WannaCry - Et bien pleurez maintenant

J’avais déjà démontré son incapacité à faire son job correctement par ici: RansomFree - Pour protéger votre PC des ransomwares

1 « J'aime »

En fait l’infection chez les hopitaux est arrivée depuis internet via la faille puis s’est propagée dans tout leur réseau grâce à la fonction de scan du réseau implémentée dans WannaCry donc un ordinateur devait être connecté publiquement et proposait les ports incriminés ouverts.

“Je délire ou c’est le cas”, probablement un peu des deux.
D’un côté, il est vrai que des mesures de sécurité sont manquantes, sinon rien n’aurait été infecté.

D’un autre côté, j’imagine que les usines, les automates, les consoles, tout ça c’est quelque chose de très compliqué à mettre à jour. En effet, des logiciels sont utilisés depuis des années et jusque là, ça marche bien. Ces logiciels ne tournent pas sur les OS récents, et tout mettre à jour en permanence, je ne suis pas sûr que ce soit possible en pratique (même si en théorie, ça devrait être fait). Suffit de voir comment les particuliers mettent du temps pour passer d’une version de Windows à une autre, parfois plusieurs années, alors imaginez des entreprises.

Je pense qu’il faut être assez prudent quand on critique un SI d’une telle taille. C’est facile de dire ça quand on s’occupe d’un réseau local avec 1 ordinateur et deux téléphones, et en plus je suis sûr que pas tout est à jour, que le FW est mal configuré, et qu’il y a des logiciels suspects à droite à gauche.

Enfin, les sites de production doivent tout de même avoir des protections, mais malheureusement, en cas d’attaque, les protections sont toujours “one step behind”.

Bref, tout ça, c’est pas simple, le vecteur de propagation étant via SMB, c’est difficile de le bloquer (puisque c’est utile dans des centaines de cas en entreprise), moi je souhaite bon courage à toutes les cibles.

Désactiver SMB ce n’est pas “couper son réseau”, c’est couper le service d’accès aux fichiers à distance de windows. Et ce n’est pas non plus directement lié aux services type UPNP et compagnie.

Et dans le cas de ce ransomware, ce qui est mis en avant c’est justement l’exécution de code à distance via une faille SMB; pas besoin de mail, de fichier téléchargé ou d’utilisateur qui clic, il suffit d’avoir un accès aux services SMB de la machine. C’est pour ça qu’un tas de systèmes embarqués (sur lesquelles personne n’ouvre de mail) se sont retrouvés infectés.

1 « J'aime »

Merci pour ton rappel sur le SMB, on est donc tous d’accord, le SMB est la partie essentielle de ton réseau, au contraire du ridicule UPNP.
Je ne te félicite pas pour ta crédulité et ton manque de lucidité, manque de chance tu répond des heures après Korben à mon message, qui a confirmé, et modifié sa news en conséquence.
Effectivement l’ensemble de la presse, meme spécialisée, et la police ont mis en avant cette ridicule nouveauté, mais ce n’est pas pour ca qu’il faut tout gober comme un débutant. Car si, c’est bel et bien d’abord un email de phishing ridicule, qui est au départ de chaque infection, le bonus étant en plus l’oubli de mise à jour pendant 2 mois… Ce qui explique pourquoi seules les sociétés ont été infectées.

Donc un PC sous XP qui ne servirait pas à lire des mails ne craint rien (si toute les autres machines du reseau local sont des macs ou des pc sous win 10 à jour)

J’ai un vieil XP qui me sert pour lire des vieux trucs, comme des disquettes ou des VHS SECAM (ma DC10+ n’a pas de drivers plus recent que XP)

Pire que ça, je ne pense pas que des PC aient été accessibles directement sur les ports SMB depuis Internet vu que les forntaux sont des firewalls/VPN ou autres qui n’exposent ni ne translatent pas le SMB (enfin j’ose espérer) mais le personnel hospitalier s’en bas les c… de la sécurité, ils se baladent avec des clés plus vérolées que des p… de bangkok et c’est grave, ils se baladent même avec des dossiers patients chez eux et s’ils perdent la clé ou si leur gamins s’amusent à regarder dedans, copier les données … enfin bref les hôpitaux = sécurité informatique zéro.

