Actualités

Un rançongiciel (ransomware) qui a fait trembler le monde

Depuis vendredi 12 mai Wannacry (« tu veux pleurer ») aurait infecté plus de 200.000 ordinateurs selon Europol. Cette escroquerie serait le fruit d’opportunistes qui auraient recyclé un logiciel espion développé par la NSA pour profiter d’une faille de Microsoft Windows.

Le principe de ce rançongiciel (ou ransomware) est de propager via un ordinateur, sur les réseaux d’une entreprise, un ver informatique afin de chiffrer les données et de réclamer une rançon contre la clé pour éventuellement les récupérer.

Comment une telle propagation a-t-elle été possible ?

La faille exploitée par WannaCry concerne essentiellement de vieilles versions du système d’exploitation Windows (ex : Windows XP…) et des versions non mises à jour. L’éditeur, à titre exceptionnel, a mis à disposition un correctif pour ses systèmes obsolètes. Téléchargeable ici

Cependant dans les entreprises et administrations, les mises à jour ne peuvent pas être faites par leurs utilisateurs, mais uniquement par les administrateurs de leurs ordinateurs.

Peut-on se protéger contre un rançongiciel ? 

La mise à jour de votre système d’exploitation, c’est comme se brosser les dents tous les jours, c’est une bonne habitude à avoir. Si vous ne pouvez le faire vous mêmes assurez-vous que votre service ou responsable informatique le fasse.

Si le code malveillant est découvert sur vos systèmes, le CERT-FR recommande de déconnecter immédiatement du réseau les machines identifiées comme compromises. L’objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés.

De manière préventive il n’est pas possible de mettre à jour un serveur mais sachez, si vous être client chez Ostin, que tous les serveurs ont été vérifiés et que vous avez du recevoir un mail rappelant les règles d’usages de sécurité.

Recommandations de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information)

Pour prévenir les risques

  • Effectuez des sauvegardes fréquentes – ainsi, en cas de chiffrement du disque dur, une restauration des données sera possible.
  • N’ouvrez pas les courriels dont vous n’êtes pas certain de l’expéditeur ; vérifiez l’adresse d’envoi. Méfiez-vous des courriels imitant les adresses de correspondants que vous connaissez : les attaquants peuvent avoir identifié leurs noms (organigramme d’une entreprise par exemple) pour vous induire en erreur. En cas de doute n’ouvrez pas les pièces jointes.
  • Évitez l’ouverture de pièces jointes de type SCR ou CAB (extensions de compression actuellement utilisées dans la campagne CTB-LOCKER)
  • N’ouvrez pas vos courriels, et ne naviguez pas depuis un compte ayant des autorisations « Administrateur ».
  • Créez un compte « Utilisateur »
  • Utilisez un antivirus et mettez régulièrement à jour sa base de signatures. De même, effectuez toutes les mises à jour logicielles et système.

En cas d’incident

  • Déconnectez immédiatement votre poste de l’Internet (arrêt du WiFi, câble Ethernet débranché).
  • Ne payez pas la rançon. Le paiement ne garantit en rien le déchiffrement de vos données et peut compromettre le moyen de paiement utilisé (notamment carte bancaire).
  • Effectuez ou faites effectuer une restauration de votre ordinateur : il faut reformater le poste et réinstaller un système sain ; puis restaurer les copies de sauvegarde des fichiers perdus, lorsqu’elles sont disponibles.
  • Portez plainte au commissariat de votre domicile.

 

En résumé :

  1. Ne pas ouvrir les mails, NI leurs pièces attachées ou leurs liens, lorsqu’ils ne proviennent pas d’une source connue, et même là, s’interroger sur leur origine (le contenu est il attendu ? est-ce un mail rédigé comme d’habitude ?)
  2. avoir un bon antivirus à jour
  3. Avoir en permanence une sauvegarde de 7 jours en place et vérifiée

 

Il est indispensable de pouvoir revenir à une situaTIon antérieure, même si cela doit prend 75h00.

Partager