NotPetya : un an après, la leçon n’a pas été pleinement tirée
L’épisode a stigmatisé de nombreuses mauvaises pratiques, à commencer par l’exposition en ligne de services SMB vulnérables. Il a eu un impact indéniable, mais manifestement insuffisant.
Il y a maintenant un an que le maliciel NotPetya, ExPetr, ou encore Nyetya s’est propagé à travers le monde avec les dégâts que l’on connaît (partiellement). A cette occasion, le Cert-FR recommandait de déployer « immédiatement » les rustines corrigeant les vulnérabilités exploitées pour sa propagation, ou encore de désactiver le protocole SMBv1 et de « limiter l’exposition du service SMB, en particulier sur Internet ».
Car NotPetya mettait à profit les tristement célèbres Eternal/EternalRomance visant ce protocole. Comme WannaCry avant lui, mais également comme beaucoup après. Et tous profitent notamment de mauvaises pratiques. Mais un an après, la leçon a-t-elle été comprise ? Pas vraiment.
Fin juin 2017, on pouvait compter près de deux millions de services SMBv1 exposés sur Internet et référencés par le moteur de recherche spécialisé Shodan. Aujourd’hui, selon Nate Warfield, il faut compter encore avec près d’un million de services SMB exposés sur Internet sans authentification.
Mais Rapid7 avance un autre chiffre, peut-être plus préoccupant. Selon l’éditeur, connu notamment pour son framework de test d’intrusion Metasploit, il faudrait en fait compter avec 3,5 millions de services SMB exposés sur Internet. Pour lui, il y a tout de même eu un effet positif de WannaCry et NotPetya : « le nombre de serveurs SMB Microsoft exposés a considérablement reculé après l’attaque de WannaCry en 2017 ».
En fait, la chute a même été brutale : il comptait plus d’un million de serveurs SMB accessibles via Internet en avril 2017, en se limitant aux cinq pays les plus concernés. A l’issue de l’épisode WannaCry, ce chiffre était tombé à moins de 250 000, un niveau autour duquel il s’est désormais stabilisé. Rapid7 estime désormais qu’il « reste un demi-million de cibles aujourd’hui, principalement aux Etats-Unis, à Taïwan, au Japon, en Russie et en Allemagne ».
En fait, l’éditeur ne cache pas une certaine amertume : « on pourrait penser, ou au moins espérer, de ne trouver que très peu de traces, voire presqu’aucune, de services SMB actifs sur Internet un an après ». Las, « tristement, ce n’est pas le cas ». Et de compter quotidiennement, en moyenne, 500 000 nœuds accessibles en ligne.
Et s’il peut sembler trouver que le verre est à moitié vide plutôt qu’à moitié plein, c’est que « les attaques basées sur SMB persistent ». Car en s’appuyant tant sur ses données que sur celles de GreyNoise, il observe une progression du volume de ces attaques : d’une moyenne à moins de 7 500 occurrences par jour en juin 2017, on passe à près de 20 000 quotidiennement un an plus tard.
Dès lors, cela ne fait pas de doute : les recommandations émise l’an dernier par le Cert-FR conservent toute leur actualité.