1 « J'aime »

Si seulement les utilisateurs étaient aussi assidus que tu le penses …

Ce qui explique pourquoi seules les sociétés ont été infectées

Attention, évidemment, les seules entités qui communiquent sont les sociétés. Les raccourcis sont simples, mais toutes les personnes touchées ne sont pas forcément toutes les personnes qui ont communiqué à ce propos, loin de là d’ailleurs. Combien d’utilisateurs désactivent les MAJ parce que ça prend 5 minutes au boot ? Malheureusement, beaucoup (trop)… :frowning:

Merci pour la petite leçon de morale, mais tu te la garde Korben.

Déjà, faire un peu d’éloge sur Windows 10 (il est “plus sûr que les autres”) c’est un peu contradictoire sur le fait que la NSA était au courant de la faille mais pas Microsoft, non ? Qui dit qu’il y en a aucune compatible W10 ?

De plus, non, je vois pas en quoi Windows 10 serait plus sûr qu’un W8 ou 7 sur ce terrain là. En décembre dernier, j’ai été victime d’un Ransomware via Mail de mon FAI, mais ce n’était pas mon FAI ce qui est con, vu que c’est la même boite mail ou je reçoit les mail de mon FAI, et elle était même pas dans les spam ou autre…

Bref, presque 1 To de foutu en l’air. J’ai réussi à stopper l’infection à temps, mais pas mal de fichier étaient morts (Jpg/Rar/Flac). Je te laisse deviner sur quel OS j’ai été infecté.

A partir de là, déjà que W10 me satisfaisait pas, en plus d’avoir un Windows Defender assez passoire et voir que l’OS détecte MÊME pas une activité louche sur plein de modification sur les fichiers à vitesse grand V… ça mérite une grosse remise de question pour Microsoft et la sécurité non ?

Tout le monde n’a pas les moyens de s’acheter un RAID ou un Disque dur externe de 6 To pour “des cas comme ceci

juste pour te répondre :
Windows Defender n’a jamais été un antivirus.
appelons un chat un chat.

beaucoup de solution antivirus communautaire gratuit Semi-pro existe, Sophos Home (Sophos Entreprise…) [je ne l’utilise plus], Immunet (Solution complémentaire pour antivirus nommée Sourcefire dans la version Pro de chez Cisco). certe si c’est gratuit on est le produits, mais rien que ces 2 solutions remplacé chacun part d’autre (Avast, Aviras, Malwarebytes etc… etc…) rajoutons un mini firewall si votre PC est Nomade (Pc portable) Glasswire règles beaucoup de problème.
hormis quelque bug liée a des patch Microsoft sortie trop tôt et pas trop étudié en production non jamais proposé de problème majeur ( hormis désagrément visuel, a l’époque de W2003 perso). personnellement je lance quasiment manuellement (même si l’automatisation est implémenté) tout les 2/3j PatchmyPc pour les application Tiers (Flash/Java/etc…etc…) certes on est pas a l’abri d’une infection du soft un jour ou l’autre, mais en scrutant un peux, rien a l’horizon. et je ne parle ici que pour des solutions de particuliers pas PRO.

celui qui dit qu’il n’a plus de virus depuis qu’il a désinstaller sont antivirus ce fout le doigt dans l’œil.

la solution c’est ce protégé comme dans la vie réel.

il faut prendre des solutions complémentaire (Sophos/Mcaffe/avast) additionné à des solutions en SUP (immunet/malwarebyte) [je mélange un peux les lots mais bon le principe est là]

bref faut arrêté de mettre tout les œufs dans le même panier et arrêté de ce croire sécurisé, le problème est toujours en partie un problème d’ICC (interface-chaise-clavier) [d’utilisateur]

une capote n’a jamais protégé des MST a 100% l’utilisateur en est responsable aussi

1 « J'aime »

J’ai du rater la leçon de moral et il recommande Windows 10 car c’est la seule version pas touchée, mais sinon ton histoire c’est plus un pebkac qu’autre chose.

