Veille technologique

pour les professionnels de l’industrie
S’abonner

S’inscrire à l’hebdo de la techno :

Rechercher sur Industrie & Technologies

Facebook Twitter Google + Linkedin Email
×

Cyberattaque WannaCrypt : pourquoi d'autres entreprises pourraient encore être affectées

| | |

Par publié le à 08h27 , mise à jour le 15/05/2017 à 09h24

Cyberattaque WannaCrypt : pourquoi d'autres entreprises pourraient encore être affectées

Baptisé WannaCrypt, le ransomware qui touche principalement des entreprises depuis ce vendredi 12 mai a fait au moins 200 000 victimes dans le monde. De nombreuses entreprises étant fermées le week-end, le bilan pourrait être bien plus lourd. Décryptage par des experts en cybersécurité. 

200 000 victimes dans au moins 150 pays. Le bilan est lourd et pourrait l’être bien plus en ce début de semaine. Ce vendredi 12 mai, une attaque mondiale de rançongiciel, ou ransomware a été lancée, touchant essentiellement les systèmes d’information des entreprises. Baptisé WannaCrypt, ce ransomware verrouille les fichiers d’un ordinateur infecté jusqu’à ce que l’utilisateur accepte de payer la rançon. « Le ransomware WannaCrypt a frappé avec une grande violence vendredi, en débutant par l’Europe avant de se répandre rapidement dans le monde entier », commente Lionel Goussard, directeur régional France, Suisse et Benelux de SentinelOne. « A partir de 13h, heure du Pacifique, on estimait que plus de 57 000 systèmes dans plus de 74 pays avaient déjà été touchés. Le directeur d’Europol évoquait ce dimanche un chiffre de 200 000 victimes dans au moins 150 pays. Beaucoup d’entreprises ne travaillant pas le week-end, on peut s’attendre à un nouveau pic de victimes en début de semaine. » Ce que confirme Daniel Smith, expert Emergency Response Team chez Radware : « Nous pensons que WannaCrypt se propagera encore plus dès lundi, lorsque les systèmes qui ont été éteints pour le week-end et qui n'ont pas reçu les correctifs nécessaires seront remis sous tension. »

Quelle différence avec les autres ransomwares ?

Cette faille de sécurité, par laquelle sont passés les cyberattaquants, provient du système d’exploitation Windows pourtant patchée par Microsoft. Lors de l’attaque du parti En Marche ! d’Emmanuel Macron, Norman Girard, VP & GM Europe Continentale chez Varonis, nous expliquait qu'elle avait reposé sur l'exploitation d’une faille de sécurité sur l’applicatif Wordpress  4.4.2 qui n’a – alors que le patch existe – pas été mis à jour. Lionel Goussard précise : « Des rapports supplémentaires indiquent que cette souche de ransomware a été diffusée à l’aide de l’exploit EternalBlue dérobé à la NSA et rendu public par ShadowBrokers en avril. Cette vulnérabilité a été corrigée par Microsoft (MS17-010) avant que ShadowBrokers ne divulgue cet exploit. Cela montre que si l’installation des patchs et des mises à jour critiques peut se révéler compliquée, il n’en reste pas moins une étape indispensable pour toutes les organisations. »

« Cette attaque par exploit particulièrement agressive subvertit les postes de travail et les contrôles d’accès aux données », précise Christophe Badot, directeur général France, Luxembourg et Suisse romande de Varonis. « Bien qu’elle chiffre les fichiers comme n’importe quelle campagne de ransomware, la différence ici est que les cybercriminels tirent profit des outils de piratage issus de la fuite de données de la NSA afin de répandre l’infection latéralement sur tous les appareils connectés au réseau. Une fois ce ransomware sur un serveur partagé, toutes les données sont susceptibles d’être corrompues. Le principal risque de ce ransomware est que, une fois entré, il se répandra très largement, très rapidement et sera en mesure de corrompre l’ensemble du système d’information. » 

Abonnez-vous et accédez à l’intégralité de la veille technologique

Commentaires

Réagissez à cet article

* Informations obligatoires

erreur

erreur

erreur