Actualités

Par l’équipe du CLUSIR-PACA – Le 15 mai 2017.

Comme des millions d’utilisateurs dans le monde, vous recevez ce lundi matin une mise en garde à propos du cryptovirus Wannacry qui sévit depuis Vendredi.

• Qu’est-ce qu’un cryptovirus?

C’est un programme qui chiffre vos données avec une clef qu’il garde secrète. Vos données sont dont inutilisables. Une demande de rançon vous est faite si vous voulez obtenir l’outil vous permettant de déchiffrer vos fichiers pour y ré-accéder.

Il entre soit par des failles identifiées dans le système, soit par une action d’un utilisateur cliquant sur un lien provenant d’un mail ou sur des sites web peu fiables et qui active le programme sur sa propre machine.

• WannaCry ?

WannaCry (« Voulez vous pleurer ? ») est un cryptovirus (aussi appelé cryptolocker) qui  exploite une faille présente principalement dans Windows XP et des versions de Windows non mises à jour . D’où l’intérêt des inventaires automatiques du parc informatique et des mises à jour automatiques des logiciels systèmes, antivirus, antimalware et autres middleware.

Ce cryptovirus touche sans discernement de grosses entreprises comme Renault, Telefonica (opérateur téléphonique espagnol), des hôpitaux, des ministères (comme le ministère de l’intérieur russe), etc. Très peu de victimes témoignent. Cette fois, l’attaque est si importante qu’elle fait la une des médias.

Ce malware entre par une faille dans le système d’exploitation Windows (trojan). Pour la petite histoire, les concepteurs se sont servis d’informations volées à la NSA mi-avril 2017, parmi lesquelles une liste des failles Windows que le gouvernement américain gardait secrètes pour les utiliser à l’insu des utilisateurs.

• Comment l’éviter et comment se protéger ?

Comme pour tous virus, les bonnes pratiques suivantes s’appliquent :

• Avoir un système à jour (machines et réseau)
• Activer un coupe-feu (firewall) sur le réseau ou sur sa machine
• Posséder un antivirus à jour (deux antivirus sont réputés pour savoir contrer les rançonlogiciels)
• Ne pas utiliser son ordinateur en tant qu’administrateur (sous Windows, c’est encore trop fréquent)
• Ne pas ouvrir des pièces jointes douteuses. Ne pas cliquer sur des liens douteux dans les mails
• Se méfier des clefs USB et n’utiliser qu’après vérification par un antivirus
• Ne pas utiliser les logiciels et jeux piratés (« craqués ») trouvés sur internet
• S’assurer de posséder des sauvegardes fiables et vérifiées sur un système non connecté à votre ordinateur. Beaucoup de cryptolockers ne permettent pas de relire les fichiers chiffrés même après avoir payé la rançon.
  • Eviter de laisser le disque de sauvegarde monté en permanence sur la machine.
  • Utiliser de préférence des logiciels de sauvegarde qui copie par FTP ou SFTP

• Que faire en cas de compromission ?

1. Débranchez immédiatement votre ordinateur du réseau (pour éviter la propagation au reste du réseau et aux partages réseaux)
2. Arrêtez violemment votre ordinateur: débranchez la prise électrique, et enlevez la batterie pour les portables (pour mettre immédiatement fin au processus de chiffrement)
3. Informer ensuite votre RSSI et votre Support Informatique (sans utiliser le PC compromis)
4. Attendez les secours. N’utilisez ni clef USB ni disque dur externe ni aucun élément ayant été en contact avec le poste infecté.
5. Portez plainte auprès de la police.

En guide de conclusion

Attention, des variantes sont à prévoir et une infection est toujours possible.

Soyons très vigilants cette semaine. Ce virus est particulièrement virulent et les attaquants sont en train de faire des mises à jour et des correctifs.

L’équipe du CLUSIR-PACA