WannaCrypt : une infection « jugulée », le point sur la situation

WannaCrypt : une infection « jugulée », le point sur la situation

Révélateur de risques

Avatar de l'auteur

Vincent Hermann

Publié dansInternet

15/05/2017
93
WannaCrypt : une infection « jugulée », le point sur la situation

Dès vendredi soir, une large attaque par phishing a provoqué une vague d’infections par un ransomware, WannaCrypt. Exploitant une faille Windows déjà corrigée, sa propagation a forcé Microsoft à publier un correctif pour d'anciennes versions de son OS.  Depuis, plusieurs rebondissements ont eu lieu et le danger persiste.

Des dizaines de milliers de machines infectées. C’est la conséquence d’une attaque qui a commencé vendredi par une campagne de phishing, comme souvent dans ce genre de cas. Un lien, un fichier téléchargé et exécuté, et les données des ordinateurs se retrouvaient chiffrées, avec une demande de rançon à la clé. Il infecte ensuite d'autres appareils via SMB, un protocole de partage de fichiers en réseau.

Le ransomware WannaCrypt (ou Wcry, WanaCry, WanaCrypt, Wanna Decryptor, Wana Decrypt0r, WanaCrypt0r) a très rapidement fait parler de lui, notamment en Espagne et au Royaume-Uni où de nombreux hôpitaux ont été touchés. La situation s’est répercutée en quelques heures dans bon nombre de pays, où différents types de structures ont été touchés : opérateur, environnement scolaire, etc. En France, Renault a notamment dû mettre à l’arrêt plusieurs usines. L'ANSSI a rapidement émis une alerte en diffusant ses conseils, mis à jour ce dimanche.

Pour éviter l’infection, un correctif sorti en mars doit avoir été installé. Que les machines soient mises à jour ou non, il est également recommandé de fermer les ports 139 et 445 utilisés par SMBv1, où réside la vulnérabilité. Mais comment en est-on arrivés là ? Revue de détail et discussion avec le chercheur Matthieu Suiche.

Une faille connue, un temps exploitée par la NSA

WannaCrypt est donc un ransomware qui fonctionne comme n’importe quel malware de ce type : s’il a le malheur de s’exécuter, il chiffre toutes les données exploitables trouvées sur la machine puis demande une somme d’argent pour les débloquer, dans le cas présent environ 300 dollars en bitcoin. À peine 64 paiements ont été effectués à l’heure où nous écrivons ces lignes, un compte Twitter les suivant en temps réel.

Mais si les ransomwares sont connus depuis longtemps, pourquoi celui-ci déclencherait-il tout à coup une vague d’infections peu commune ? Parce qu’il exploite une faille de sécurité révélée mi-avril par les pirates de Shadow Brokers, qui en fournissaient les détails dans une archive dérobée à Equation Group, proche de la NSA.

La faille en question, nommée EternalBlue (MS17-010), était exploitable sur toutes les versions de Windows depuis XP, via les ports SMB 139 et 445 (comme DoublePulsar, que WannaCrypt reprend également), soit un nombre très important de machines. Cependant, à la divulgation des détails, on apprenait que Microsoft avait colmaté les brèches en mars, potentiellement sur la base de renseignements fournis par la NSA.

Les Shadow Brokers menaçant de diffuser de telles informations, il est possible que l’agence ait choisi d’atténuer le choc. Problème, seules les versions du système encore supportées ont été mises à jour. Ce n'était donc pas le cas de Windows 8.0 ou des versions antérieures à Vista.

wannacrypt

Le cas très spécial de Windows XP

La situation devenant complexe, Microsoft a fini par diffuser un patch pour Windows XP et Server 2003 ce samedi. Même Windows 8 a été mis à jour, alors que seule la mouture 8.1 reçoit normalement les correctifs. En clair, tous les produits hors du cycle ont reçu un patch, ce qui témoigne d’une certaine urgence.

