La cyberattaque sans précédent par le ransomware Wannacry
Le ransomware Wannacry s’est répandu dans le monde entier le 12 mai 2017 donnant lieu à une cyberattaque massive. Le ransomware Wannacry exploite une faille dans les systèmes Windows apparue en mars dernier. Cette faille avait été identifiée par la NSA et réparée par Microsoft quelques jours plus tard, le 14 mars 2017.
Utilisateurs concernés par la cyberattaque
Cependant, ce correctif n’a été fourni que pour les versions les plus récentes de Windows. Ainsi, le ransomware a principalement infecté les PC tournant sur d’anciennes versions de Windows, notamment Windows XP, qui n’est plus mis à jour par Microsoft.
De même, il a touché les personnes et entreprises ayant des versions plus récentes de Windows mais qui n’ont pas installé le correctif mis à leur disposition par Microsoft en mars.
Dans ce cas, ce sont donc notamment les personnes et entreprises qui ont été négligentes qui ont été touchées par la cyberattaque. En conséquence, il y a un risque que leur assurance ne couvre pas le dommage subi.
Mode d’infiltration du ransomware Wannacry
C’est par une vaste campagne de phishing par e-mail que le ransomware s’est retrouvé dans de nombreux PC. Les victimes ont en effet reçu un e-mail accompagné d’un fichier PDF et c’est en téléchargeant cette pièce jointe que le ransomware Wannacry a pu s’installer dans leur PC.
Une fois installé, le ransomware a bloqué l’accès aux fichiers et exigé une rançon d’une centaine de dollars pour rendre sa liberté au système. Il s’est rapidement propagé et en quelques jours a touché plus de 300 000 ordinateurs (1) dans 150 pays différents (2).
Recommandations
La première mesure préventive contre les cyberattaques, conseillée par l’Agence nationale de la sécurité des systèmes d’information (Anssi), c’est « de sensibiliser les utilisateurs aux risques associés aux messages électroniques pour éviter l’ouverture de pièces jointes. Il convient en effet de ne pas cliquer sans vérification préalable sur les liens de messages et les pièces jointes. Les utilisateurs ne doivent pas ouvrir des messages électroniques de provenance inconnue, d’apparence inhabituelle ou frauduleuse. Plus généralement, il convient de mettre à jour les postes utilisateurs, notamment le système d’exploitation et les applications exposées sur Internet (lecteur PDF, lecteur messagerie, navigateurs et greffons) dans le cas où le code malveillant (ou une variante) exploiterait une vulnérabilité logicielle » (3).
De plus, l’Anssi recommande d’effectuer des sauvegardes saines et régulières des systèmes et des données (postes de travail, serveurs).
Il convient également d’installer une passerelle antivirus de nouvelle génération qui puisse détecter les ransomwares et de la mettre à jour. En effet, les anciennes générations d’antivirus ne sont plus assez protectrices.
En outre, il est nécessaire d’avoir à disposition une solution de protection contre les menaces avancées, appelées APT ou « zero day », capables d’identifier les malwares temporairement non détectables par les passerelles antivirus.
Enifn, la mise en place de politiques de sécurité strictement mises à jour sur tout le périmètre des réseaux d’entreprise – un seul poste vulnérable suffit pour diffuser un malware tel que WannaCry – est devenue indispensable.
Attaque liée au ransomware Wannacry
Si la propagation du ransomware Wannacry a été maîtrisée grâce à un jeune chercheur, il est indispensable de rester vigilant. En effet, selon certains journalistes (4), une nouvelle attaque appelée Adylkuzz, liée à Wannacry, serait en train d’avoir lieu et serait de bien plus grande envergure dans le but de créer et récupérer de la monnaie virtuelle à l’insu des utilisateurs.
Virginie Bensoussan Brûlé
Lexing Contentieux numérique
(1) « Ransomware : le nettoyage se poursuit après le chaos WannaCry », ZDNet France, 18-5-2017.
(2) « WannaCry : Le ransomware planétaire encore prêt à frapper », Le Monde Informatique, 15-5-2017.
(3) Bulletin d’alerte du Cert-fr du 14-5-2017.
(4) Site Harmonie technologie, « WannaCry, Adylkuzz – Décryptage de ces cyber attaques », Harmonie technologie, 17-5-2017.