Merci pour ce descriptif exhaustif ! Étant technicien systèmes et réseaux, petite frayeur de notre côté (je travaille dans une ESN). Espérons que nos clients ont mis à jour leurs PCs :slight_smile:
Chez nous, il se pourrait qu’on renforce la sécurité de nos clients en interdisant l’ouverture des fichiers .js par GPO.

Tu te rappel pas du SMB, tout de suite dire que le UPNP c’est ridicule, en gros tu piges rien à la sécurité, ne souhaiterais donc tu pas juste circuler, t’informer avant de l’ouvrir ?

Les journaleux, informateurs n’explique jamais le pourquoi du comment de manière précise mais survole juste le sujet car c’est le sujet du moment.

Le premier vecteur est bien souvent l’email, cibler les entreprises c’est infecter des milliers de PC rapidement, cibler une particulier c’est cibler 1 personne, waouh, tu comprends pourquoi ça rapporte pas ? D’autant que tu dois avoir 12 ans parce que pensez que dans les hôpitaux ils ont que ça à foutre de mettre à jour les ordis sous XP destiné à des équipements, ouai en effet c’est un clairement un manquement…
C’est pas pour rien que MS force les mises à jours depuis win10 automatique, mais après les gens se plaigne et le désactive…parce que bon ce service là il sert à rien, allez j’installer ccleaner… :triumph:

Va voir la vidéo sur le virus du 18-25 / twitch booster, les gens sont assez con pour supprimer leur protection et faire tourner n’importe quoi.

J’aimerais savoir par contre le nombre d’antivirus qui aurai stopper l’attaque si la machine n’était pas à jour ? un bon moyen de prouver encore que cela n’aurai rien changé. certes une fois qu’il est sorti mais avant… non.

Je ne sais pas de quoi tu parles, ca n’a aucun sens et tu es complètement à coté de la plaque, m’insulter quand tu te plantes des les 6 premiers mots ? Pourquoi j’irais voir quoi que ce soit quand j’avais 100% raison et que ca a été reconnu ?
T’as fumé ?

Tu simplifies, tu repars sur le gros délire de la presse, la menace pour le particulier n’est absolument pas le 2e facteur réseau local, puisque c’est le 2e facteur, et en plus très peu dangereux pour le particulier. Le 1er facteur bien un mail débile, hors, le particulier a tendance en outre a utiliser un webmail, avec antivirus intégré. Tous ces details en font un virus ciblant plutôt les entreprises.

Pour l’exploitation de la faille, oui c’est ça. Le soucis c’est que sur tes X centaines d’employé tu as toujours un mec qui ouvre tous les mails qui lui passe sous la main sans trop comprendre ce qu’il se passe. Concernant l’AV, le virus vient juste d’être codé, il n’est donc pas dans la base de signature, et l’analyse “comportementale” est encore très aléatoire sur les AV (pour rappel, un antivirus ne bloque qu’environ 30% des menaces, en gros les trucs de scriptkiddies qui récupère des bouts de code sur internet pour faire leur virus, voir en prenne des tout fait).
Les MAJ Windows ce n’est pas évident en entreprise : ça fonctionne en l’état pourquoi prendre le risque de mettre à jour ? Quand tu prends le cas de Renault ils perdent des centaines d’euro par minute (voire milliers), en cas d’arrêt de la production, donc si le mec de l’IT vient voir les responsables pour leur dire qu’il va mettre à jour leur poste de travail, on lui rit au nez.

