Paste your Google Webmaster Tools verification code here

Cybersécurité

Wannacry : détecter et endiguer la menace ransomware

on


Devenu tristement célèbre en mai 2017, le ransomware Wannacry a fait souffler un vent de panique dans le monde de la cybersécurité. Personne n’a été épargné, et plus de 150 pays ont été atteints. À l’heure où la cybersécurité est devenue une priorité, quelles conclusions tirer de cette attaque aussi violente que pandémique ?

WANNACRY, À QUI LA FAUTE ?

En touchant des cibles aussi variées que Renault, Telefonica, des hôpitaux ou de nombreux particuliers, Wannacry a montré que les lourds investissements financiers consentis par les grandes entreprises en matière de sécurité informatique ne suffisent pas toujours à les protéger de la menace cybercriminelle.

EternalBlue, quand la NSA profite aux fraudeurs

Le 15 avril 2017, un groupe de hackers appelé The Shadow Brokers a dévoilé des données de la NSA détaillant plusieurs exploits et vulnérabilités dont EternalBlue, qui tire parti d’un défaut d’implémentation du protocole SMB de Microsoft. Concrètement, EternalBlue permet d’exécuter n’importe quel code sur un serveur cible au sein d’un même réseau. Dans le cas de Wannacry, cette faille a notamment permis de diffuser le ransomware à l’ensemble d’un réseau informatique et de chiffrer la majeure partie des données. Certaines personnes et organisations ont pointé du doigt la responsabilité de la NSA, qui a gardé secrète cette vulnérabilité et a créé un exploit qui n’aurait jamais dû tomber entre de mauvaises mains.

Un parc informatique obsolète

Malgré la dissimulation de la faille par la NSA, Microsoft a publié en mars 2017 une mise à jour de sécurité (MS17-010) résolvant ce problème, à destination des versions Windows suivantes : Windows Vista, Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012 et Windows Server 2016. Suite à l’avènement de Wannacry, un correctif de sécurité a été apporté aux versions antérieures Windows XP, Windows 8 et Windows Server 2003. Les bonnes pratiques de sécurité préconisent systématiquement un maintien à jour de ses postes et de son réseau. Wannacry a rappelé que les solutions de sécurité les plus élaborées sont parfois inutiles si des prérequis simples de protection ne sont pas respectés.

Des méthodes de détection inefficaces

De nombreuses solutions de sécurité ont montré leurs limites avec Wannacry. Afin de se propager, le ransomware scanne le réseau dans le but d’infecter les machines qui y sont connectées. En limitant le nombre de tentatives d’intrusion simultanées à 10, Wannacry a échappé à de nombreux outils de détection d’intrusion (IDS et IPS notamment) dont le fonctionnement repose sur un simple comptage. Les antivirus ont également largement échoué dans leur mission, dans la mesure où Wannacry a agi sous une nouvelle signature. Si depuis leur mise à jour beaucoup d’entre-eux sont capables de détecter Wannacry, les nouvelles menaces qui exploitent la faille EternalBlue resteront indétectables jusqu’au prochain update. D’ici là, combien comptera-t-on de victimes ?

L’inconscience de la NSA, les lacunes en matière de bonnes pratiques sécurité, ou l’inefficacité des solutions de détection ne doivent pas pour autant cristalliser la fatalité des attaques cybercriminelles. Ces défaillances doivent nous pousser à repenser nos modèles de cybersécurité et les solutions qu’on lui destine.

COMMENT WANNACRY AURAIT-IL PU ÊTRE ÉVITÉ ?

La NSA continuera toujours de cacher des failles, et les parcs informatiques, même à jour, d’être vulnérables. Espérer une solution à ces niveaux relève de l’utopie. Les solutions de protection ont quant à elles échoué dans les grandes largeurs, et leur inefficacité doit nous pousser à adopter une nouvelle approche salvatrice dans les méthodes de détection et de réaction.

Wannacry, un fonctionnement séquentiel simple

Wannacry s’articule autour des 2 grandes étapes suivantes :

  • L’infection et la propagation : durant cette étape, le malware va d’abord se connecter à une URL qui agit comme un KillSwitch. Si la connexion échoue le malware stoppe toute activité immédiatement, sinon il poursuit son activité et utilise l’exploit EternalBlue pour se propager en scannant le réseau.
  • Le chiffrement des données : durant cette étape, le malware procède à un chiffrement des disques et effectue toutes les activités parallèles (génération des clés, préparation des messages et des instructions pour recouvrer les données…).

Des conséquences nettes sur les machines et le réseau

L’étape d’infection et de propagation va déclencher un trafic inhabituel sur le réseau (avec des restrictions inscrites dans le code afin d’échapper aux IDS), quand l’étape de chiffrement va utiliser une grande partie des ressources de la machine (RAM, processeurs…). Plus spécifiquement, de nombreux fichiers seront renommés, de plus en plus de paquets échangés sur le réseau, et un ralentissement de la machine est à prévoir.

Les graphes ci-dessous illustrent les conséquences de l’exécution du ransomware sur la CPU et le trafic sortant.

Quelle approche pour détecter Wannacry ?

En sélectionnant les bonnes données et en construisant des variables pertinentes (utilisation de la CPU, de la RAM…), et en les adaptant au contexte (machine isolée, réseau…), il est possible de modéliser le comportement normal d’un SI afin de détecter toute anomalie qui pourrait survenir.

Le graphe ci-dessous, représentant des données d’utilisation de la CPU, montre comment une différence entre la prédiction basée sur un algorithme de Deep Learning (en noir) et les valeurs réelles (en vert) permettent d’identifier une anomalie (en rouge). Devant un tel phénomène, il est ensuite possible d’isoler les .exe en cours d’exécution ou qui ont précédé l’anomalie pour les interrompre et les supprimer avant que le chiffrement des données ne soit effectué.

Ceci n’est qu’une démonstration simple qu’une nouvelle approche est possible, et des modèles plus complexes peuvent bien sûr être construits afin d’identifier toutes les anomalies liées à des attaques de grande envergure telles que Wannacry ou ses descendantes.

À peine l’incendie Wannacry a-t-il été éteint que déjà il faut se protéger de nouveaux malwares tels que Adylkuzz, qui exploite les mêmes failles et utilise les ressources des machines infectées pour miner des crypto-monnaies. Les solutions de cybersécurité doivent adopter une nouvelle approche dans laquelle les indices de détection sont à chercher au cœur des conséquences d’une attaque (données altérées, anomalies de fonctionnement, ralentissements…), plutôt qu’à ses sources (antivirus souvent dépassé, failles de cybersécurité, surveillance…). Il est également important de détecter en temps réel afin d’agir au plus tôt, dans un contexte où les attaques sont de plus en plus fulgurantes.

Une chose est sûre, il n’est jamais écrit qu’une attaque doive aboutir. Repenser les modèles de sécurité doit promouvoir une protection plus efficace du SI, une meilleure intégrité des données et une cyber-résilience toujours plus rapide.

Commentaires

commentaires

About Thomas Graindorge

Fan de nouvelles technologies, je suis co-fondateur du site After the Web. N’hésitez pas à me contacter pour devenir à votre tour rédacteur sur le site.

Recommended for you

You must be logged in to post a comment Login