WannaCrypt : Que faut-il en penser ? Réagissez !
WannaCrypt est un sujet qui est sur toutes les tables des services informatiques suite à l'attaque de ce week-end. Avec plus de 200 000 appareils infectés et quelques sociétés mises à l'arrêt, on peut dire qu'il a fait du bruit et, qu'il n'est pas sans conséquence.
Sommaire
La maintenance des parcs informatiques mise en cause ?
Ce qui saute aux yeux, c'est qu'il met en lumière un manque cruel de maintenance des parcs informatique au sein de certaines entreprises. Ce ransomware exploite une faille connue et corrigée par Microsoft en mars dernier, quand on connait aujourd'hui l'importance des mises à jour, comment a-t-elle pu être oubliée ?
On ne peut pas dire qu'il n'y ait pas d'outils à disposition pour mettre à jour simplement son parc informatique, Microsoft propose depuis de nombreuses années le rôle WSUS sur Windows Server pour justement déployer ces correctifs en quelques clics.
Alors certes, cette attaque touche également les postes sous Windows XP, un OS totalement obsolète et plus maintenu par Microsoft depuis le 8 avril 2014. Mais est-ce normal que Windows XP soit encore utilisé ? Non, même il faut se rendre à l'évidence que ce n'est pas toujours simple de s'en passer dans ces cas particuliers, notamment dans le domaine de l'industrie où il habite la machine reliée à un automate hors de prix. Au passage, Microsoft a publié un patch en urgence pour Windows XP et Windows Server 2003 pour corriger la faille sur ces systèmes obsolètes.
Au delà du fait d'appliquer ce correctif de sécurité, vous pouvez désactiver le SMBv1 puisque c'est la version concernée par cette vulnérabilité et qu'elle est obsolète. Aujourd'hui, nous sommes à la version SMB v3.X. Le problème c'est que la version 1 de SMB est toujours activée sur Windows par soucis de compatibilité, notamment sur des copieurs réseau qui utilisent cette version pour le scan-to-share. Soyez vigilant donc avant de désactiver cette version qu'il faudra peut être mieux patcher dans premier temps.
Infos : Quelle version du protocole SMB utilisez-vous ?
Éduquez vos utilisateurs !
A mon sens, au delà du système d'exploitation, il y a fort à faire également sur l'hygiène informatique avec l'éducation des utilisateurs, mieux vaut prévenir que guérir. La sécurité c'est aussi anticiper les risques et identifier les faiblesses de son système d'information. Il est indispensable de former les utilisateurs pour qu'ils aient un regard plus aguerrit sur ce qu'ils font sur Internet, sur les fichiers qu'ils ouvrent, etc... Car bien souvent, c'est par là que la porte s'ouvre pour accéder à votre système d'information.
Vos utilisateurs doivent aussi être informé sur l'importance des mises à jour, que ce soit au travail ou à la maison, les mises à jour sont indispensables ! On ne désactive pas Windows Update !
WannaCrypt, pourquoi est-il si puissant ?
Pour faire simple, en ce qui concerne WannaCrypt en lui-même, il fonctionne sur un modèle basique : un lien, un fichier téléchargé puis exécuté, et ça y est vos fichiers sont chiffrés. Là où WannaCrypt est redoutable et puissant, c'est qu'il exploite ensuite une faille SMB (celle corrigée par le correctif Microsoft) pour se diffuser à travers le réseau sur les autres postes de votre infrastructure.
Au passage, les personnes à l'origine de WannaCrypt sont parvenues à dérober un outil à la NSA qui permet d'exploiter cette faille. La NSA quant à elle l'utilisait dans le cadre de ses opérations d'espionnages.
Un outil de déchiffrement en cours de conception ?
Les éditeurs de solution anti-virus sont sur le coup, WannaCrypt est dans leur viseur : entre ceux qui affirment protéger les utilisateurs contre WannaCrypt et ceux qui affirment travailler sur un outil de déchiffrement.
Lorsque l'outil de déchiffrement sera prêt, il sera normalement diffusé sur le site No More Ransom, une plateforme lancée par Kaspersky Lab, Europol, Intel Security et la police des Pays-Bas. Un travail de coopération est donc en cours.
Quoi qu'il en soit, ne payez la rançon ! Vous n'aurez pas la garantie de revoir vos fichiers... Et en plus vous renforcerez le mouvement.
Voilà, je vais m'arrêter là sur le sujet, on pourrait en écrire des tonnes... Et vous, quel est votre avis sur le sujet ?
dans ce cas la, le serpent se mord un peu la queue. car en tant qu’administrateur réseau, on connait les méfait des MAJ Windows sur un serveur stable. la peur du crash suite a une MAJ qui s’est mal passée ou alors qui vient perturbé le système et devient instable. donc je ne sais pas trop quoi pensé car je vois sur différents plateaux TV que les sociétés de maintenance informatique privées sont pointées du doigt…..
Pour rendre un serveur stable ; c’est recommandé de redémarrer un serveur 1 fois par semaine afin de faire les Maj disponible.
Si c’est fait régulièrement il n’y a pas de raison que le serveur crash.
Faites des sauvegardes !!!
La peur de la mise à jour qui fait planter un système c’est une vieille rengaine des admins qui ont connus Windows 2000 Server et éventuellement 2003, mais aujourd’hui rare sont les mises à jour qui posent problème. Pour ma part j’attends toujours une semaine avant de faire les mises à jour, je laisse les autres essuyer les plâtres 🙂