WannaCrypt infecte des milliers de machines, Microsoft patche Windows XP, Server 2003 et 8


  • Admin

    Actuellement, un ransomware infecte de très nombreuses machines de par le monde, notamment dans des services vitaux comme des hôpitaux. Si la faille utilisée est corrigée depuis mars, certains ne sont pas à jour. Devant l’urgence de la situation, Microsoft a publié un patch pour d’anciennes versions de Windows.

    alt text

    Depuis hier, une attaque de très grande ampleur touche des dizaines de milliers de machines. Au dernier décompte, près de 80 pays sont concernés, mais surtout des services d’hôpitaux en Angleterre et en Espagne, des sociétés telles que FedEx, Renault et Telefónica, des dispositifs d’information, ou même des écoles et universités.

    Après les fuites de la NSA, la multiplication des attaques

    En cause, WannaCrypt (ou Wcry, WanaCry, WanaCrypt, Wanna Decryptor), un ransomware qui exploite une faille dans Windows corrigée en mars dernier (bulletin de sécurité MS-17-010).

    Exploitée un temps par la NSA, elle faisait l’objet de l’un des outils qui ont fuité en avril (nom de code EternalBlue). Comme souvent dans ce genre de cas, il n’aura pas fallu longtemps pour que certains l’utilisent aussi à leur profit. Le cas DoublePulsar avait déjà donné l’alerte en avril dernier, mais ici l’ampleur semble bien plus importante.

    Dans la pratique, une très large campagne de diffusion par email semble être le premier vecteur utilisé, même s’il faudra analyser la propagation avec le recul nécessaire. Veillez donc, comme toujours, à ne pas ouvrir de fichier dont vous ne connaissez pas l’origine, sans vous être assuré de la fiabilité de l’expéditeur. Il est aussi recommandé de s’assurer que les ports SMB (139, 445) soient fermés puisqu’ils sont utilisés pour cette attaque.

    Les machines infectées se retrouvent avec leurs données chiffrées, une rançon d’au moins 300 dollars étant demandée pour restaurer les données. S’il est assez simple de se prémunir d’une telle attaque en se maintenant à jour, force est de constater que cette pratique n’est pas vraiment rentrée dans les mœurs tant l’impact de cette faille est important.

    Alerte levée du côté de l’ANSSI

    L’ANSSI a d’ailleurs émis une alerte, recommandant la mise à jour de vos systèmes, et si cela n’est pas possible « de l’isoler, voire de l’éteindre le temps d’appliquer les mesures nécessaires ». En cas de découverte d’un code malveillant, les conseils suivant sont donnés par l’agence française :

    • Déconnectez immédiatement du réseau les équipements identifiés comme compromis. L’objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés.
    • Alertez le responsable sécurité ou le service informatique au plus tôt.
    • Sauvegardez les fichiers importants sur des supports amovibles isolés. Ces fichiers peuvent être altérés ou encore être infectés. Il convient donc de les traiter comme tels. De plus, les sauvegardes antérieures doivent être préservées d’écrasement par des sauvegardes plus récentes.
    • Ne payez pas la rançon. Le paiement ne garantit en rien le déchiffrement de vos données et peut compromettre le moyen de paiement utilisé (notamment carte bancaire).

    Microsoft publie un patch pour les anciennes versions de Windows, dont XP

    Mais dans cette affaire, c’est Microsoft qui fait face à un problème de taille. Comme l’on pouvait s’y attendre, Windows XP est touché. Or, le support de ce dernier a cessé depuis trois ans, et de nombreuses sociétés continuent de l’utiliser. La position de l’éditeur n’était pas tenable, il a donc pris la décision de publier un patch. Trop tard, diront certains.

    Dans un billet de blog, son équipe en charge de la sécurité détaille la situation et indique que c’est aussi le cas pour Windows Server 2003 et Windows 8. Vous pouvez récupérer les patchs pour vous mettre à jour au plus vite via l’un des liens suivants :

    Source : nextinpact.com


    Si jamais certains d’entre vous sont encore sous XP ou Win 8, pensez à patcher vos machines et n’ouvrez pas n’importe quel fichier en pièce jointe, surtout si vous ne connaissez pas l’expéditeur.



  • Je dirais même plus “n’ouvrez pas de pièce jointe même si vous connaissez l’expéditeur”.


  • Admin

    C’est un peu trop radical comme conseil, il m’arrive d’envoyer des pièces jointes à mes contacts, elles sont inoffensives.



