Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Propagation mondiale du rançongiciel WCRY : des nouvelles du front

15 mai 2017 - 11:15,
Tribune - Charles Blanc-Rolin
                                                   

malwaretech_wcry_map

Il aura été difficile de ne pas avoir entendu parler ces deux derniers jours de cette propagation mondiale du rançongiciel WanaCrypt0r qui a paralysé de nombreuses entreprises, ministères, opérateurs téléphoniques, le constructeur Renault ou encore 45 hôpitaux publics britanniques. (voir : Rançongiciel : propagation massive et mondiale : l’ANSSI sonne l’alerte !)

Des dégâts considérables constatés ! Et le nombre de victimes cliquant sur la pièce jointe malveillante envoyé dans un message de phishing (l’hypothèse d’une propagation par mail s’est confirmée) continu d’augmenter. On a passé la barre des 230 000 victimes à l’heure où j’écris ces lignes. Vous pouvez visionner l’évolution en direct sur le Tracker mis en place par Malwaretech

Il s’est passé beaucoup de choses en à peine quelques heures ! Côté Français, comme je vous l’avais indiqué, l’ANSSI a donné l’alerte très rapidement dans la soirée de vendredi. Pour le secteur de la santé, le Ministère a émis une alerte auprès des ARS dans la foulée, également retransmise à la chaine d’alerte SSI (des RSSI d’établissements principalement) mise en place par notre FSSI, Monsieur Philippe LOUDENOT. Des échanges entre RSSI de différents établissements (CHU, CH), des mises en œuvre de procédures d’urgences dans plusieurs établissements (alerte des directions, des utilisateurs, désactivation des webmails personnels, coupure Internet temporaires) pour éviter l’infection en attendant de « patcher ». Le fait d’avoir conscience que l’on est encore loin d’être au niveau en matière de SSI dans le secteur de la santé, nous aura peut-être permis de « sauver les meubles ».

Devant l’ampleur de cette propagation et ses conséquences désastreuses, Microsoft a, contre toute attente, publié en urgence des patchs de sécurité corrigeant la vulnérabilité MS17-10 exploitée par ce rançongiciel pour des systèmes d’exploitation qui ne sont plus maintenus, comme pour Windows XP et 2003 Server. Ces patchs sont téléchargeables ici : https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Comme auront pu le voir ceux qui ont suivi le fil de discussion sur Forum SIH.

Pour les systèmes maintenus, c’est la mise à jour de sécurité de mars 2017 qui corrige cette vulnérabilité. Pour les administrateurs, c’est la KB4012212 pour les différentes versions Windows 7 et 2008 Server, la KB4012213 pour Windows 8.1, la KB4012214 pour les différentes versions de 2012 Server, les KB4012606, KB4013198 pour les premières versions de Windows 10 et la KB4013429 pour les dernières versions de Windows 10 et 2016 Server. 

Le « héros du jour » est un chercheur de la société Malwaretech qui explique dans un article comment il a réussi à stopper « temporairement » l’infection il y a quelques heures. Au fil de ses recherches dans le contenu du code du « dropper » [1], il s’est rendu compte que le développeur avait laissé une « porte de sortie ». En effet avant de télécharger la charge utile, un test de connexion vers un nom de domaine inexistant était effectué. En cas de non réponse le « dropper » se connectait donc au serveur lui permettant de télécharger la charge utile. Le chercheur a donc déclaré le nom de domaine iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com contenu dans le code et oh miracle !, la condition au premier test de connexion étant remplie, le « dropper » esquive le téléchargement de la charge utile et l’infection est donc évitée.

 sinkhole

C’est une excellente nouvelle pour cette campagne d’infection qui semble bien affaiblie, mais il ne faut pas non plus se voiler la face, une nouvelle version pourrait très vite faire son apparition et redevenir efficace en un clic de souris. Les victimes devront restaurer leurs données pour repartir et l’application des patchs de sécurité est inéluctable pour tout le monde.


[1] Injecteur en français, il s’agit du code contenu dans les pièces jointes permettant l’infection reçues par mails, et qui s’occupe par la suite de télécharger la charge utile réalisant l’opération de chiffrement des fichiers, les rendant ainsi inutilisables.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Mais non, la 27001 n’est pas lourdingue !

Mais non, la 27001 n’est pas lourdingue !

06 oct. 2025 - 22:14,

Tribune

-
Cédric Cartau

Récemment, je suis tombé sur un post selon lequel, en gros, la compliance (conformité) serait un mal nécessaire pour décrocher des contrats, des marchés, mais qui globalement n’aurait quasiment pas d’autre utilité, et que sa contribution à améliorer le « système » est tout sauf claire. Bref, c’est b...

Illustration FHIR : la norme qui libère la donnée de santé et ouvre de nouvelles voies

FHIR : la norme qui libère la donnée de santé et ouvre de nouvelles voies

06 oct. 2025 - 21:41,

Actualité

- DSIH

Pour fluidifier les parcours, offrir une vision exhaustive des données patients, connecter la ville et l’hôpital, et permettre aux nouvelles générations d’algorithmes de révéler tout leur potentiel, l’interopérabilité devient essentielle. Autour d’un dîner-conférence organisé par Infor, experts amér...

Illustration Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé

Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé

02 oct. 2025 - 10:31,

Communiqué

- La Poste Santé & Autonomie

Rendez-vous le 9 octobre 2025 à Paris pour la 3ᵉ édition d’Horizon Santé 360, l'événement annuel de La Poste Santé & Autonomie.

Illustration Le Data Act : une nouvelle ère pour la gouvernance des données de santé

Le Data Act : une nouvelle ère pour la gouvernance des données de santé

30 sept. 2025 - 07:15,

Tribune

-
Marguerite Brac de La Perrière

Le 12 septembre 2025 a marqué une étape décisive dans la stratégie européenne de la donnée avec l’entrée en application du Data Act (Règlement UE 2023/2854). Ce texte, pilier du marché unique de la donnée, vise à encadrer l’accès, le partage et la portabilité des données générées par les produits ...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.