Alerte_sécurité_b

Wannacrypt – nos équipes à votre disposition – le point

Une attaque Cryptolocker – WANACRYPT, d’envergure mondiale a démarré vendredi dernier 12 mai. En date du 14 mai, 200 000 postes ont été victimes de cette attaque dans 150 pays. Il s’agit d’une première attaque de cette envergure.

Dans cet article, le point sur ce qu’est cette attaque, et quelques préconisations. Nos équipes de supports sont à la disposition de nos clients aux N° habituels pour vous assister. Contactez-les.

Ce bulletin sera mis à jour régulièrement au cours de la journée.

WANNACRYPT, WANNACRY ?

Depuis vendredi, le monde entier fait face à un nouveau type de Ransomware : Wannacrypt0r.
La méthode de propagation reste la même que les ransomwares que nous connaissons habituellement (attaque de serveurs ou envoi de mails piégés aux utilisateurs).

La différence se situe à l’exécution car le mécanisme s’appuie sur des failles du protocole SMB Microsoft permettant l’accès à n’importe quel poste ou serveur Windows non protégé présent sur le réseau, ces failles proviennent d’outils d’espionnages de la NSA qui ont été dévoilés il y a quelques mois. Nous devrions voir arriver un certains nombres de variantes dans les mois qui viennent.

Pour plus de détails :

Quelques préconisations en bref :

  • l’application immédiate des mises à jour de sécurité permettant de corriger les failles exploitées pour la propagation (MS17-010 pour les systèmes maintenus par l’éditeur) ;
  • le respect des recommandations génériques relatives aux rançongiciels ;
  • la limitation de l’exposition du service SMB, en particulier sur internet.

En priorité :

Ensuite :

Désactiver le protocole SMB V1 sur les postes et les serveurs.

https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012

Nous vous préconisons également la mise à jour en dernière version de vos environnements pare-feux, anti-virus, filtrage mail, filtrage web, et d’appliquer du virtual patching dans vos environnements virtualisés.

wanna

De manière générale, que faire étant donné que ces attaques, de par leur nature, ne sont quasiment pas détectables ?

Pour l’instant, il n’y a pas de solutions miracles mais que des bonnes pratiques (et oui, encore) et également des techniques pour réduire les possibilités de se faire attaquer.

 Les bonnes pratiques – « Soyez vos propres anges gardiens ! »:

  • N’ouvrez pas de pièces jointes d’expéditeurs inconnus et ne cliquez pas non plus sur des liens suspicieux dans vos mails
  • N’installez pas de logiciels provenant de sites autres que l’éditeur du logiciel souhaité
  • Sauvegardez vos données et testez la restauration pour être sûr que vos sauvegardes servent à quelque chose
  • Si vous trouvez une clef usb par terre, même si elle est jolie, ne la branchez pas sur votre poste, jetez la sans hésitation, une clef neuve ne coûte que quelques euros.
  • Si vous utilisez votre PC professionnel à la maison, pensez à vérifier qu’il dispose d’un antivirus et d’un logiciel de filtrage web à jour
  • Sur vos smarphones, n’installez pas de logiciels provenant d’appstore alternatif, utilisez toujours ceux fournis avec votre téléphone (Apple, Google, Microsoft)

Techniques pour réduire la surface d’attaque :

  • Mettre à jour les systèmes d’exploitations et les applications dans leurs dernières versions.
  • Filtrage des mails : un antivirus et un antispam ne suffit plus, une analyse sandbox est nécessaire pour détecter un cryptolocker
  • Filtrage du surf web : un simple firewall ne suffit plus, il faut activer le filtrage UTM (antivirus, contrôle applicatif, filtrage URL, prévention d’intrusion et analyse sandbox)
  • Serveurs TSE accessible depuis Internet : un serveur TSE n’étant pas un équipement de sécurité, il faut supprimer ces accès directs et les remplacer par des accès vpn ou vpn ssl.
  • Postes de travail nomades : en condition nomade ces postes ne sont pas protégés par l’infrastructure sécurité de l’entreprise, il faut donc utiliser un logiciel de filtrage antivirus et web sur le poste.
  • Réseau d’entreprise : segmenter le réseau en isolant les composants critiques et en filtrant les accès à ces ressources (exemple : pare feu interne entre les postes et les serveurs)

Dès lors que toutes ces bonnes pratiques sont respectées, il convient également de faire vivre le système d’information en le maintenant en conditions opérationnelles par de la surveillance, des mises à jours récurrentes, des sauvegardes et de l’analyse des événements survenant dans le système d’information.

Nous restons à votre disposition pour vous aider sur les solutions techniques à ces problématiques de réduction de surface d’attaque.

 

Pour en savoir plus,

visuel soyez vos propres anges gardiens

Laisser un commentaire