Plus de 230 000 ordinateurs dans 150 pays ont été touchés par une cyberattaque qui crypte les données jusqu'au paiement d'une rançon. On pense que c'est le plus grand de l'histoire, l'Inde, Taïwan et plusieurs pays européens étant les plus touchés.
Si vous utilisez un Mac, vous n'avez rien à craindre pour l'instant, car ce « ransomware » particulier ne cible les PC Windows. Cependant, le nombre d'attaques conçues pour macOS augmente à un rythme rapide chaque année.
Alors, qu'est-ce qu'un ransomware exactement et comment l'éviter? Voici ce que vous devez savoir.
Cette attaque généralisée a fait surface pour la première fois à Londres vendredi matin, le National Health Service (NHS) du Royaume-Uni étant l'une des plus grandes organisations à être touchée. Il s'est ensuite rendu dans plus de 150 pays, mettant les petites et grandes entreprises sur le dos.
On pense que l'équipe à l'origine de l'attaque, connue sous le nom de "WannaCrypt" ou "WannaCry", n'a reçu qu'environ 32 000 $ en frais de rançon jusqu'à présent, mais on estime que des centaines de millions de dollars ont été perdus à cause de l'informatique pannes.
Microsoft a décrit l'attaque comme un "réveil" et accuse les gouvernements d'avoir "stocké des vulnérabilités" dans les logiciels qui ont permis la création du ransomware.
Voici ce que nous en savons jusqu'à présent.
Qu'est-ce qu'un ransomware ?
Le ransomware est un type de logiciel malveillant qui crypte les données sur un ordinateur infecté et empêche l'utilisateur de le déverrouiller jusqu'à ce qu'une rançon ait été payée. Dans certains cas, les ransomwares peuvent verrouiller un disque dur entier, rendant impossible la récupération de données.
Tant que le système n'a pas été déverrouillé, un message s'affiche demandant le paiement de la clé de déchiffrement. Les attaquants souhaitent généralement ce paiement sous forme de bitcoins, ce qui empêche la traçabilité de l'argent. La grande majorité des attaques de ransomware sont conçues pour Windows, qui détient une part de marché nettement plus importante que macOS. Cependant, à mesure que les ordinateurs Apple deviennent plus populaires, le nombre d'attaques ciblant les utilisateurs de Mac augmente à un rythme sans précédent.
En avril, le dernier rapport sur les menaces de McAfee Labs a révélé que le nombre d'attaques de logiciels malveillants conçues pour macOS a grimpé de 744% en 2016, avec environ 460 000 instances de logiciels identifiées. Heureusement, la grande majorité d'entre eux sont des logiciels publicitaires, qui sont loin d'être aussi dangereux.
Comment les ransomwares se propagent-ils ?
Tout comme beaucoup d'infections par des logiciels malveillants, les ransomwares se propagent par les e-mails de phishing. Un fichier apparemment innocent est joint à un message et un utilisateur sans méfiance l'ouvre, le croyant authentique. Le logiciel malveillant peut alors mener son attaque et l'utilisateur n'en sait rien jusqu'à ce qu'il soit trop tard.
On pense que l'attaque WannaCry a profité d'un exploit appelé EternalBlue, développé par la National Security Agency (NSA) des États-Unis, qui lui permet de se propager via un réseau.
Cela signifie qu'une fois le logiciel installé sur un PC, il peut se propager à d'autres sur le même réseau sans avoir à être ouvert manuellement sur chaque ordinateur.
Comment pouvez-vous l'éviter?
Le moyen le plus simple d'éviter les ransomwares est de maintenir votre ordinateur à jour. Les éditeurs de logiciels publient généralement des correctifs pour les grandes vulnérabilités, comme MS17-010, celui exploité par WannaCry — peu de temps après leur identification, et l'installation de ces correctifs garantit la sécurité de votre ordinateur.
Croyez-le ou non, Microsoft a corrigé la vulnérabilité MS17-010 en mars et classé la mise à jour comme « critique ». Malgré cela, de nombreuses organisations ne l'avaient pas appliqué, laissant leurs machines vulnérable. Les PC exécutant des systèmes d'exploitation plus anciens, comme Windows XP, étaient également à risque.
