapide d’un PC infecté vers un PC non-patché. D’où la flambée de vendredi/samedi, ça ok.

Mais, est-ce que ce malware peut chiffrer un PC à jour en stand-alone ? Genre via une pj dans un mail, un exécutable classique ou autre ? Et question bonus, sans être détecté par un anti-virus à jour ?




La BBC rappelle ainsi comment le budget du département informatique du NHS a continuellement baissé au cours des dernières années





« Vous voulez créer de la dette » comme dirait Fillon ?



Mais enfin, c’est génial l’austérité, il faut faire des économies et réduire le budget de l’Etat, OSEF de l’informatique&nbsp; <img data-src=" />


Faut pas oublier aussi que c’est Microsoft qui a forcé Windows XP dans chaque ordinateur de la planète, si cet OS est autant utilisé c’est à cause de leur monopole. Du coup c’est un peu facile de toujours dire que c’est aux gens/industriels de jeter des machines qui fonctionnent bien juste parce que Microsoft ne supporte plus XP.


Ça voudrait dire qu’il faut que le dev sache faire du dev sur un OS embarqué.. c’est plus cher, on préfère un bon Windows bien connu même s’il n’est plus patché :)


Ben.. c’est aussi à l’industriel qui fournit la machine de se poser la question à la base de “est ce que Windows est le bon OS pour ma machine?”

Windows est très bien en OS grand public ou le matériel à une durée de vie de 5ans.(un peu plus maintenant mais avant c’était même moins de 5ans)


Si la question est “est-ce que je peux lancer volontairement un programme qui chiffre tous mes documents ?”, alors la réponse est oui. <img data-src=" />


Je ne suis pas d’accord

Microsoft n’aurait même pas du proposer un patch pour les OS qui ne sont plus supportés.



Je trouve que c’est justement une super occasion pour montrer que les gens (particuliers et entreprises) se sont mis dans la merde par eux même, à force de ne jamais rien vouloir changer.

Tous les DSI ne sont forcément coupables, mais la politique du “pourquoi changer un truc qui marche”, ça à ses limites.


Je posais pas la question dans ce sens mais ça change pas la réponse&nbsp;<img data-src=" /> Et maintenant que tu le dis, ça peut effectivement être une bonne méthode de suicide numérique<img data-src=" />


On peut comprendre que les entreprises ne veulent pas revenir à l’époque où il fallait acheter des couteux mainframe de la taille d’une armoire et des stations de travail en fonte, quand bien même on leur promettait de rester 20 ans avec le même matériel (qui devient vite obsolète).



Y a 20 ans, le top c’était le Pentium II MMX sous Debian 1.3. Ca me ferait mal de bosser sur un truc pareil aujourd’hui. <img data-src=" />


Même pas sur que tu puisses installer Debian 8 sur le PII MMX <img data-src=" />



Après faut faire la part des choses, une machine outil piloté par un PII MMX connecté par port série a un Windows10 sur lequel tu bosses, tout le monde est content et c’est secure


Justement, on en a un qui a eu un prob la semaine dernière chez un client.

Va trouver un clavier DIN et une souris COM aujourd’hui <img data-src=" />


On utilise se principe sous Ulteo, un simple kiosque web (accès seulement a Ulteo) qui permet d’avoir accès a des applications en fonctions de ton groupe d’appartenance et/ou de ta position au sein du bâtiment. Pour le reste pas d’accès.


McAfee Entreprise est désormais protégé contre WannaCrypt.



<img data-src=" />








Aloyse57 a écrit :



…Va trouver un clavier DIN et une souris COM aujourd’hui <img data-src=" />





Pour le clavier, c’est juste une histoire de connectique: http://www.pcguide.com/ref/kb/const/otherConnector-c.html



Pour la souris, tu peux t’en sortir avec une carte PCI contrôleur USB et/ou PS2: www.ldlc.com/fiche/PB00080969.html



Sinon, le blog MS semble planté à l’heure où j’écrit ce message…




Compagnies ? Et les particuliers qui mettent à jour max une fois par mois ? (parce que ça prend 2 heures sous w$)


…Contre la version actuelle. De la même façon que seule la version de ce week-end est bloquée par l’histoire de requête vers un nom de domaine (non-)existant.


