WannaCry : 5 leçons à tirer/rappeler.

Yassir Kazar
6 min readMay 13, 2017

--

Vendredi 12 Mai 2017, une centaine de pays ont été la cible d’une attaque massive avec le ransomware connu sous le nom WannaCry ou encore WannaDecrypt0r.

Voici une carte qui montre la progression de la propagation de WannaCry :

Visualiser la carte en cliquant ici

Avant d’aller plus loin et aussi triste que cela puisse paraître nous devons toutes et tous nous préparer à ce que la fréquence de ce type d’attaque massive augmente dans le temps. La démocratisation des outils d’automatisation et passage à l’échelle des attaques sont en partie responsable mais d’autres éléments concordent pour créer un contexte propice à ce type d’attaques. Le but de ce texte est d’essayer de tirer les premières leçons -à chaud pour le moment- de cet incident majeur.

I — A l’origine : une “cyber weapon” développée par la NSA

On ne peut pas faire l’impasse sur ce point. Le ransomware qui a affecté ces centaines de pays s’appuient sur une faille “MS17–010” qui a été découverte et développée par la NSA.

Un groupe nommé The Shadow Brokers avait réussi il y a quelques mois à récupérer les outils développés par la NSA pour exploiter ces différentes failles et a rendu publique une partie de ce qu’ils ont dérobés à la NSA.

Pour illustrer, c’est comme si un groupe d’individus avait découvert un hangar rempli d’armes secrètes, a décidé de remplir des bus avec ces armes et les mettre disposition de Monsieur tout le monde… aussi bien celui qui sait se servir des armes que celui qui ne sait pas mais aussi celui qui n’aura pas envie d’utiliser ces armes que celui qui n’hésitera à les utiliser sur l’espace public. Je caricature à peine

Voilà pourquoi depuis plusieurs années des voix s’élèvent -tout le monde se rappelle de l’épisode où le FBI voulait insérer des portes dérobées dans les iPhone- pour mettre en garde contre la volonté de plusieurs agences gouvernementales de fragiliser des systèmes informatiques en y insérant des failles informatiques pour des fins de surveillance.

Pour celles et ceux qui doutaient encore, ce qui s’est produit hier est la parfaite démonstration que cette approche met en danger les citoyens à travers le monde.

Les “cyber weapons” ou “cyber-armes” ont deux grandes différences par rapport à des armes classiques :

  • Elles sont facilement “copiables”. Il suffit d’avoir de la matière grise, le reste c’est du copier/coller et de l’adaptation de code.
  • Elles sont de facto, massives.

II — Qui est derrière cette attaque ?

Il est toujours difficile de répondre à cette question sans éléments de forensic . Et même avec des data qui proviennent d’une analyse, les attaquants peuvent toujours brouiller les pistes en laissant de fausses traces dans les fichiers de log.

Ceci dit, vu l’ampleur de l’attaque, vu comment elle a ciblé de manière indifférenciée des pays à travers le monde, et au vu des transactions financières sur les comptes bitcoin des attaquants, nous sommes certainement face à une organisation de cyber-criminels :

Un des trois comptes bitcoin sur lesquels les rançons sont payées
Un des trois comptes bitcoin sur lesquels les rançons sont payées
Un des trois comptes bitcoin sur lesquels les rançons sont payées

III — Si la faille était connue, comment a-t-elle pu être exploitée ?

Non seulement cette faille était connue mais l’éditeur Microsoft avait sorti un patch au mois de Mars 2017 suite au leak des outils de la NSA

Il y a deux grands facteurs qui expliquent comment la faille a pu être exploitée :

  • Le premier est le fait que les entreprises ne fassent pas les mise à jour nécessaires. Ce qui est certes dramatique, mais il renvoie à une réalité terrain : les équipes sécurités, si jamais il y en a, sont vu comme un centre de coût, leur budget est assez serré, ils sont perçu comme une entrave au bon déroulement de la productivité… etc. Il est illusoire dans de telles configurations de croire que ce type de choses va s’arrêter.
  • Deuxièmement, Il y a toujours une grande confusion entre backup et copie : Faire une copie de fichiers et les stocker quelque part n’est pas vraiment un backup. Le backup rempli sa fonction quand il y a au moins deux sauvegardes dans deux formats différents sur deux supports différents à deux endroits différents (idéalement isolés les uns des autres). Et bien souvent même quand la notion de backup est respectée, l’exercice de simulation grandeur nature d’une récupération de données après crash ou attaque est souvent bâclé voire n’est pas fait du tout. Il n’est pas surprenant que le jour J où l’entreprise subit réellement l’attaque, que rien n’aille comme prévu.

