Wannacrypt ou pas ?

Wannacry, Comment l’éviter, ou s’en défaire ?

Impossible de ne pas avoir entendu parler cette saleté !

Cela fait presque rigoler les usagers Macintosh…

Mais cette infection sera vite enrayée, et nous l’oublierons bien trop vite…

Je suis affecté !

https://img.macg.co/2017/5/macgpic-1494692842-252644042972103-sc-jpt.jpg

Si vous faîtes parti des malheureux, nous en sommes navrés, et il faut immédiatement déconnecter les machines infectées. Puis procéder au nettoyage, le plus simple étant un reformatage.

Si vous aviez des données sur cette machine renoncez-y !

Si vous n’aviez pas de sauvegardes de ces données, et que la valeur de leur reconstruction dépasse les 10'000 CHF, alors, contrairement aux recommandations officielles, personnellement et sans encore avoir concerté mes collègues, vous pouvez tenter de payer les 300$ ! (Et je me demande si tous sont cryptés avec la même clef, à nous partager à tout hasard, mais j’ai un doute…). ATTENTION: Il est très incertain de pouvoir récupérer votre clef de décryptage (à priori 1 chance sur 2 ou 3). Par contre, c’est aussi le moment de nous demander une visite et un audit de votre installation: Vous avez besoin de nos services ! www.ICT-a.ch. Si vous n’êtes pas certains que vos données soient en sécurité, surtout si n’avez pas encore été affecté, faîtes-nous venir rapidement avant que ce ne soit trop tard: Un “data audit” est de rigueur !

Si cela est possible, déconnecter aussi vos machines saines du réseaux infecté, et connectez-les en mode “distante” (via votre mobile?) pour continuer à travailler. Il est possible que des machines soient ‘contagieuses’ mais pas encore ‘visiblement infectées’… Votre Wifi 4G personnel, sera probablement moins dangereux que votre réseau local infecté.

Il est aussi possible de désactiver SMB sur un réseau local entreprise via GPO assez rapidement, de façon temporaire, le temps d’assurer le contrôle et nettoyages nécessaires…

Suis-je affecté ?

A priori, si vous n’êtes pas connecté à d’autres ordinateurs Windows antérieurs à la v10, en réseau local, cela réduit vos chances, car l’infection devra passer par une page web ou un email infecté.

Attention: Une machine Windows 10 qui n’est jamais mise à jour, (l’update qui corrige devrait être déployé depuis Janvier 2017) peut aussi être infectée.

Ne pas céder à la panique et ne pas se mettre à installer tout ce qui apparaît sur le Net vous promettant de détecter, ou d’éradiquer ce bot: Si vous y allez au hasard, il est fort probable de s’installer au mieux un Spyware, au pire, un autre BOT, si ce n’est pas lui aussi, un RANSOMWARE concurrent…

Je suggère aussi Spybot ou MalWareBytes, ou les versions ‘free’ de ZoneAlarm ou Avast, avec une aversion pour leur propension à vous réclamer d’acheter la version payante, ou de vous faire croire que vous arrivez au bout de votre ‘essai’, alors que la version ‘freemium’ n’a pas de limite temporelle… Ce qui est bien naturel, il faut bien ‘gagner sa vie” ? Mais pas en s’appuyant sur la crédulité des gens !

Mais de mon point de vue personnel, seules les solutions ‘libres’ et ‘Microsoft gratuite intégrée’ sont dignes de confiance. Les autres n’ont aucun intérêt à éradiquer les menaces ! Les gouvernements feraient mieux d’investir dans des outils libres et concertés de défense et de protections libres, au lieu de faire dans la surveillance massive ! Si 10% de leurs budgets étaient passés dans la contribution à des outils de cyberdéfense en mode libre et ouvert, les cybercriminels et cyberguerriers seraient déjà moins à l’aise. Mais nos gouvernements préfèrent investir dans la Cyber-attaque et l’injection de Troyens, y compris en Suisse.

Suis-je en Danger ?

Windows XP, 7 et 8 ? OUI si la mise à jour MS17–010 n’est pas déployée !

Windows 10 ? NON s’il a suivi les mises à jour recommandées, OUI si le poste n’a pas été mis à jour depuis janvier 2017.

Serveurs Windows ? S’il sont à niveau sur 2008 et 2012, et à jour, NON. Si vous avez encore des serveurs Windows 2003, alors OUI, déployez rapidement MS17–010 !

Linux, Macintosh ? NON! Mais cela ne veut pas dire que ces types de machines ne sont pas susceptibles de recevoir des attaques de sécurité, ni être exemptes de failles…

Fausse croyance:

J’ai séparé mon réseau ‘bureautique’ de la ‘production’, il n’y aucun ‘routage’ entre les deux réseaux, je ne crains rien !

Généralement, nos audit montrent que les PMI mettent souvent en place des doubles interfaces réseaux sur certains postes, pour faciliter la vie des utilisateurs devant intervenir dans les deux mondes ! Mauvaise idée: Il est possible de mettre en place un ‘blindage’ approprié, et nous avons aussi des astuces simples pour améliorer la sécurité, sans se ruiner !

Un ordinateur n’ayant pourtant aucun accès à Internet, peut parfaitement recevoir et transmettre sur tout le réseau ‘interne’ un Ransomware ou autre menace du genre…

Comment m’en protéger ?

La principale faille de sécurité d’introduction initiale, reste l’utilisateur !

Une fois présent sur le réseau, la principale cause de propagation, c’est l’obsolescence des systèmes, incorrectement mis à jour, incluant les logiciels de protection complémentaires…

Le maillon le plus faible, défini la résistance de toute la chaîne !

Cela inclue des logiciels souvent négligés dans les entreprises et les usagers privés:

  • navigateurs Internet (browser)
  • lecteur PDF (Adobe reader)
  • plugin de navigateurs (Java, active X, Flash…)

Mettre en place des couches logicielles payantes, pour palier les retards de mises à jour, ou les manques de formations des utilisateurs, n’est pas la meilleure alternative, mais cela reste possible, avec des risques de contre-performances et ‘fausses alertes’:

Il existe les recommandations habituelles, mais finalement assez peu suivie…

Nous avons désormais dans notre équipe un excellent formateur en bonnes pratiques contre la cybercriminalité, que nous allons intégrer dans nos offre de formations QuickLearn pour les organisations, ou pour les particuliers via votre centre de formation préféré, si possible.

Dans le cadre de conférences de sensibilisations et cyberculture nous avons déjà publié des informations sur ces sujet en Janvier 2016:

Mais aussi:


Pour vous faire aider et auditer vos installations informatiques, n’hésitez pas à solliciter une première visite de nos experts d’ICT-a.ch, pour une analyse rapide, sans engagements.