Docker est intégralement basé sur les namespaces en effet ;)








Aloyse57 a écrit :



Justement, on en a un qui a eu un prob la semaine dernière chez un client.

Va trouver un clavier DIN et une souris COM aujourd’hui <img data-src=" />



Les claviers DIN, no prob : on en a jeté 15 qui nous encombraient l’an dernier <img data-src=" />



Il y a des adaptateurs COM-&gt;USB&nbsp;



C’est ce qu’on utilisait au taf quand on avait encore nos P4

&nbsp;


La question existentielle est combien reste-t-il de zéro day encore en circulation ?



<img data-src=" />


En fait c’est Microsoft qui a sorti volontairement la faille pour promouvoir Windows 10 et inciter à migrer…



<img data-src=" />


&gt; Microsoft n’aurait même pas du proposer un patch pour les OS qui ne sont plus supportés.



En règle générale je serai d’accord.

Mais là la souci a beaucoup touché des hôpitaux etc., je comprend que MS fasse un effort quand la santé de nombreuses personnes est potentiellement en jeu.

Je pense qu’avec tout le bruit que ça a fait le message sera passé de toute façon. (et ça reste un patch qui arrive après l’exploitation alors que la faille était connue avant, contrairement aux OS supportés)


Dans ce cas j’espère que ça leur aura couté cher ^^


T’avais qu’à pédaler pour remplacer les onduleurs aussi!


Cet épisode rappellera à quel point l’OS est un point critique dans un système d’information d’entreprise. Dommage que beaucoup d’entreprises l’aient appris à leurs dépends (comme quasi systématiquement… les boîtes qui mettent la sécurité IT dans leurs priorités nativement doivent être rares). En espérant que ça motivera les décisionnaires d’investir un peu plus sur leur IT et d’arrêter de la considérer en pure perte face aux vraies pertes qu’aura engendré cette attaque.



La seule chose dans laquelle il ne faut pas tomber, c’est l’extrême inverse avec une sécurité en mode parano qui bloque tous les métiers, dont l’IT. Les deux cas extrêmes


Que du bonheur! Ce n’est pas qu’aux gouvernements de se réveiller, mais à tout le monde et surtout aux fournisseurs qui nous fourguent tout et n’importe quoi à connecter en tous temps à internet! C’est une claque pour eux et il serait temps qu’ils le reconnaissent et arrêtent de nous imposer leurs choix!



Je condamne l’acte criminel des cyberpirates, mais je salue les réflexions qui en découlent et qui, je l’espère, nous feront avancer vers une informatique plus responsable DE LA PART DES FOURNISSEURS!!!



Tiens, voilà une idée aux cyberpirates pour la version 2.0 de WannaCry: WannaSm1l3?


Le problème de base à mon sens est surtout situé autour du fait qu’il est une erreur de considérer un parc informatique de manière unitaire.

ça n’est pas parce que c’est un “PC” qui pilote une machine industrielle qu’il doit être considéré de la même manière que les postes de travail administratifs.

Dans le secteur industriel, effectivement on trouve encore du matériel neuf avec des OS embarqués très vieux, même du Windows NT par exemple. Il ne faut pas les considérer comme des postes de travail, mais comme une machine industrielle dans son ensemble. Cette machine doit donc être sur un réseau isolé dont les accès sont limités au strict nécessaire.

Il est pour moi aberrant que le poste/le compte utilisateur d’une personne à l’administratif, donc qui a accès à internet, puisse communiquer, même indirectement, avec des ordinateurs de ce type.

Certains industriels achètent ces machines plusieurs dizaines voir centaines de millions, et il est évident qu’ils ne peuvent pas les rentabiliser sur un cycle de 5 ans comme le matériel d’un parc informatique.

Ces machines ne sont en général même pas gérées par l’IT, mais sous contrat de maintenance intégral par le fabricant, et vues comme des “black-boxes”.








PtiDidi a écrit :



S’attendre à ce que quelque chose qui coute des millions durent plusieurs dizaines d’années..

Ben faut le payer le support :) (ou alors le faire soit même)

Si tu veux que ca dure des dizaines d’années, faut payer des milliards.



Faut pas oublier que le matériel n’est pas éternel non plus.

Windows est fait pour du matériel grand public, donc une durée de vie de.. aller, on va être gentil, 10 ans.