IV — Y-a-t-il un « pattern » derrière ce type d’attaque ?

Phishing : L’humain est faillible…

Le point de départ est souvent un e-mail bien construit sur lequel il faut cliquer pour télécharger un document, ou faire une action urgente demandée par un supérieur hiérarchique ou encore faire une mise à jour critique du système sur la demande d’un membre de l’équipe technique. Sur ce point, la sensibilisation et la formation sont les réponses les plus banales et les plus pragmatiques en même temps. Ceci dit il faut nécessairement une dimension pratique dans les exercices de sensibilisation et de formation. Je pense même qu’il ne faut pas hésiter à “tromper” les salariés avec de fausses campagnes de phishing pour les sensibiliser. Ceci dit cet exercice ne doit en aucun cas se transformer en reproches, blâmes ou en humiliation des personnes qui auraient succombé à la tromperie. Au contraire ce type d’exercice doit être l’occasion pour mieux appréhender ce type d’attaque et expliquer aux équipes que : Nous sommes toutes et tous faillibles.

Vendredi : …surtout à certains moments…

Le 21 Octobre 2016, une attaque massive contre l’entreprise DYN a eu lieu et a immobilisé les sites américains les plus connus et les plus utilisés à travers le monde. Le 21 Octobre 2016 était un Vendredi.

Ce jour est un jour privilégié pour les attaques car souvent les employés sont plus décontractes,(donc moins vigilants). C’est la veille des week-end donc tout le monde est pressé de rentrer un peu plus tôt ou encore se préparer à un départ pour un petit congé. Le Vendredi est donc un jour durant lequel, du fait de l’organisation de nos sociétés, les chances de voir aboutir une attaque sont assez élevées.

Mais sans vouloir généraliser sur le Vendredi car des cyber attaques arrivent d’autres jours, il est important de réfléchir à cette notion disponibilité et de rythme d’une organisation. De la même manière qu’un criminel attaquera quand il n’y aura pas de gardien à l’entrée d’un bâtiment, un cyber criminel privilégiera une attaque un jour où la vigilance des salariées ne sera pas optimale, de toutes façons il suffit d’un maillon faible.

Hôpitaux/Telecommunication :…et à certains endroits.

Les opérateurs de télécommunications sont une cible privilégiés des cyber attaques du fait de leur positionnement névralgique dans tout le réseau internet. Cependant il a souvent des équipes techniques assez pointues chez les opérateurs Telecom et une prise de conscience assez élevée des enjeux de la cyber sécurité.

En revanche, les Hôpitaux sont une cible privilégiée des cyber attaques en général et des ransomware en particulier mais ils ne disposent pas forcément ni des moyens ni du niveau de sensibilisation nécessaire pour faire face à ce type d’attaques. Certainement parce qu’encore une fois dans notre imaginaire, l’hôpital serait un endroit qui serait épargné par les atrocités de l’être humain, en temps de guerre, on épargne -souvent- les hôpitaux

V — Est-ce uniquement les machines “windows” qui sont concernées ?

Pour le moment il n’y a que des cas de machines Windows qui sont reportées vu que la faille touche directement Windows.

Une autre hypothèse qui me semble plausible, -mais rien ne semble indiquer qu’elle soit avérée ou qu’elle ne soit pertinente- serait que des systèmes Unix soient touchés via le layer Wine de Microsoft. Je ne sais pas si des chercheurs, experts se sont penchés sur cette hypothèse et l’ont vérifié.

Que faire si je suis victime ?

Si vous êtes victimes :

--

--