NotPe­tya prend la re­lève de Wa­na­crypt

L'Informaticien - - L'ESSENTIEL -

Si les deux ran­som­wares n’ont pas grand-chose à voir, ils ont tou­te­fois un point com­mun : avoir fait ré­agir la com­mu­nau­té mon­diale de la cybersécur­ité et avoir mis au chô­mage tech­nique plu­sieurs en­tre­prises. En France fin juin, la Maif à Niort, le groupe Au­chan. Sur­tout, plu­sieurs fi­liales du groupe SaintGo­bain (dans l'Oise et le Nord) ont dû mettre une par­tie des ef­fec­tifs en RTT suite à l’at­taque. Les deux pays prin­ci­pa­le­ment tou­chés ont été la Rus­sie et sur­tout l’Ukraine. Car le ran­som­ware NotPe­tya se pro­pa­geait par trois moyens, dont le pre­mier : une faille dans un lo­gi­ciel ukrai­nien de comp­ta­bi­li­té ap­pe­lé MeDoc. Les pi­rates au­raient uti­li­sé la fonc­tion­na­li­té de mise à jour au­to­ma­tique pour dif­fu­ser le mal­ware/ran­som­ware sur tous les postes uti­li­sant le­dit lo­gi­ciel. Par ailleurs, NotPe­tya a (comme Wa­na­crypt) uti­li­sé l’ex­ploit Eter­nalB­lue vi­sant le pro­to­cole Win­dows SMB. La faille en ques­tion avait pour­tant été pat­chée en mars 2017. Le ran­som­ware a éga­le­ment ti­ré par­ti d’un autre ex­ploit, Eter­nalRo­mance avec un code d’exé­cu­tion ci­blant les OS Win­dows XP, 2003, Vis­ta, 7, 8, Win­dows Ser­ver 2008 et 2008 R2 sur le port 445. Di­rec­te­ment ci­blé, Mi­cro­soft a ra­pi­de­ment ré­agi, ten­tant de se dé­doua­ner. Et si Win­dows De­fen­der dé­tecte bien NotPe­tya, seuls 4 des 61 lo­gi­ciels an­ti­vi­rus ana­ly­sés par Vi­rusTo­tal peuvent aus­si le faire. « Ce­la sou­ligne la né­ces­si­té de mettre en place des so­lu­tions de dé­fense sans si­gna­ture et une ap­proche par couche pour la sé­cu­ri­té des don­nées », concluait un expert.

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.