Mais même si certains diront que Microsoft a « pris ses responsabilités », le mal est déjà fait dans de nombreux cas. Un correctif fait surtout office de vaccin préventif : si la faille est déjà exploitée et que le ransomware a chiffré les données, l’installation du patch ne changera rien au problème.

Cela étant, comme nous le verrons plus tard, la mise à jour des parcs informatiques en entreprise ou dans les grandes structures n’obéit pas forcément aux seuls impératifs de sécurité et d’urgence.

Le « kill switch » de WannaCrypt

En à peine 24 heures, le ransomware avait cumulé plus de 75 000 victimes dans une centaine de pays, principalement en Russie, comme indiqué par Kaspersky. Pourtant, un espoir est rapidement apparu.

Samedi après-midi, un chercheur britannique répondant au nom de MalwareTech fait une trouvaille : WannaCrypt émet des appels vers un nom de domaine qui n’a pas été enregistré. Il l’enregistre alors lui-même et découvre dans le ransomware un « kill switch », c’est-à-dire une fonctionnalité d’autodestruction s’il parvient à contacter le fameux domaine. Le logiciel se croit dans une sandbox (espace mémoire isolé), partant du principe que l'adresse n'existe pas dans la réalité, donc préfère s'effacer plutôt que d'être étudié par un chercheur.

Porté aux nues par la presse anglaise, il finit par se décrire lui-même comme un « héros accidentel », relativisant son impact. En effet, et alors que le NHS (National Health System) indique de son côté que 100 000 infections ont ainsi pu être empêchées grâce à cette découverte, MalwareTech prévenait déjà The Guardian que rien n’empêchait l’attaque d’être redémarrée avec d’autres paramètres. Et c’est effectivement ce qui s’est passé.

Par ailleurs – et c’est un point capital – le kill switch ne pouvait rien pour les machines déjà infectées.

Une menace pour l’instant « jugulée »

Actuellement, et d’après le directeur d’Europol Rob Wainwright, plus de 10 000 organisations diverses et 200 000 particuliers sont touchés par WannaCrypt, le tout réparti dans 150 pays. La menace est clairement internationale et prend racine dans toutes les machines qui ne sont pas à jour, que les systèmes soient anciens ou récents. L'organisation a d'ailleurs ouvert une enquête et « travaille de manière étroite » avec les autorités des pays concernés.

Deux variantes du ransomware sont en outre apparues hier. MalwareTech avait prévenu : la « version 2.0 » de WannaCrypt avait toutes les chances de n’avoir aucun kill switch. Concrètement, ce n’est pas encore tout à fait le cas. La première a pu être rapidement bloquée grâce à l’enregistrement d’un autre nom de domaine, car elle possédait elle aussi un kill switch.

Nous nous sommes entretenus avec le chercheur Matthieu Suiche, qui s’est justement occupé de cette autre version. Il nous a confirmé que plus de 10 000 infections avaient ainsi pu être empêchées, là encore principalement en Russie. Selon lui, la menace est pour l’instant jugulée car les seules deux variantes connues comme étant actives ont vu leur kill switch activé : « Normalement les gens devraient avoir le temps de mettre à jour leur système, mais certaines machines peuvent être depuis déconnectés d’Internet. Ça prendra du temps ».

Pourquoi un kill switch ? « On ne sait pas » nous répond le chercheur. « On suppose qu’ils [les pirates auteurs de la menace] ont voulu garder la main pour du « damage control ». Mais une nouvelle version sans kill switch reste tout à fait possible ». La deuxième variante, qui en était dépourvue, s’est révélée être une fausse menace.

Une partie de son code était en effet corrompue. Même si l’échantillon avait été envoyé par Kaspersky, aucune exploitation active n’a été détectée dans la nature. En dépit d’un nombre grandissant d’articles sur le sujet, Matthieu Suiche nous confirme qu’il s’agit d’une fausse alerte.