Encore, 10 ans cest depuis quelques années, avant les évolutions technologiques allaient tellement vite que 3 ans c’était dépassé.



Microsoft a un business model basé sur la vraie vie (renouvellement du matériel, prix qu’est prêt à payer le consommateur tout ca). C’est dailleurs pour ca qu’ils proposent de faire payer un support étendu.





Oui, bien sûr qu’il y a de la maintenance, mais entre maintenir un logiciel sur un OS dont le comportement est connu et migrer sur une nouvelle version, ce n’est pas du tout le même coût (et que l’on fasse le support en interne ou externe, ça coûte tout de même de l’argent)

Quant à Windows, ce n’est pas uniquement pour du grand public (version server par exemple).

Enfin, le matériel implique de la gestion d’obsolescence très complexe : j’ai déjà croisé le cas d’acheteurs qui allaient faire le tour du marché de l’occasion pour trouver des microprocesseurs. Certaines compagnie font du stock préventif.

&nbsp;

&nbsp;





Freeben666 a écrit :



Hum, non, c’est de la faute aux idiots qui conçoivent des systèmes industriels autour d’OS dont le support annoncé ne fait même pas la moitié de la durée de vie attendue du système. C’est pas comme si les dates de fin de support étaient annoncées dès le début…



Et s’ils veulent quand même faire tourner leurs robots industriels sous WinXP parce que ce sont des branques qui ne savent coder qu’en VB6, au minimum, qu’ils ne les connectent pas au réseau…





Franchement, je suis prêt à parier que la décision du choix de l’OS d’un système industriel complexe n’est pas pris à la légère.&nbsp;



Je suis assez d’accord avec toi.

D’un autre côté il y a des fois où t’as la réalité du terrain qui te rattrape, et où tu prend des largesses avec le protocole de sécurité (ça peut être un truc con du genre brancher une clé USB) pour éviter de perdre du temps.

Ce n’est pas parce que c’est une grosse compagnie que tu ne travaille pas en mode “bricolage” <img data-src=" />


Est-ce que quelqu’un sait si WannaCrypt chiffre les disques à travers SMB où si il infecte réellement les machines cibles, c’est à dire en se copiant puis en s’exécutant dessus ?


Ça va peut-être inciter les gouvernements à créer leur OS national pour que les établissements nationaux n’aient plus à (dé)budgeter les mises à jour.



C’est quand même dingue de vouloir maintenir coûte que coûte un Windows XP parce qu’on n’a pas les budgets d’acheter les versions à jour. (Et je trouve dingue de continuer à mettre du Windows sur les machines de l’éducation nationale).



Les premières pistes pointent vers la Corée du Nord avec le groupe Lazarus (source The Gardian). C’est assez étonnant puisque l’une des cibles principale est la Russie…&nbsp;

D’un autre coté, ça fait chier la NSA&nbsp;<img data-src=" />


WannaCrypt doit se copier et s’exécuter sur un PC.



Lorsqu’il s’exécute, il chiffre les fichiers accessibles = disques locaux + les lecteurs réseaux montés.








t0FF a écrit :



Les premières pistes pointent vers la Corée du Nord avec le groupe Lazarus (source The Gardian). C’est assez étonnant puisque l’une des cibles principale est la Russie…







Tout ce qui est dit c’est que le malware réutilise du code déjà utilisé pour un malware coréen.



<img data-src=" />



Comme dit la source: “While the shared code is important, experts warned that it’s far from proof about who created and launched the ransomware attacks.”



https://www.cyberscoop.com/wannacry-ransomware-north-korea-lazarus-group



Entièrement d’accord, je comprends que certaines machines ne puissent pas être mises à jour pour diverses raisons, mais qu’elles ne soient pas isolées sur un LAN à part sans accès à Internet, je trouve cela hallucinant…


Ce n’est pas tout à fait “tout” ce qui a été dis, il y a aussi des adresses IP Nord-Coréenne :

&nbsp;

“This level of sophistication is something that is not generally found in the cybercriminal world. It’s something that requires strict organization and control at all stages of operation. That’s why we think that Lazarus is not just another advanced persistent threat actor,” said Kaspersky, which also found attacks originating from IP addresses in North Korea.”.&nbsp;

Ce n’est pas non plus une preuve absolue, mais ça fait un deuxième indice qui pointe vers la Corée du Nord.&nbsp;


C’est pas pris à la légère, ils choisissent l’OS qui leur permet des temps de dev plus courts, et donc un coût de développement moindre. Ce n’est que depuis Stuxnet qu’il y a une un début de prise de conscience de la nécessité de sécurité dans les systèmes industriels (je parle de sécurité contre les intrusions et autres actions malveillantes, sinon c’est plutôt bien sécurisé contre les différentes défaillances et erreurs de manipulations généralement).


