Il s’agit d’une menace assez agressive qui se répand très rapidement.
Il pourrait s’agir de la réaction d’un administrateur système touché par le ransomware WannaCry (Wanna Decryptor) la semaine dernière, mais en réalité, c’est la réaction d’un expert en sécurité il y a 13 ans de cela, au sujet d’une nouvelle variante du worm Sasser.
En mettant de côté le chaos crée par le ransomware WannaCry, les répercussions des événements de vendredi dernier sont tout de même plutôt intrigantes.
En effet WannaCry s’est attaqué à une vulnérabilité bien connue au sein de Windows SMB et non corrigée, tout comme en 2004 lorsque Sasser avait profité d’un exploit non patché au sein de Windows au niveau du Local Security Authority Subsystem Service (LSASS, donnant “Sasser”), lequel est ironiquement l’OS utilisé pour gérer les paramètres de sécurité !
Si vous pensez que le nombre de victimes du ransomware WannaCry est impressionnant, Sasser a dans son sillage des noms tels que la Deutsche Post, la Commission européenne et Delta Airlines, pour n’en nommer que quelques-uns !
Curieusement, Sasser a plus été considéré comme ennuyeux et moins comme une réelle menace, en faisant son apparition après une vague de méga-worms tels que : ILOVEYOU, Nimda, Welchia, Netsky, SoBig, Blaster et SQL Slammer. Certains d’entre eux exploitaient des vulnérabilités au sein des logiciels Microsoft et ont pu cibler de nombreuses victimes qui ont toutes hurlé ensemble : plus jamais ça !
Cela s’est révélé en réalité être inutile : en effet en 2008 un autre worm massif, Conficker, a fait son apparition et à circulé au niveau mondial au sein des réseaux, et représentait encore toujours 1,7 million d’infections par trimestre trois ans plus tard.
Quel était cette époque qui a pu voir le worm Sasser frapper des dizaines ou des centaines de milliers de réseaux en causant de réelles nuisances ? Très probablement, une époque dans laquelle les worms étaient assez communs, une ère que nous pourrions maintenant décrire comme “l’âge d’or sombre” des malwares conçus pour se répandre le mal à grande vitesse.
Les experts savent pourquoi les worms avaient autant de succès au début des années 2000 : en fait internet a rendu possible ces infections rapides. De plus les patchs en étaient à leurs balbutiements. Quand quelque chose devient possible, à priori quelqu’un l’essayera. Peu de temps après, quelqu’un s’en inspirera et l’histoire se poursuivra ainsi de suite.
Les worms sont devenus peu fréquents ces dernières années, probablement parce que les créateurs de malwares ont opté pour la furtivité comme étant une meilleure tactique d’attaque, et les worms n’étaient donc plus adaptés.
Et pourtant, se défendre contre les worms reste difficile. Les administrateurs peuvent bloquer les services ou les ports au niveau du pare-feu, mais pas indéfiniment. Suspendre les courriers électroniques est une autre tactique qui fonctionne jusqu’à ce que les utilisateurs se plaignent !
Le worm WannaCry 2.0 est un rappel pour montrer que les internautes non seulement oublient, mais ils oublient qu’ils ont oublié. Le monde a l’habitude d’être surpris par les nouveaux malwares qui reposent néanmoins sur d’anciennes techniques.
La prochaine fois, cela pourrait néanmoins être pire. En 2012, la compagnie pétrolière Saudi Aramco avait été attaquée par quelque chose appelé Shamoon, qui a rapidement intégré le Master Boot Record (MBR) de 35 000 disques durs. Depuis nous avons pu observer d’autres exemples de ce type d’attaque au niveau des disques, qui sont d’ailleurs incroyablement coûteuses et consommatrices de ressources pour la canaliser, surtout si le PC est entré dans une boucle de démarrage.
Quelque chose qui détruit les disques combiné à un worm, peut engendrer des jours, voire des semaines de perturbations pour une entreprise comme le NHS anglais, peut coûter très cher à réparer, sans compter l’impact sur le personnel, les patients et leurs proches. Ces coûts humains sont toujours en cours d’évaluation au sein du NHS en Angleterre.
L’histoire se répète pour que tout le monde puisse apprendre !
Billet inspiré de The Windows worm is back – and this time it’s serious, sur Sophos nakedsecurity.
Anonymous
Bonjour,
Merci pour cet article. Juste un point: vous dites ” WannaCry s’est attaqué à une vulnérabilité bien connue au sein de Windows SMB et non corrigée” ce qui est inexact. le correctif MS17-010 a ete mis a la disposition du public des le 17 mars 2017.