Due aux récentes attaques de logiciels malveillants à travers le monde comme WannaCry en Mai dernier et NotPetya cette semaine, l’importance d’informer et de sensibiliser se fait de plus en plus importante. Certes les attaques jusqu’à présent n’ont visé que de grandes entreprises pour la plupart dans les pays développés. Il serait bien et temps que les entreprises mettent un sérieux accent sur la sécurité des infrastructures informatique. Car dans les mois à venir le monde connaîtra de plus en plus d’attaque du genre et les gouvernements faibles et insouciants se verront frapper en plein cœur. On parle du Ransomware Petya et de sa nouvelle variante NotPetya, beaucoup se posent les questions à savoir:
Comment fonctionne NotPetya et comment s’en protéger?
NotPetya est un logiciel malicieux communément appelé Ransomware. Un Ransomware ou encore connu sous le nom de logiciel de rançonnage informatique comme son nom l’indique est un logiciel dont la particularité est d’infecter les systèmes vulnérables. Après infection, tous les fichiers de votre ordinateur se retrouvent encryptés et requièrent une clé de décryptage pour être accessible. Un message apparaît donc pour vous demander le paiement d’une rançon en échange de la clé de décryptage si vous voulez accéder vos fichiers. NotPetya comme Wannacry utilise le même modus operandi, infecter les systèmes informatiques à travers les services de partages de fichiers SMBv1 (Serveur Message Block) supportés par les systèmes Microsoft depuis une trentaine d’années. Sans compter que Microsoft avait annoncé récemment l’arrêt des mises à jour de ce service et avait conseillé aux administrateurs de désactiver ce service des différents systèmes et penser à une mise à niveau vers la version 2. Après analyse d’un certain nombre de Ransomware, je suis arrivé à des conclusions très utiles.
Les systèmes affectés sont :
Je dirai tous les systèmes Windows, sans exception de Windows XP à Windows 10. La plupart des chercheurs ont conclu que seuls les systèmes vulnérables à EternalBlue, la vulnérabilité exploitée par NotPetya pour infecter les systèmes était vulnérable. Ma propre analyse conclut que mes confrères manquent de diligence et devraient avoir une grande ouverture sur la question. Les attaques informatiques comme NotPetya ont plusieurs vecteurs d’attaques. Sur ce; je m’explique, beaucoup de victimes se sont vues infectés par NotPetya juste en cliquant sur un lien provenant de l’adresse e-mail suivante: wowsmth12345@posteo.net (Nombres d’adresses existes). Ce qui techniquement veut dire que si un utilisateur télécharge le Ransomware depuis un réseau informatique sous Windows 10, il se retrouve infecté.
Mon conseil en tant que chercheur en sécurité informatique serait :
Pour tout internaute :
- Ne cliquez sur aucun lien que vous ne connaissez
- Evitez de télécharger des applications de sources doutantes (exemples: site de torrents, exécutables reçues par e-mail)
- Continuellement mettre à jour son système
- Activer la protection à l’accès des fichiers (seulement pour les utilisateurs de Windows 10)
- Déconnecter immédiatement votre système de toute source de courant dès que vous avez le doute d’être infecté (semble bête mais très utile).
Pour les administrateurs réseaux :
- Bloquer toute tentative de connexion sinon utiliser ou filtrer le trafic sur tous les ports : TCP 445, TCP 139, UDP 137 et UDP 138
- Signaler tout e-mail provenant de l’adresse ci-dessus comme non-desiré
- Mettre a jour les systèmes et désactiver smbv1 au profit de smbv2
- S’abonner a des pages comme TheHackerNews pour rester à jour sur l’actualité informatique, les nouvelles techniques employées par les hackers.
Comment j’ai récuperé mes fichiers après infection?
Après infection, votre machine redémarre et vous fait croire qu’il y a une erreur de disque et que le système répare actuellement le fichier système. Pendant ce temps, le Ransomware encrypte vos fichiers. Si à ce moment précis, vous avez eu la notion de pro-activité d’éteindre votre machine, alors vous pourrez récupérer tous vos fichiers en majeure partie juste en redémarrant le système sur un live USB communément appelé clé boutable pour la simple raison que NotPetya n’encrypt pas directement les fichiers comme la majeure partie des Ransomwares mais plutôt encrypte le Master Boot Record (MBR) contenant l’adresse de la section de démarrage de votre ordinateur et le remplace avec son propre fichier MBR. Une fois ce fichier encrypté, votre ordinateur ne pouvant plus lire la section de démarrage se retrouve à lire celui-ci généré par NotPetya. La différence entre Petya et NotPetya se situe dans le fait que NotPetya contrairement à son prédécesseur Petya en plus d’encrypter le fichier MBR encrypte aussi les fichiers du stocker sur le disque dur. Ce qui une fois l’encryptage terminé rend la récupération des fichiers quasi impossible. Je crois que cela explique la raison pour laquelle il faut déconnecter son ordinateur de toutes sources de courant.
Comment se protéger de tous Ransomware?
Il faut dire qu’une fois encore mes confrères ont oublié d’approfondir leurs recherches. Après avoir étudié et analysé une multitude de Ransomware de familles différentes, je suis arrivé à une conclusion intéressante et surprenante à la fois. Les ransomware en général n’encryptent pas les fichiers sur la base de leur signature électronique mais sur les noms de fichiers. Modifier les noms de fichiers ou extensions vous preveindrez donc d’une quelconque attaque. Ce qui pour n’importe qui avec un minimum de connaissances pourrait employer afin de se prévenir de futures attaques de malware. Pour ceux qui se poseront la question a savoir comment un lecteur PDF comme Adobe Reader pourrait lire un fichier sans l’extension PDF, ma réponse est qu’il devrait lire plus.
Que propose 0patch pour tous ces lecteurs et lectrices?
Une vidéo en ligne disponible ici en version française sur ma chaîne Youtube pour démontrer ma théorie. Vu que la version anglaise vous est déjà disponible ici par mon ami et aîné Shilpesh Trivedi.
Dans le deuxième cas, un script pour automatiser la modification des noms de fichiers. Disponible et gratuit sur mon compte github.
Faut-il payer si infectée par un logiciel de rançonnage?
Ma réponse est catégorique et c’est un NON formel. Depuis des années les experts en cyber sécurité informent et sensibilisent sur le fait que payer une rançon c’est comme corrompre. On n’est jamais sur du résultat, la preuve en est que tous ceux qui ont payé une rançon pour NotPetya n’ont jamais reçu de clé pour le décryptage des fichiers.