Le week-end dernier, des ordinateurs au travers plus de 150 pays ont été touchés par une attaque informatique. Son nom ? WannaCry. Plus de 200 000 victimes ont déjà été impactées, alimentant la crainte d'une cyberattaque d'encore plus grande envergure. Experts et personnalités reviennent sur cette attaque.

Fabien Huraux, CRO/CISO chez EBRC, intervient sur les sources de l'attaque mais également sur les bonnes pratiques à appliquer pour y prévenir. « À la base, cette attaque provient d'un ransomware, un logiciel malveillant dont le seul objectif est d'obtenir de l'argent. C’est ainsi que, pour arriver à leurs fins, un groupe de hackers non-professionnels ont détourné les outils de la NSA afin de lancer des ransomwares générant une attaque d’un impact phénoménal. Cette attaque a clairement révélé le nombre de machines non patchées, aussi bien dans de grands groupes comme Renault que chez des particuliers ». Selon Fabien Huraux, l'attaque n'est pas endiguée mais ralentie. « En effet, le vecteur d'attaque risque de changer. Tant qu’il subsistera des machines non patchées, il existera un risque pour les infrastructures des clients. Si d’autres personnes mal intentionnées ayant les compétences nécessaires pour adapter les outils souhaitent les utiliser a d’autres fins que celle de lancer un ransomware, comme l'espionnage industriel, alors il sera beaucoup plus difficile de s’en défendre ». Il est également revenu sur les bonnes pratiques à adopter après une attaque afin d'éviter toute mauvaise surprise : « Deux aspects sont à prendre en compte. D'abord l'aspect préventif, en mettant, entre autres, les back-up à jour, en patchant ses machines, en avertissant les personnes et en faisant attention aux CDs ou clés USB que l'on introduit dans les machines, car ils constituent des vecteurs d'infections importants, tout comme les e-mails et les liens internet qui restent une source d’infection logique. Ensuite, la partie réponse comprenant la détection, rendue compliquée car les patterns des antivirus n’étaient pas tous à jour au moment des attaques, et la réponse à l’incident via des SOC, qui nécessitent des règles particulières pour détecter les ransomwares. En effet, la réponse générale aux ransomwares consiste à déconnecter du réseau les machines touchées pour prévenir l’infection et  identifier le type de ransomware appliqué, son impact ainsi que son type de propagation » a-t’il conclu.

 

Vincent Villers, Partner chez PwC, revient sur Wannacry, l'attaque qui a touché plusieurs pays dans le monde ainsi que plusieurs grandes entreprises et organisations : « cette attaque démontre une fois de plus que, avec une gouvernance robuste et en particulier un processus fiable de mise à jour de versions de logiciels, les entreprises peuvent réduire les risques et les impacts sur leurs systèmes d'information. Dans ce cas, la mise à jour est disponible depuis mars 2017... Et comme le risque zéro n'existe pas, une sensibilisation de tous les employés, des mesures de prévention (isolement des machines qui ne peuvent pas être upgradées, back up...), et surtout des procédures de réaction/gestion d'incidents, restent indispensables. »

 

David Metz, Security Department chez Tech-IT,  ajoute : « sur le point de la sensibilisation de vos collaborateurs, nous vous recommandons de leur rappeler quelques principes. Pour identifier les emails suspects, il faut veiller à bien vérifier que l’expéditeur soit connu, et qu’il n’y a pas de faute dans son adresse email. Il faut également se montrer suspicieux vis-à-vis de tous les emails, et en particulier de ceux qui n’ont pas été sollicités ou qui ne s’inscrivent pas dans un échange. Ne pas ouvrir un exécutable, un fichier office, un fichier chiffré (exemple : zip chiffré) ou un fichier avec une extension inconnue si vous n’avez pas la certitude absolue de la légitimité de l’email. Pour les fichiers Office, n’activez pas les macros dans la mesure du possible. En cas de doute sur un email. Nous recommandons de ne pas ouvrir les pièces jointes contenues dans ce mail, de ne pas cliquer sur un lien contenu dans ce mail, de ne pas afficher les images contenus dans l’email (si les images ont été bloquées par votre client mail), de ne jamais répondre par email et vérifiez avec l’expéditeur par d’autres biais (ex : téléphone à la réception) à propos de la légitimité de l’email ».

 

Les experts de la société Dimension Data ont également prodigué de précieux conseils : « Les utilisateurs devraient être suspicieux de tous les emails qu'ils reçoivent, particulièrement ceux contenant des pièces jointes ou des liens internet. Cette infection est préjudiciable pour toutes les informations sensibles et les systèmes internes ».

 

Paul van Kessel, EY Global Advisory Cybersecurity Leader, développe quelques étapes primordiales pour se protéger et réduire l'impact de ces attaques. « Le risque d'être attaqué augmente si des mesures préventives ne sont pas prises. D'abord, il faut déconnecter les machines infectées du réseau. Ensuite, installer les mises à jour de sécurité pour veiller à la bonne détection des malwares. Enfin, il faut également s'assurer que les PC soient tous mis à jour, collecter et préserver les preuves d'attaques pour les enquêtes et investigations ».

 

Dans un communiqué, David Emm, Senior Security Researcher chez Kaspersky Lab, a évoqué quelques points clés à propos de l'attaque et de son contrôle : « Là où il y a des ordinateurs non mis à jour, il peut y avoir des risques d'infection. Nous savons que les gens et les organisations ne mettent pas forcément à jour leurs systèmes, et nous savons maintenant que l'on peut exploiter ces vulnérabilités. Dimanche, des variantes du malware, représentant des attaques très limitées, ont également émergé. Pour l'instant, personne ne peut dire avec certitude que le pire est à venir, tant qu'il y a aura des ordinateurs qui ne seront pas actualisés, il existera des risques, d’autant plus qu’il est également possible de voir d'autres malwares se développer » a-t’il indiqué.


Publié le 16 mai 2017