psdesign1 - Fotolia
Les ransomwares n’ont pas disparu et ils le rappellent en fanfare
La ville d’Atlanta vient d’être victime d’un grave épisode. Ses systèmes informatiques pourraient mettre longtemps à s’en relever. Et Boeing découvre les affres de WannaCry.
Un épisode de rançongiciel a commencé à affecter la ville d’Atlanta tôt, le 22 mars dernier. Le FBI, le ministère américain de l’Intérieur (DHS), Microsoft et Cisco ont été appelés à la rescousse rapidement. La ville a indiqué que certains de ses systèmes destinés au public souffraient d’indisponibilités. Cinq jours plus tard, le bureau du maire a assuré que la phase de restauration des services était engagée et que les employés étaient invités à rallumer ordinateurs et imprimantes.
Selon le professeur Andrew Green, qui s’est penché sur une capture d’écran diffusée à la télévision, c’est un maliciel de la famille SamSam qui serait en cause. Une rançon de 0,8 btc est demandée par système infectée, ou 6 btc pour l’ensemble de l’infrastructure. Le patron de SecureWorks, Michael Cote, a assuré, lors d’une conférence de presse, que son entreprise, appelée également à l’aide, avait identifié les acteurs impliqués, sans fournir plus de détails.
Mais les pratiques de sécurité de la ville sont déjà questionnées. Selon Rendition Infosec, des services RDP sont exposés par certains des hôtes de son système d’information, sur Internet, sans authentification forte. Et cela vaudrait aussi pour des services SMB. Surtout, cinq systèmes ont déjà été compromis en avril 2017, via le tristement célèbre EternalBlue. L’un d’entre eux pourrait avoir été un serveur de messagerie électronique, mettant potentiellement en danger des données personnelles.
Rendition Infosec dénonce donc que « la ville d’Atlanta n’avait pas appliqué les correctifs à ses hôtes exposés sur Internet plus d’un mois après la diffusion de correctifs critiques par Microsoft ».
Mais cette question des pratiques de sécurité pourrait bien aussi s’appliquer à Boeing, qui vient de reconnaître avoir été tout récemment affecté par WannaCry connu pour se propager justement via SMB, en exploitant la vulnérabilité EternalBlue.
Alors certes, le constructeur aéronautique assure que seules quelques machines ont été concernées et que les correctifs appropriés ont été déployés. Il n’en reste pas moins surprenant qu’un an après leur diffusion, ce n’ait pas déjà été fait. Quoique, comme le relève Gérôme Billois, de Wavestone, « on voir encore des Conficker datant de 2008 sur le terrain ».