  • Bon putain de galère pour faire les updates de mon Windows 7 que je lance une fois tous les 36 du mois (dual boot de mon Mac), y’a un bug dans windows update qui foutait la grouille (cherchait pas au bon endroit les updates), j’ai pataugé pendant 3 h pour arriver à le faire marcher.



  • Y’a encore des fous qui utilisent un PC windows XP pour surfer sur internet ?


  • Admin

    Oui, même des hôpitaux et des grosses boites, sans parler des DAB qui fonctionnent encore avec.



  • Ce n’est que le début ! :huuu:

    Comme presque tout est interconnecté via le ouaibe , il y aura de plus en plus d’intrusions de ce genre quel que soit le niveau de protection.

    Sans être corbeau de mauvaise augure, il faut se préparer au pire en ce qui concerne la prise en main à distance des services et dispositifs publics ou privés, contre rançon ou pas.



  • @Carcha a dit dans WannaCrypt infecte des milliers de machines, Microsoft patche Windows XP, Server 2003 et 8 :

    Y’a encore des fous qui utilisent un PC windows XP pour surfer sur internet ?

    Et ouai j’en connais :lecidacouette:



  • @aurel a dit dans WannaCrypt infecte des milliers de machines, Microsoft patche Windows XP, Server 2003 et 8 :

    Ce n’est que le début ! :huuu:

    Comme presque tout est interconnecté via le ouaibe , il y aura de plus en plus d’intrusions de ce genre quel que soit le niveau de protection.

    Sans être corbeau de mauvaise augure, il faut se préparer au pire en ce qui concerne la prise en main à distance des services et dispositifs publics ou privés, contre rançon ou pas.

    Le mieux reste le bon vieux DD externe pour tout ce qui nous importe de garder.
    J’en ai un connecté - wifi -(qui n’est connecté que lorsque j’en ai besoin) et un qui n’est qu’un miroir du premier et qui n’est juste qu’un simple DD en backup.


  • Team

    Ça continue

    Une nouvelle cyberattaque de grande ampleur touche des centaines de milliers d’ordinateurs dans le monde dans le but de créer et récupérer de la monnaie virtuelle à l’insu des utilisateurs, ont indiqué le 17 mai à l’AFP des experts en cybersécurité.


  • Admin

    @Maléfique pour le particulier oui ça peut le faire à condition de bien vérifier avant la sauvegarde qu’on ne va pas sauvegarder des fichiers cryptés. :mred:

    En entreprise, à moins qu’elle soit de petite taille, c’est moins viable et plus risquer. Il vaut mieux utiliser une solution de sauvegarde avec authentification sur un NAS + sauvegarde de ce dernier sur 2 DD externes utilisés chacun 1 jour sur 2.


  • Admin

    WannaCrypt : des nœuds Tor saisis par les autorités françaises

    Quand l’oignon pleure

    Entre vendredi et lundi, plusieurs relais français du réseau d’anonymisation Tor ont disparu des écrans radar. Selon nos informations, ils ont été réquisitionnés par la justice, dans le cadre de l’enquête sur le ransomware WannaCrypt, qui s’appuie sur Tor pour communiquer avec son serveur de contrôle.

    Il y a du trafic qu’il ne vaut mieux pas relayer. Celui du ransomware WannaCrypt, qui a infecté plus de 200 000 appareils dans le monde en quelques jours, mettant à mal certains systèmes industriels, en fait partie. Rapidement ciblé par plusieurs enquêtes, notamment d’Europol, il est à l’origine de la réquisition de plusieurs nœuds du réseau Tor chez des hébergeurs français.

    Pour mémoire, WannaCrypt s’appuie sur une faille conservée par les services de renseignement américains, pour infecter des systèmes Windows obsolètes via le protocole réseau SMBv1. Pour communiquer avec le serveur de commande et contrôle (C&C), c’est Tor qui est utilisé. Du point de vue de la victime, c’est donc le nœud d’entrée du réseau « anonyme » qui est visible.

    L’OCLCTIC de bon matin

    Au moins trois serveurs ont ainsi baissé le rideau ce week-end, suite à la visite de l’Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication (OCLCTIC) chez ces acteurs, saisissant le contenu de ces relais. Il s’agirait de « guard nodes », c’est-à-dire de points d’entrée de confiance pour le réseau Tor, à la fois par leur disponibilité et leur bande passante.

    Selon nos informations encore, ces disparitions sont dues à « une très grande vague » de perquisitions et saisies, concernant au moins plusieurs dizaines de disques durs. « Tous les relais Tor qui ont participé à cette attaque ont été saisis » nous affirme-t-on. Les principaux hébergeurs français seraient concernés par cette salve.

