Par Laurent Widmer


Wannacry est un virus de la famille des ransomwares. La première infection répertoriée remonte au vendredi 12 mai 2017. En quelques jours, des centaines de milliers d'endpoints ont été infectés dans plus de 150 pays d'après un premier bilan d'Europol. Il s'agit de l'infection la plus massive jamais enregistrée. Heureusement, la Suisse a été relativement épargnée comparé à ses voisins. Wannacry est un ransomware très intriguant car de nombreuses informations sont encore inconnues à son sujet.

Qui est impacté?
Tous les systèmes Windows (avant Windows 10) non patchés pour la vulnérabilité MS17-010 sont susceptibles de se faire infecter par le ransomware. Les entreprises sont d'autant plus impactées puisque le ransomware est capable de se répandre latéralement sur le réseau interne et que le cycle d'application des correctifs est plus long. Le ransomware ne semble pas avoir de cible particulière.

Que fait Wannacry?
Il chiffre des fichiers sur le poste utilisateur et demande ensuite qu'une rançon soit payée pour récupérer l'accès aux fichiers pris en otages. Il demande le paiement de 300 USD en bitcoins au moment de l'infection. Après trois jours, le ransomware double le montant et demande 600 USD. Après sept jours sans paiement, Wannacry supprime tous les fichiers chiffrés et les données sont définitivement perdues.

Quelles sont les actions à prendre pour éviter l'infection?

  • -Mettre à jour tous les systèmes Windows vulnérables à MS17-010,
  • -Désactiver le protocole SMBv1 sur les OS et au niveau réseau via le firewall
  • -Mettre à jour les produits de sécurité (Anti-virus, IPS, catégorisation d'URLs, …)
  • -Vérifier que le firewall personnel est activé
  • -S'assurer que les backups sont bien réalisés

Bien que l'infection initiale ne semble pas avoir eu lieu au travers d'une campagne e-mail, il est préférable d'implémenter les protections adéquates sur les passerelles et les serveurs e-mail par mesure de prévention. C'est également le bon moment de lancer une campagne de sensibilisation des utilisateurs par e-mail ou via l'intranet afin de les avertir que des ransomwares circulent et de redoubler de vigilance lors de la consultation des sites web, des e-mails et l'ouverture des pièces jointes.

Plus d'infos sur www.e-xpertsolutions.com

Copyright © Monde Economique - Tous droits réservés