Ce mois de mai s'est avéré redoutable pour la sécurité informatique, avec la cyberattaque « WannaCry », (ou « WannaCrypt »), qui a frappé le monde entier, affectant de nombreux systèmes Microsoft Windows. Utilisant un ancien exploit développé par l'Agence de sécurité nationale américaine (NSA) et publié sur Internet par le groupe de hackers Shadow Brokers, WannaCry a essayé d'infecter des ordinateurs fonctionnant avec un système d'exploitation antérieur à Windows 10 (c.-à-d. Windows XP, Windows 7, Windows 8 et Windows Server 2008) sur lesquels aucun correctif de sécurité (ou « patch ») n'avait été déployé. Microsoft avait fourni depuis longtemps déjà des correctifs pour palier à cette vulnérabilité sous-jacente, ce qui montre bien l'importance de les déployer.
Et si vous ne l'avez pas fait ? WannaCry installe un « ransomware », ou « rançongiciel » en français (« Rançongiciel - Quand il est déjà trop tard... »), c'est-à-dire un logiciel qui chiffre divers fichiers : documents MS Office, photos, films, fichiers système, etc. Le logiciel essaie également d'identifier et de chiffrer les données sauvegardées dans les périphériques de stockage externes. La seule façon de récupérer vos fichiers est de payer la rançon de 300 USD (voir la photo), ce qui ne garantit pas toutefois que vous recevrez la clé de décryptage de vos fichiers...
Comment se prémunir contre WannaCry ? Comme tout logiciel malveillant, il se transmet avant tout par courrier électronique (voir notre article du Bulletin intitulé « Un clic, et patatras (encore) »). Le réflexe : « Stop! réfléchir avant de cliquer! » est donc plus que jamais d'actualité. Heureusement, cette fois-ci, le système de messagerie du CERN et son système de filtrage anti-spam ont réussi à identifier et à mettre en quarantaine les courriels entrants potentiellement malveillants. Surtout, un correctif avait déjà été déployé sur tous les ordinateurs Windows gérés de manière centralisée pour les protéger de ce genre d'attaque. Microsoft avait diffusé les mises à jour correspondantes en mars 2017 (MS17-010).
L'avenir appartient à ceux qui se lèvent tôt ! Ces ordinateurs-là n'ont pas été infectés. Sur tous les autres ordinateurs, des mises à jour de sécurité sont à effectuer régulièrement : un petit effort aujourd'hui pourrait vous éviter une tonne d'ennuis plus tard. C'est la raison pour laquelle nous insistons pour une mise à jour automatique de vos ordinateurs Windows, Linux ou Mac, mais aussi de vos téléphones portables et tablettes Android et iOS (voir nos articles du Bulletin intitulés « Agilité pour les ordinateurs » et « Android est le nouveau Windows »). Maintenir votre ordinateur à jour avec « Windows Update » (Windows), « Software Update » (Mac) ou « YUM auto-update » (Linux) est un premier pas essentiel pour le sécuriser. Sans oublier la nécessité d'un bon antivirus : Windows Defender, l'antivirus par défaut de Windows, a tout de suite détecté WannaCry, tout comme l'auraient probablement fait la plupart des autres antivirus. La solution antivirus du CERN peut être téléchargée et utilisée gratuitement, même sur vos ordinateurs personnels !
En réalité, les rares ordinateurs qui ont été infectés cette fois-ci étaient des ordinateurs mal protégés appartenant à des personnes en visite au CERN. Espérons pour elles que leurs fichiers avaient fait l'objet de sauvegardes récentes... Par chance il s'est avéré que les créateurs de WannaCry avaient inclus dans leur code un « interrupteur ». Cet interrupteur vérifie l'existence d'un nom de domaine particulier sur Internet ; s'il le trouve, il empêche l'exécution de WannaCry. L'interrupteur a été décelé par un spécialiste de la sécurité informatique, qui s'est empressé de faire en sorte que le nom de domaine existe.
Pour plus d’information sur ce sujet, venez assister au séminaire « Ransomware: Trick or Treat » le jeudi 1er juin 2017 à 14h00 dans l’amphithéâtre IT (31/3-004) : https://indico.cern.ch/event/639653/
Pour en savoir plus sur les incidents et les problèmes relatifs à la sécurité informatique au CERN, lisez nos rapport mensuel (en anglais). Si vous désirez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.