    Des disparitions inexpliquées

    L’intervention de l’OCLCTIC pourrait suivre une demande de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Contactée, cette dernière n’a pas encore répondu à nos sollicitations.

    « On a épluché les journaux du consensus des nœuds Tor. Entre vendredi et lundi, des dizaines de gros nœuds ont disparu du réseau. Il n’y a pas de raison que de tels nœuds disparaissent comme ça » affirme par ailleurs un spécialiste de Tor, contacté par nos soins. Au moins une partie des relais ont été coupés volontairement, sans intervention des autorités.

    Interrogés, le parquet de Paris et OVH n’a pas répondu à nos demandes. Pour leur part, Gandi et Online se sont refusés à tout commentaire. Enfin, le ministère de l’Intérieur refuse de s’exprimer sur une enquête en cours. Il renvoie vers le parquet de Paris, injoignable pour le moment.

    Source : nextinpact.com


    Ils ne s’emmerdent pas les OCLCTIC, les mecs qui mettent à disposition ces machines ne sont en rien responsables de ceux qui les utilisent à mauvais escient.


  • Admin

    Petit extrait d’un article très intéressant sur nextinpact.com (je ne peux pas en publier plus puisqu’il est réservé aux abonnées payants), intitulé : WannaCrypt relance le débat sur les dangers des failles stockées par les États

    L’exploitation de cette faille a largement relancé les débats autour de leur traitement, et la propension de certains gouvernements à les stocker dans l’attente de pouvoir les exploiter. Missions de renseignement, espionnage, déstabilisation ou sabotage, les brèches de sécurité constituent aujourd’hui un précieux arsenal. Problème, ce stockage n’est pas sans risque.

    La validation des failles aux États-Unis

    Pour bien comprendre la problématique centrale sur laquelle WannaCrypt braque les projecteurs, il faut savoir qu’aux États-Unis, chaque faille découverte par une agence fédérale est analysée. Il s’agit d’un cheminement particulier, nommé VEP – Vulnerabilities Equities Process– qui permet de séparer le « bon grain de l’ivraie ».

    Le bon grain ici, ce sont les failles dont le potentiel de pénétration est important pour la mise en place d’attaques spécifiques. Correctement exploitées, elles peuvent débloquer l’accès à de précieuses ressources. Qu’importe le produit, il suffit qu’il soit suffisamment utilisé ou concerne un équipement utilisé par des cibles intéressantes. Systèmes d’exploitation, logiciels, applications mobiles, routeurs, objets connectés et autres sont tout autant concernés.

    De l’autre côté, l’ivraie représente les vulnérabilités dont les agences n’auront pas d’utilité. Les critères sont nombreux à prendre en compte, mais l’un d’entre eux est déterminant : la faille a-t-elle des chances d’être découverte rapidement par d’autres acteurs ? Si tel est le cas, elle perd automatiquement en valeur.

    Ce que le VEP doit finalement déterminer, c’est si une brèche doit être transformée en arme ou communiquée à l’éditeur associé pour correction. Or, cet embranchement si particulier est d’autant plus problématique que la NSA a un double visage, passé au second plan ces dernières années, notamment depuis les révélations d’Edward Snowden.

    Article complet : https://www.nextinpact.com/news/104311-wannacrypt-relance-debat-sur-dangers-failles-stockees-par-etats.htm



  • @Ratonhnhakéton a dit dans WannaCrypt infecte des milliers de machines, Microsoft patche Windows XP, Server 2003 et 8 :

    l’Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication (OCLCTIC)

    Non mais ils sont sérieux là ?



  • @Ratonhnhakéton a dit dans WannaCrypt infecte des milliers de machines, Microsoft patche Windows XP, Server 2003 et 8 :

    Petit extrait d’un article très intéressant sur nextinpact.com (je ne peux pas en publier plus puisqu’il est réservé aux abonnées payants), intitulé : WannaCrypt relance le débat sur les dangers des failles stockées par les États

    L’exploitation de cette faille a largement relancé les débats autour de leur traitement, et la propension de certains gouvernements à les stocker dans l’attente de pouvoir les exploiter. Missions de renseignement, espionnage, déstabilisation ou sabotage, les brèches de sécurité constituent aujourd’hui un précieux arsenal. Problème, ce stockage n’est pas sans risque.

    La validation des failles aux États-Unis

    Pour bien comprendre la problématique centrale sur laquelle WannaCrypt braque les projecteurs, il faut savoir qu’aux États-Unis, chaque faille découverte par une agence fédérale est analysée. Il s’agit d’un cheminement particulier, nommé VEP – Vulnerabilities Equities Process– qui permet de séparer le « bon grain de l’ivraie ».

