Accueil
Cyberécurité

Se protéger du logiciel malveillant NotPetya

Cédric Mialaret
Cyberécurité

Une nouvelle vague d’attaques de logiciels malveillants a débuté mardi 27 juin, affectant de nombreuses entreprises et organismes publics dans le monde entier.

L’épidémie a démarré en Russie et en Ukraine, et s’est rapidement propagée à l’Europe. Des entreprises globales comme Maersks, Rosneft et en France des entreprises comme Saint-Gobain et Auchan sont touchées.

Le parquet de Paris a ouvert une enquête pour «accès et maintien frauduleux dans des systèmes de traitement automatisé de données», «entrave au fonctionnement» de ces systèmes, «extorsions et tentatives d’extorsions». La probabilité que l’enquête permette d’identifier les auteurs ou les commanditaires nous semble nulle.

NotPetya

D’abord présenté par la presse comme Petya, le rançongiciel est rapidement caractérisé par Kaspersky comme NotPetya : le logiciel malveillant essaye, sans trop faire d’efforts, de se faire passer pour le premier.

NotPetya, une fois infecté un ordinateur, chiffre les disques durs et exige 300 dollars en bitcoin pour redonner un accès aux données.

Malheureusement, alors que Petya a été conçu par des criminels dans un but lucratif, NotPetya cherche surtout à causer des dommages et à se répandre le plus vite possible, sous couvert d’être un rançongiciel.

Contrairement aux rançongiciels habituels, il ne chiffre que 65 types de fichier. Et contrairement aux rançongiciels habituels, les victimes sont censées contacter les responsables par courriel. Il est sûr que toute personne à même de développer un logiciel malveillant sophistiqué sait que le courriel n’est pas un moyen fiable de communication parce que le compte sera désactivé rapidement.

Les trois facteurs d’infection sont EternalBlue, une faille de sécurité du protocole de réseau SMB volée à la NSA, également exploitée par WannaCry, EternalRomance, une autre faille de sécurité volée à la NSA, et l’envoi de courriels malveillants essayant de piéger des personnes avec les droits d’administrateurs.

Les deux premiers facteurs d’infection ont été corrigés depuis longtemps par Microsoft, et vu la forte couverture médiatique dont ont bénéficié WannaCry et Petya, les entreprises n’avaient plus aucune excuse pour ne pas avoir effectué les mises à jour et désactivé SMB, un protocole qui n’est plus utilisé.

Le troisième facteur est très dangereux, puisqu’une fois les droits d’administrateurs obtenus, NotPetya cause le maximum de dégâts, surtout sur les réseaux mal configurés avec une organisation plate, et une absence de cloisonnement entre les différents types d’administrateurs, comme les administrateurs de réseaux et les administrateurs de domaines.

Se protéger

  • Mettre à jour les ordinateurs et les serveurs avec les correctifs de sécurité, ce qui aurait dû être effectué depuis longtemps ;
  • Désactiver SMB v1, ce qui aurait dû être effectué depuis longtemps ;
  • Bloquer l’accès externe aux ports 137, 138, 139 (respectivement Netbios Name Service, Datagram Service et Session Service) et 445, qui donne accès au réseau TCPIP Microsoft sans passer par Netbios ; Ce qui aurait dû être effectué depuis longtemps ;
  • Suivre les meilleures pratiques, et limiter au maximum les droits des administrateurs locaux, en délimitant bien les droits des différents types d’administrateurs ;
  • Créer le fichier C :\Windows\perfc.dat et le configurer en lecture seule. Si cela n’empêche pas la diffusion de NotPetya sur le réseau, il l’empêchera toutefois de chiffrer le disque dur.
  • Poursuivre l’éducation des utilisateurs et des administrateurs, afin qu’ils ne cliquent jamais des liens dans des courriels étranges, ou envoyés par des inconnus.
  • Effectuer des sauvegardes régulièrement.

On le voit, la plupart des entreprises à l’informatique bien gérée ne devrait pas tomber victime de NotPetya, les mesures à prendre étant du domaine de la configuration correcte des réseaux, serveurs et ordinateurs, et des mises à jour dès que possible des correctifs de sécurité. Même si une entreprise peut décider de tester en profondeur un correctif avant de le déployer, un retard de plusieurs mois est difficilement excusable.

Il n’y a aucun espoir de récupérer les données d’un ordinateur infecté et dont le disque dur a été chiffré par NotPetya. Il ne reste plus qu’à espérer qu’une sauvegarde est disponible, et que la récupération s’effectue sans problème.

Les signes qu’il faut agir au plus vite

NotPetya va immédiatement infecter le disque, et forcer un redémarrage dans les dix minutes après l’infection.

Quand l’ordinateur redémarre, l’utilisateur est présenté avec ce qui ressemble à une session de contrôle de disque par CHKDSK.

En fait, le logiciel malveillant est en train de chiffrer le disque.

La seule chose à faire est de couper le courant pour espérer récupérer le maximum de fichiers, avant que le chiffrement ait eu le temps de progresser.

Si ce n’est pas le cas, NotPetya va chiffrer la Master File Table des partitions NTFS, tous les fichiers de 65 types individuellement, et remplacer le Master Boot Record par un chargeur qui va présenter la demande de rançon.

 

Responsabilité

La première responsabilité incombe aux cybercriminels, peut-être aux ordres d’un pays.

La deuxième responsabilité incombe à la NSA, pour d’une part amasser des vulnérabilités jour zéro en secret, alors qu’elle est censée contacter tout éditeur de logiciel ou fabricant quand elle découvre une vulnérabilité informatique.

Et d’autre part, pour son incapacité totale à protéger ces cyberarmes des criminels.

Tout laisse à penser que les autres agences de renseignement du monde entier se comportent comme la NSA, découvrant mais n’informant pas des vulnérabilités jour zéro, ou les achetant pour des sommes exorbitantes à des entreprises tierces. On peut même craindre que la protection de ces armes soit encore plus faible dans d’autres agences.

Les spécialistes font valoir ces arguments à chaque discussion sur les pouvoirs des services de renseignement, comme sur les lois affaiblissant la cybersécurité des citoyens et des entreprises.

Ces recommandations restent la plupart du temps lettre morte, et que les politiciens profitent de l’émoi des citoyens envers des attentats qui, s’ils sont traumatisants et inexcusables, restent, pour l’instant, tout à fait marginaux en nombre de victimes, pour passer des lois qui affaiblissent considérablement le droit à la vie privée tout en mettant en danger la sécurité des citoyens en donnant trop de pouvoir aux agences de l’État et aux services de renseignements.

Ce que l’on peut comparer par analogie, à une gendarmerie qui, en ne protégeant pas suffisamment son armurerie et en insistant pour avoir beaucoup d’armes, alimente toute une organisation criminelle en se faisant dérober.