WannaCry, l’attaque systémique tant redoutée
14 mai 2017
Le rançongiciel WannaCry dit aussi WannaCrypt s’est déployé au cours des derniers jours dans le réseau de santé anglais ou chez Renault, en grande partie, du fait de la bêtise d’utilisateurs victimes des techniques d’usurpation d’identité (phishing).
Qui n’a pas de mémoire est condamné à répéter les erreurs du passé !
Nous avons déjà connu dans le passé plusieurs attaques par ver aux conséquences toutes aussi dévastatrices que celles de WannaCrypt. Je me souviens surtout du virus Blaster, en 2003, qui avait touché les infrastructures des serveurs Windows à cœur et s’était propagé aux stations de travail des réseaux d’ordinateurs Windows. Près de 15 années plus tard, nous n’en avons toujours pas compris les leçons.
Le problème des entreprises comme Renault ou comme les hôpitaux anglais et français, c’est qu’ils font le choix imbécile d’une infrastructure reposant à titre principal sur les systèmes d’exploitation Windows, là où une grande majorité d’utilisateurs pourraient travailler sur Linux, BSD ou Mac OS X. Pour qu’il se propage, WannaCry a s’appuie sur le protocole SMB utilisé par le service de partage de fichiers LanmanServer des systèmes Windows !
Que faire face à WannaCrypt ?
Il faut d’abord que vous fassiez la mise à jour de votre système Windows par l’application du patch MS17-010 mis à disposition par l’éditeur dès le 14 mars 2017.
La 2e solution plus radicale est de couper votre service LanmanServer. Votre machine ne pourra plus se faire contaminer par les machines infectées présentes dans votre réseau. La plupart des stations de travail n’ont d’ailleurs pas besoin que les autres ordinateurs du réseau accèdent à leurs fichiers !
Vous pouvez aussi décider de désactiver le protocole SMBv1 en paramétrant le service LanmanServer comme suit :
La désactivation du protocole SMBv2 vous empêchera d’accéder aux partages des autres ordinateurs.