    Le bon grain ici, ce sont les failles dont le potentiel de pénétration est important pour la mise en place d’attaques spécifiques. Correctement exploitées, elles peuvent débloquer l’accès à de précieuses ressources. Qu’importe le produit, il suffit qu’il soit suffisamment utilisé ou concerne un équipement utilisé par des cibles intéressantes. Systèmes d’exploitation, logiciels, applications mobiles, routeurs, objets connectés et autres sont tout autant concernés.

    De l’autre côté, l’ivraie représente les vulnérabilités dont les agences n’auront pas d’utilité. Les critères sont nombreux à prendre en compte, mais l’un d’entre eux est déterminant : la faille a-t-elle des chances d’être découverte rapidement par d’autres acteurs ? Si tel est le cas, elle perd automatiquement en valeur.

    Ce que le VEP doit finalement déterminer, c’est si une brèche doit être transformée en arme ou communiquée à l’éditeur associé pour correction. Or, cet embranchement si particulier est d’autant plus problématique que la NSA a un double visage, passé au second plan ces dernières années, notamment depuis les révélations d’Edward Snowden.

    Article complet : https://www.nextinpact.com/news/104311-wannacrypt-relance-debat-sur-dangers-failles-stockees-par-etats.htm

    Ouais enfin là.
    Pourquoi les gouvernements chercheraient des failles si ce n’est pour les garder pour eux pour pouvoir éventuellement les utiliser ,
    Si ce n’est pas pour les garder pour eux, ils ne chercheraient pas et ce serait d’autres personnes qui les trouveraient soit pour les vendre à des pirates (c’est déjà arrivé) soit pour les exploiter eux-même.
    Les gouvernements ne sont par les services QA de Microsoft ou Apple.
    Ce sont à eux de s’assurer d’arrêter de faire des systèmes d’exploitation qui sont des vrais nids à microbes.


  • Admin

    @Albedo a dit dans WannaCrypt infecte des milliers de machines, Microsoft patche Windows XP, Server 2003 et 8 :

    @Ratonhnhakéton a dit dans WannaCrypt infecte des milliers de machines, Microsoft patche Windows XP, Server 2003 et 8 :

    l’Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication (OCLCTIC)

    Non mais ils sont sérieux là ?

    Apparemment oui, par contre je ne suis pas sûr qu’ils soient compétents.


  • Admin

    @Albedo a dit dans WannaCrypt infecte des milliers de machines, Microsoft patche Windows XP, Server 2003 et 8 :

    @Ratonhnhakéton a dit dans WannaCrypt infecte des milliers de machines, Microsoft patche Windows XP, Server 2003 et 8 :

    Petit extrait d’un article très intéressant sur nextinpact.com (je ne peux pas en publier plus puisqu’il est réservé aux abonnées payants), intitulé : WannaCrypt relance le débat sur les dangers des failles stockées par les États

    L’exploitation de cette faille a largement relancé les débats autour de leur traitement, et la propension de certains gouvernements à les stocker dans l’attente de pouvoir les exploiter. Missions de renseignement, espionnage, déstabilisation ou sabotage, les brèches de sécurité constituent aujourd’hui un précieux arsenal. Problème, ce stockage n’est pas sans risque.

    La validation des failles aux États-Unis

    Pour bien comprendre la problématique centrale sur laquelle WannaCrypt braque les projecteurs, il faut savoir qu’aux États-Unis, chaque faille découverte par une agence fédérale est analysée. Il s’agit d’un cheminement particulier, nommé VEP – Vulnerabilities Equities Process– qui permet de séparer le « bon grain de l’ivraie ».

    Le bon grain ici, ce sont les failles dont le potentiel de pénétration est important pour la mise en place d’attaques spécifiques. Correctement exploitées, elles peuvent débloquer l’accès à de précieuses ressources. Qu’importe le produit, il suffit qu’il soit suffisamment utilisé ou concerne un équipement utilisé par des cibles intéressantes. Systèmes d’exploitation, logiciels, applications mobiles, routeurs, objets connectés et autres sont tout autant concernés.

    De l’autre côté, l’ivraie représente les vulnérabilités dont les agences n’auront pas d’utilité. Les critères sont nombreux à prendre en compte, mais l’un d’entre eux est déterminant : la faille a-t-elle des chances d’être découverte rapidement par d’autres acteurs ? Si tel est le cas, elle perd automatiquement en valeur.