Quand à la sécurité sur un site comme Renault, souvent y’a une sécurité internet vers intranet qui est forte, mais une fois dans l’intranet tu te balades :wink:

Comme n’importe quel anti-virus, il aura toujours un temps de retard. Je tenais seulement à préciser que cette attaque peut potentiellement toucher des utilisateurs, et que non, pas seules les sociétés ont été infectées.
C’est une bonne piqûre de rappel, mettre à jour son OS (et tous les autres softs) n’est pas un luxe, ça doit être un réflexe. Les FW ne sont pas fait pour être bypassés “parce que c’est plus simple”, les MAJ ne doivent pas être délaissées “parce que ça prend du temps quand j’allume ma machine”.

Maintenant, libre à chacun de faire ce qu’il veut. De toute manière, ça n’arrive qu’aux autres, jusqu’au jour où …

Simple petit détail : arrêtez de dire que Windows 10 n’était pas touché. Windows 10 était vulnérable, et a été patché en mars comme tous les autres. Si la NSA a gardé cette faille SMB bien au chaud, c’est justement parce que TOUS les Windows de XP à 10 étaient vulnérables.

Sinon oui Korben, tu as raison, les entreprises devraient upper un peu les sécurités. Les mises à jour de sécurité sont vitales et c’est montré ici. Mais comme mentionné plus haut, certains n’ont pas le choix. Je pense notamment à Renault : le milieu indutriel utilise des automates de contrôle dont le logiciel n’est disponible que sous XP (bien souvent).
Microsoft a fait un grand pas en avant en forçant les MàJ.

Par contre, je m’étonne, depuis le temps que les ver existent, qu’aucune mesure ne soit prise en entreprise pour isoler les machines entre elles. En effet, au niveau réseau, il est possible d’isoler les machines utilisateur entre elles (ou de les grouper par petit nombre pour limiter la casse) et de faire communiquer seulement avec les serveurs centraux (qui eux peuvent plus facilement mis à jour). Un poste de travail n’a pas besoin de communiquer directement avec les autres postes (un mail ça passe par le serveur mail central). Et avant qu’on me dise “et comment tu fais” : tu fous un VLAN par poste (ou petit groupe), tu les fait tous passer par le routeur + firewall central nazi, qui bloque toute communication inter-poste. Évidemment c’est bien plus complexe qu’un réseau standard d’entreprise, mais c’est efficace.

1 « J'aime »

made my day :slight_smile:

Je confirme la position de Hackndo. Il existe encore beaucoup de poste XP dans l’industrie. Ils servent au pilotage de machine spéciales et son souvent captifs de ces outillages. Ils devraient être hors réseau, mais malheureusement, il existe souvent des remontés de données vers quelque système de gestion qui l’empêche.

Un exemple : j’avais un vieux machin sous XP (sans SP) qui pilotait une machine. Impossible de changer de système car les capteurs de la machines étaient incompatibles avec la version supérieure du programme, version qui tourne exclusivement sous cet OS.

  1. premier choix : acheter un nouvel outillage conforme : 300.000 boules
    
  2. deuxième choix : faire une modification de l’outillage : 350.000 boules (+ chère :flushed: ! )
    
  3. troisième choix : acheter aux puces quelques vieux bouzins avec des disques IDE : 100 boules
    

Le choix est vite fait, du moins tant que l’outillage à piloter ne présente pas de problème.

Concernant les postes XP qui restent en réseau, la principale défense consiste à réduire la surface d’attaque en arrêtant tous les services inutiles et à ne jamais placer dessus un client de messagerie.

Pour autant on peut utiliser un poste XP « caïman » à vie s’il est installé hors réseau (air gap), sans Bluetooth ni wifi et gavé de colle « araldite » dans les ports USB. Une petite image de sauvegarde par trimestre et hop !

Concernant la sécurité en entreprise, je suis persuadé, après avoir constaté que la classe dirigeante est la plus irrespectueuse des règles de sa propre entité, que le problème vient des grandes écoles et des universités qui, soit négligent, soit omettent ce point dans leur cursus.

Allez l’ANSSI … distribuez moi quelques coup de pompes au Q !

2 « J'aime »