25 Septembre 2017  |  Informatique & Télécommunications
Publié dans La Revue POLYTECHNIQUE 09/2017

Informatique & Télécommunications (9/2017)

Comment fonctionne le rançongiciel ?
WannaCry chiffre des fichiers sur le poste utilisateur et demande ensuite qu’une rançon soit payée pour récupérer l’accès aux fichiers pris en otages. Il demande le paiement de 300 $ en bitcoins au moment de l’infection. Après trois jours, le rançongiciel double le montant et demande 600 $. Après sept jours sans paiement, WannaCry supprime tous les fichiers chiffrés et les données sont définitivement perdues. En plus d’infecter un système, le rançongiciel va exploiter l’outil Eternal Blue pour ses déplacements latéraux, lui permettant ainsi d’infecter d’autres systèmes vulnérables sur le même réseau informatique. Le mode d’infection initial et les capacités de déplacement latéraux ont permis à Wannacry de se répandre extrêmement rapidement.
Le principal effet de WannaCry ne semble pas avoir été de rapporter un lourd butin à ses auteurs, mais plutôt de semer la zizanie dans les systèmes informatiques. En effet, si le virus a infecté un nombre considérable d’ordinateurs, l’attaque aurait rapporté moins de 70’000 dollars aux pirates, selon le conseiller à la sécurité intérieure américain Tom Bossert. Les rançons demandées ont sans doute été volontairement modestes pour inciter les victimes à payer.
 
Comment se protéger ?
La meilleure manière de se protéger de ce genre d’attaque est la prudence: ne pas ouvrir n’importe quel fichier reçu par courrier électronique, se méfier des expéditeurs inconnus et ne pas cliquer intempestivement sur des liens contenus dans des courriels; mettre à jour les logiciels et produits de sécurité (anti-virus, IPS, catégorisation d’URL, etc); vérifier que le pare-feu personnel est activé; s’assurer que les sauvegardes soient bien réalisées. Et si l’on est malgré tout infecté, ne pas payer, car rien ne garantit que cela conduira au déchiffrement des données, mais demander de l’aide à un spécialiste.
Bien que l’infection initiale ne semble pas avoir eu lieu au travers d’une campagne de courriels, il est préférable de mettre en œuvre les protections adéquates sur les passerelles et les serveurs par mesure de prévention. C’est également le bon moment pour lancer une campagne de sensibilisation des utilisateurs afin de les avertir que des virus circulent.
 
WannaCry a fait souffler un vent de panique
Suite à une faille dans le système Windows de Microsoft, le virus WannaCry a fait souffler un vent de panique dans le monde. WannaCry, aussi nommé WannaDecriptOr,est un virus de la famille des rançongiciels (ransomwares). La première infection répertoriée remonte au 12 mai 2017. En quelques jours, plus de 300’000 postes informatiques ont été paralysés dans plus de 150 pays, d’après un premier bilan d’Europol. Il s’agit de l’infection la plus massive jamais enregistrée.


Polymedia Meichtry SA | Chemin de la Caroline 26 | 1213 Petit-Lancy | Genève | T: +41 22 879 88 20 | F: +41 22 879 88 25 | info@polymedia.ch