    Ce que le VEP doit finalement déterminer, c’est si une brèche doit être transformée en arme ou communiquée à l’éditeur associé pour correction. Or, cet embranchement si particulier est d’autant plus problématique que la NSA a un double visage, passé au second plan ces dernières années, notamment depuis les révélations d’Edward Snowden.

    Article complet : https://www.nextinpact.com/news/104311-wannacrypt-relance-debat-sur-dangers-failles-stockees-par-etats.htm

    Ouais enfin là.
    Pourquoi les gouvernements chercheraient des failles si ce n’est pour les garder pour eux pour pouvoir éventuellement les utiliser ,
    Si ce n’est pas pour les garder pour eux, ils ne chercheraient pas et ce serait d’autres personnes qui les trouveraient soit pour les vendre à des pirates (c’est déjà arrivé) soit pour les exploiter eux-même.
    Les gouvernements ne sont par les services QA de Microsoft ou Apple.
    Ce sont à eux de s’assurer d’arrêter de faire des systèmes d’exploitation qui sont des vrais nids à microbes.

    Pas faux. La suite de l’article que plusieurs acteurs du monde informatique aimeraient que soient légiférés les découvertes sur les failles, mais clairement des organismes comme la NSA ont été créés dans ce but, trouver des failles à exploiter. Soient ils ne suivront jamais la loi, soient ils ferment, ce qui est peu probable puisque leur rôle est aussi de protéger les EU.


  • Admin

    Cyberattaque WannaCry : 98 % des PC touchés par le ransomware étaient sous Windows 7

    Selon les statistiques publiées par l’éditeur Kaspersky, c’est Windows 7 et non pas Windows XP qui a été le plus touché par la propagation du rançongiciel WannaCry. On en sait également plus sur la méthode de propagation du logiciel malveillant : il ne s’agissait pas de courriels piégés.

    Un peu plus d’une semaine après le début de la cyberattaque du rançongiciel WannaCry qui a semé une panique mondiale en infectant plus de 300.000 ordinateurs dans 150 pays, les experts en sécurité commencent à y voir plus clair. Ils ont fait quelques découvertes étonnantes à propos de ce qui est considéré comme la plus importante attaque par ransomware de l’histoire de l’informatique.

    La nouvelle assurément la plus étonnante est que la version de Windows la plus touchée par WannaCry est Windows 7. Or, au début de l’affaire, c’est le bon vieux Windows XP qui a été incriminé. On reprochait aux entreprises les plus durement touchées par le rançongiciel de persister à utiliser des systèmes informatiques basés sur cet OS pour lequel Microsoft a cessé de diffuser des mises à jour de sécurité il y a trois ans.

    Au passage, l’éditeur, qui, étant donné les circonstances, a tout de même diffusé un correctif de sécurité pour Windows XP, en a profité pour souligner que les utilisateurs de sa dernière version Windows 10 n’avaient rien à craindre… Cependant, il s’avère que la réalité est tout autre. Selon le spécialiste des solutions de sécurité Kaspersky Lab, plus de 98 % des PC infectés par WannaCry tournaient sous Windows 7.

    alt text

    Windows 7 est la version la plus utilisée dans le monde

    Rappelons que Windows 7 est la version de l’OS Microsoft la plus populaire à ce jour avec plus de 48,5 % de parts d’utilisation (source Netmarketshare). Les machines les plus durement touchées (plus de 60 % ) utilisent la version 64 bits de Windows 7 qui équipe principalement des systèmes d’entreprises d’administrations. Le reste (38,7 % ) concerne des ordinateurs utilisant les versions domestiques de Windows 7.

    Et Windows XP dans tout cela ? Kaspersky Lab juge sa part « insignifiante ». Précisons toutefois que ce constat est basé sur l’analyse de PC équipés d’un logiciel antivirus Kaspersky. Il est cependant corroboré par BitSight (plateforme qui évalue l’efficacité de la sécurité informatique des entreprises), selon qui 67 % de ordinateurs répertoriés dans son réseau et touchés par WannaCry tournaient sous Windows 7.

    Justice est donc rendue à Windows XP si l’on peut dire. Reste que cela n’enlève rien à la vulnérabilité potentielle de cette version ancienne de Windows qui n’est plus couverte par les mises à jour de sécurité et qu’il vaut mieux éviter d’utiliser sur des ordinateurs contenant des données importantes.

    WannaCry a exploité les ports SMB ouverts

    Source et suite : futura-sciences.com



Il semble que votre connexion ait été perdue, veuillez patienter pendant que nous vous re-connectons.