L’accès à Internet c’est souvent pour la maintenance à distance / gestion. Celà dit il y a moyen de tout faire sans accès à Internet bête et méchant : LAN avec VLAN+ACL et Internet derrière firewall voir limité à accès VPN etc.



Le soucis c’est “ca marche pourquoi on touche encore !?” des décideurs… et quand ca pète : “pourquoi on a rien prévu ???”


en espérant que ça mette un peu de plombs dans tête des politiques persuadés que la surveillance est la panacée.



C’est pas comme si l’ensemble des spécialistes crie à tue-tête depuis des années que les failles décelées par l’Etat permettent aussi potentiellement aux “méchants” de passer…



J’espère qu’en voyant les conséquences économiques de ce genre de situation les idées changeront un peu.



Ceci-dit ils ne sont pas les seuls à supporter la responsabilité.



&nbsp;








Salamandar a écrit :



Compagnies ? Et les particuliers qui mettent à jour max une fois par mois ? (parce que ça prend 2 heures sous w$)





c’est le principe de : “je suis pas a jour… j’assume la prise de risque”









Charly32 a écrit :



Oui, bien sûr qu’il y a de la maintenance, mais entre maintenir un logiciel sur un OS dont le comportement est connu et migrer sur une nouvelle version, ce n’est pas du tout le même coût (et que l’on fasse le support en interne ou externe, ça coûte tout de même de l’argent)



Ben.. cest pas le même coût pour toi qui n’a qu’un seul type de machine (des serveurs x86 avec un xeon et de la DDR3). Tu demandes à Microsoft de maintenir un OS qui supporte des architectures différentes, des centaines de processeurs, des RAM etc.

Cest pas le même coût les premières années mais si tu voulais XP ou 98 sur ton processeur Ryzen 64bits avec 32Go de RAM, tu estimes à combien le support?







Charly32 a écrit :



Quant à Windows, ce n’est pas uniquement pour du grand public (version server par exemple).



Pour moi Windows Server cest du GP (ie : pas de l’industriel)

Et puis le support de Server 2003, c’est terminé en 2015. 12ans de support, je pense que le matériel a été amorti..







Charly32 a écrit :



Enfin, le matériel implique de la gestion d’obsolescence très complexe : j’ai déjà croisé le cas d’acheteurs qui allaient faire le tour du marché de l’occasion pour trouver des microprocesseurs. Certaines compagnie font du stock préventif.





Ben justement, comment ferait Microsoft pour assurer le support de Windows sur du matériel en fin de vie genre 98 sur un P3?

Il devrait donc avoir un stock de P3+CM+HDD PATA pour assurer le support sur 50ans?



Le choix de l’OS n’est donc pas pris à la légère, il est fait avec les mauvais arguments, on est sauvé \o/








PtiDidi a écrit :



Ben.. cest pas le même coût pour toi qui n’a qu’un seul type de machine (des serveurs x86 avec un xeon et de la DDR3). Tu demandes à Microsoft de maintenir un OS qui supporte des architectures différentes, des centaines de processeurs, des RAM etc.

Cest pas le même coût les premières années mais si tu voulais XP ou 98 sur ton processeur Ryzen 64bits avec 32Go de RAM, tu estimes à combien le support?





Ah pardon, je pensais que tu parlais&nbsp; de la maintenance côté propriétaire du système informatique, pas coté développeur de l’OS. De ce côté là, je suis aussi conscient du fait que c’est problématique pour le développeur de l’OS qui n’a pas de ressources infinies.

&nbsp;





PtiDidi a écrit :



Pour moi Windows Server cest du GP (ie : pas de l’industriel)

Et puis le support de Server 2003, c’est terminé en 2015. 12ans de support, je pense que le matériel a été amorti..