Depuis que WannaCry a été identifié, Microsoft a pris la mesure inhabituelle de corriger à la fois Windows XP et Windows Server 2003 - malgré l'abandon du support il y a plus de deux ans - pour empêcher de nouvelles épidémies.
Vous pouvez également renforcer votre sécurité en exécutant un programme antivirus réputé. Ceux-ci peuvent identifier certaines attaques dès leur téléchargement et les bloquer avant qu'elles n'aient la possibilité de faire des dégâts. Mais l'antivirus ne vous sauvera pas toujours. Aussi rapidement que ces programmes sont mis à jour pour lutter contre les dernières attaques, les pirates en développent de nouvelles qui ne seront initialement pas détectées.
Que fait-on à propos de WannaCry ?
En un mot, il y a très peu de choses à faire avec des ordinateurs déjà infectés. Les experts chercheront des moyens de le tuer et de décrypter les systèmes sans payer les frais de rançon, mais il n'est pas encore clair si cela est possible.
Comme mentionné ci-dessus, Microsoft a déjà corrigé la vulnérabilité exploitée par WannaCry en mars, donc les PC à jour y seront immunisés. Il a également publié des mises à jour pour Windows XP et Windows Server 2003 afin d'empêcher de nouvelles attaques.
Un chercheur en sécurité anglais de 22 ans a trouvé par inadvertance un kill-switch dans WannaCry qui l'empêche de se propager. Tout ce qu'il avait à faire était d'enregistrer un "nom de domaine très long et absurde auquel le malware fait une demande", ce qui l'a fermé.
Le kill-switch a été intégré par le créateur du ransomware au cas où il voudrait l'empêcher de se propager. Le logiciel vérifie le domaine et s'il l'identifie comme actif, il arrête immédiatement d'essayer de se frayer un chemin vers d'autres machines.
Le domaine a coûté au chercheur, identifié uniquement comme MalwareTech, seulement 10,69 $, et il enregistrait immédiatement des milliers de connexions chaque seconde, selon Le gardien.
Mais ce kill-switch n'annonce pas la fin de WannaCry.
"Ce n'est pas fini", prévient MalwareTech. « Les attaquants comprendront comment nous l’avons arrêté, ils changeront le code et ensuite ils recommenceront. »
Qui a été affecté par WannaCry ?
La longue liste d'entreprises et d'organisations affectées par WannaCry, selon Wikipedia, comprend :
- PetroChine
- Bureau de la sécurité publique
- Renault
- Portugal Télécom
- ministère des Affaires étrangères
- MegaFon
- Ministère de l'Intérieur de la Fédération de Russie
- Chemins de fer russes
- Telefonica
- Service de santé national
- NHS Ecosse
- Nissan Royaume-Uni
- FedEx
- Massachusetts Institute of Technology
- Société de télécommunications saoudienne
- Hitachi
Au Royaume-Uni, on pense que 70 000 équipements appartenant au NHS ont été touchés par l'attaque, notamment des ordinateurs, des scanners IRM, des réfrigérateurs de stockage de sang et du matériel de théâtre. Certains services et opérations non critiques ont dû être reportés en conséquence.
Une usine Nissan à Tyne and Wear a été forcée d'arrêter la production après que l'attaque a infecté certains des ses systèmes, tandis que Renault a également cessé de fabriquer sur plusieurs sites pour éviter la propagation de infection.
Un appel au réveil
Dans un article de blog publié par Microsoft Dimanche, l'entreprise a décrit cette attaque comme un "réveil". La société reproche à la NSA d'être à l'origine de la vulnérabilité et d'avoir accumulé des vulnérabilités à son profit. Il insiste également sur le fait que les gouvernements devraient faire plus pour empêcher des attaques similaires.
Microsoft appelle les gouvernements à prendre en compte les "dommages causés aux civils par la thésaurisation de ces vulnérabilités". Il veut qu'ils adoptent le Convention de Genève numérique avec « une nouvelle exigence pour les gouvernements de signaler les vulnérabilités aux fournisseurs, plutôt que de stocker, vendre ou exploiter eux."
"Nous devons tirer de cette récente attaque une détermination renouvelée pour une action collective plus urgente", conclut l'entreprise. « Nous avons besoin que le secteur technologique, les clients et les gouvernements travaillent ensemble pour se protéger contre les attaques de cybersécurité. Il faut plus d’action, et c’est nécessaire maintenant. »
