La propagation mondiale d’une rapidité sans précédent de WannaCry et de ses variantes qui exploitent une vulnérabilité d’exécution de code à distance, a fortement mobilisé les RSSI (Responsables Sécurité des Systèmes d’Information) et les équipes en charge de la cybersécurité des entreprises et des administrations durant le week-end du 13 mai et des jours qui ont suivis. Le baromètre annuel Cesin-Opinionway situait cette année encore le ransomware au premier rang des menaces pour la sécurité des systèmes d’information, le Cesin (Club des Experts de la Sécurité de l’Information et du Numérique) a fait un point dès le début de la semaine avec ses membres sur l’impact de ce malware particulièrement virulent.
Un sondage flash effectué auprès des RSSI, membres de l’association, apporte un éclairage sur l’incidence de cette attaque.
Même si la majorité des entreprises interrogées avait, au moins partiellement, déjà déployé les correctifs de sécurité pour la faille de sécurité Microsoft adressée par un correctif disponible dès le mois d’avril 2017, une grande partie d’entre elles a mis en place une cellule de crise, ou une cellule de vigilance renforcée dès le soir du vendredi 12 mai, voire durant le week-end, afin d’apprécier l’évolution de la situation opérationnelle sur la planète et d’effectuer les actions préventives nécessaires.
De larges campagnes de communication ont été réalisées auprès des utilisateurs mais aussi auprès des équipes de support, indiquant notamment comment se présente un poste infecté ainsi que la marche à suivre en cas de détection d’une infection. Un déploiement massif du correctif de sécurité a été entrepris pour les entreprises et administrations qui n’étaient pas à jour. Des mesures d’urgence ont consisté en la mise en œuvre de campagnes spécifiques de mises à jour complémentaires pour les plates-formes qui ne sont plus maintenues par Microsoft comme Windows XP ou Windows 8. Certaines machines ne pouvant recevoir de correctifs de sécurité ont même été arrêtées.
Ces campagnes de mises à jour ont créé des sollicitations fortes auprès des sociétés d’infogérance pour ceux qui y recours qui ont dû répondre à une très forte demande de leurs clients. Les entreprises ont mis en œuvre des filtrages réseaux afin de limiter les flux entrant sur les ports vecteurs de l’infection. Des mises à jour des antivirus et règles de surveillance de SOC ont été établies, ainsi qu’une surveillance accrue des connexions aux botnets et domaines douteux et de l’apparition éventuelle d’extensions de fichiers indiquant le démarrage d’une infection. Les dispositifs de sauvegarde ont été vérifiés afin de s’assurer de l’efficacité des restaurations si une infection survenait.
Au cours de la semaine, deux attaques exploitant la même faille de sécurité que WannaCry ont été identifiées, entrainant de nouvelles actions de filtrage, de recherche de compromissions éventuelles et de monitoring.
La menace reste élevée et une veille constante est assurée par l’ensemble des organisations. Le CERT-FR publie d’ailleurs régulièrement de nouvelles informations. D’autres failles de sécurité ainsi que des outils exploitant ces vulnérabilités ont été divulgués et sont en mesure d’entraîner à court terme de nouveaux épisodes de cyber-attaques à grande échelle. La crise étant encore en cours, il est trop tôt pour en tirer toutes les conclusions. On peut néanmoins s’interroger sur la nécessité de créer des circuits de communication particuliers afin d’échanger avec les agences étatiques autour des vulnérabilités les plus dangereuses non encore publiques. Le CESIN réfléchit quant à lui sur la mise en place d’un tel circuit d’échange d’information réservé à ses membres. De même, les failles étant exploitées par les agences de renseignements, il apparait opportun de déployer des systèmes de sécurité différents de ceux qui sont présents dans les systèmes d’information de leurs cibles.
Le CESIN n’ignore pas les relations particulières entre les services étatiques et les éditeurs. En l’espèce, il déplore le manque de transparence de Microsoft quant à la dangerosité effective de la faille MS17-010, qui semble par ailleurs avoir été utilisée par certains services de renseignement, mais apprécie sa fourniture rapide de correctif pour des environnements plus supportés tels que Windows XP.
Par ailleurs, le Cesin salue le travail indépendant des trois chercheurs français qui ont œuvré à la création du logiciel nommé Wanakiwi (Benjamin Delpy, Matthieu Suiche et Adrien Guinet), une solution validée par l’office de Police européenne Europol, permettant de récupérer l’accès aux données verrouillées (à la condition toutefois que ces machines n’aient pas subi de redémarrage). Cette solution développée dans l’urgence fonctionne, dans le périmètre de la version actuelle du malware, sur Windows XP, Windows Vista et Windows 7.
Cette crise a, une fois de plus, démontré que le RSSI qui est au centre de la protection du patrimoine informationnel de l’entreprise par temps calme, se retrouve en première ligne de la cyber défense dans la tourmente. Elle montre également que les principes parfois d’extrême précautions des entreprises qui ne patchent pas par crainte de disfonctionnement des applications vont devoir désormais choisir entre le risque de subir de telles attaques ou s’en prémunir en appliquant les correctifs sans nécessairement faire des tests de non-régression complets.
Enfin le CESIN souligne l’impérieuse nécessité de la synergie entre toutes les parties prenantes de la cybersécurité.