Si on parle d’un PC ou d’un serveur, oui pourquoi pas. Quand on parle de système complexe comme la gestion d’un ligne de prod, un système d’acquisition ou des systèmes embarqués, ce sont des projets dont la durée de vie est bien supérieure à la durée de vie d’un OS.







PtiDidi a écrit :



Ben justement, comment ferait Microsoft pour assurer le support de Windows sur du matériel en fin de vie genre 98 sur un P3?

Il devrait donc avoir un stock de P3+CM+HDD PATA pour assurer le support sur 50ans?





Non,

mais on pourrait&nbsp; imaginer des solutions intermediaire une “location”

de l’équipe au client pour assurer l’étape de validation, par exemple.&nbsp;&nbsp;



Ben quelque part c’est lié.. Le développeur de l’OS répercute le coût sur le prix que le propriétaire du SI.

Cest

pour ca que je disais que pour un OS qui dure des dizaines d’années, il

faudra payer des milliards au lieu des millions actuellement.



Ouais, les systèmes de gestion de ligne de prod ne sont pas amorties en 12 ans, mais comme le dit @mathieu_m ces machines ne devrait pas être sur le réseau comme toutes les autres.

Ces machines sont vitales à l’entreprise; coutent des millions; ne sont pas remplacables dans la journée.

Même si elles sont maintenues à jour (ce qui n’est déjà pas le cas), elles méritent un traitement particulier.



T’as trouvé un business model, bonne chance :)

L’idée est louable, mais la vérité, cest que la sécurité n’est pas une priorité.


En attendant je suis curieux de savoir combien ça a couté à Renault d’interrompre ses lignes d’assemblage suite à l’attaque ?



Il y a également des exemple bien plus préjudiciables, tel qu’une aciérie victime d’un hack interrompant le flux d’acier en fusion, obligé de changer pas mal de pièces car l’acier s’est solidifié dans le circuit… (je ne suis pas expert en haut-fourneau, donc je ne saurais plus expliquer l’affaire. Voici un lien, mais il me semble qu’il s’agit d’encore un autre hack :https://www.sentryo.net/fr/cyberattaque-industrielle-contre-acierie-allemande/ )



Bref tout ça pour dire que la sécu dans les systèmes industriel c’est de la blague, et que ça peut-être extrêmement préjudiciable pour l’entreprise.


Merci Vincent, super article <img data-src=" />








Freeben666 a écrit :



En attendant je suis curieux de savoir combien ça a couté à Renault d’interrompre ses lignes d’assemblage suite à l’attaque ?





Entendu sur France Info samedi, selon un délégué syndical, ça représente 100 véhicules par jour qui ne sont pas produits (à voir pour l’équivalent financier, je ne sais combien Renault valorise un véhicule en sortie de chaîne de montage)



Il devrait toujours l’être. Mais les gens râlent dès qu’ils doivent réfléchir.


Microsoft est fautif avec ses mensonges sur les mises à jour.

Celle qui désactive Windows Update pour les “anciens” processeurs est intitulée “mise à jour de sécurité seulement.” Çà installe une méfiance contre productive.








PtiDidi a écrit :



Cest pas le même coût les premières années mais si tu voulais XP ou 98 sur ton processeur Ryzen 64bits avec 32Go de RAM, tu estimes à combien le support?



Ben justement, comment ferait Microsoft pour assurer le support de Windows sur du matériel en fin de vie genre 98 sur un P3?

Il devrait donc avoir un stock de P3+CM+HDD PATA pour assurer le support sur 50ans?





C’est absolument inutile.

Les machines virtuelles ont tout ce matériel virtuel en stock. Les ports COM sont reliés à de l’USB, seules des cartes ISA/PCI peuvent gêner.



En théorie ouais, dans la pratique non.

Une machine virtuelle émule un environnement mais ne reproduit pas à 100% le comportement d’un hardware.



une légère différence de timing/fréquence entre les RAMs par exemple


ça m’étonnerait fort que linux ne soit pas visé prochainement (comme il l’a déjà été, par exemple sur des versions aménagées pour les NAS synology qui ont été visés par des ransomwares l’année passée).

C’est moins lucratif pour le moment, mais c’est une piètre protection avec des failles non encore patchées.