Signalons, puisque l’on parle de « menace armée », que nous ne savons pas actuellement qui se tient derrière cette vague d'escroquerie à grande échelle. Comme l’a indiqué Guillaume Poupard, directeur de l’ANSSI, tout porte à croire dans tous les cas que l’on est face « à une attaque criminelle ».

La situation revient peu à peu à la normale

Actuellement, avec la mise à jour progressive et à marche forcée des parcs informatiques, les problèmes se règlent petit à petit. C’est notamment le cas chez Renault, dont une partie des usines avait été fermée suite à l’infection par le ransomware. Comme confirmé à nos confrères du Monde, la société avait ainsi stoppé durant le week-end les sites de Batilly, Douai et Novo Mesto (Slovénie). Actuellement, seul le site de Douai est encore à l’arrêt. Selon un porte-parole, l’usine devrait être remise en route dès demain.

Pour le NHS anglais, durement touché pendant le week-end, la situation semble stabilisée mais continue de rester problématique. Comme la BBC l'a tout juste indiqué, nombre d'établissements de santé restent en partie paralysés, obligeant les patients à se rendre dans d'autres hôpitaux.

Une partie des structures impactées a retrouvé son système informatique, mais des délais plus ou moins importants sont toujours constatés. Il faudra encore plusieurs jours pour un rétablissement complet, mais les conséquences sur les plannings perdureront pendant des semaines, voire des mois.

La mise à jour parfois difficile des parcs informatiques

Ce que souligne finalement le cas WannaCrypt, c’est le manque de mises à jour dans certains parcs informatiques. Les administrateurs ont bien pour mission de faire attention aux principales menaces de ce type et d’agir en conséquence. Lorsque les Shadow Brokers ont publié l’archive, les chercheurs étaient unanimes : des attaques étaient à prévoir. Ces infections auraient donc pu être en grande partie évitées, surtout sur Windows XP, qui n’est plus supporté depuis 2013.

La situation n’est pourtant pas aussi simple. La mise à jour des systèmes, tant via les patchs réguliers que les migrations vers des versions plus récentes des systèmes, représente des contraintes économiques fortes. Dans de nombreux cas, le problème n’est pas tant la compétence des administrateurs que les moyens investis dans la sécurité.

On trouve par exemple encore Windows XP dans certains robots d’usine. Comme l’a indiqué Laurent Hausermann, cofondateur de Sentryo au Monde, le déploiement des mises à jour est alors assez long, car chacune doit être testée pour vérifier que tout fonctionnera bien. Un délai que l’on retrouve parfois chez les constructeurs Android, qui doivent valider chaque mois les correctifs fournis par Google.

Parfois, le souci réside directement dans le manque de moyens. La BBC rappelle ainsi comment le budget du département informatique du NHS a continuellement baissé au cours des dernières années, un contrat de sécurité n’ayant notamment pas été reconduit en 2015. Actuellement, la situation reste tendue puisque de nombreux services dans les hôpitaux n’ont toujours pas rouvert, mais elle est sous contrôle. 

Microsoft : un « appel à se réveiller » pour les gouvernements

La société de Redmond a été particulièrement active durant le week-end, fournissant les correctifs pour les systèmes qui n’étaient plus sous support technique et publiant des guides et conseils. Pourtant, l’éditeur semble particulièrement en colère, comme l’a indiqué Brad Smith, son responsable juridique.

Bien qu’il fasse le point sur la rapidité de réaction des ingénieurs impliqués, il n’y a selon lui aucune raison d’être à la fête. Smith indique que la sécurité est devenue un tel enjeu qu’elle est désormais « une responsabilité partagée entre les entreprises et le client », une situation illustrée par le nombre de machines non mises à jour deux mois après la publication des correctifs.

Ce que nous relativiserons. Il nous semble délicat en effet d’intéresser l’ensemble des utilisateurs à la sécurité de produits dont, pour beaucoup, ils n’ont aucune idée du fonctionnement. Un point d’ailleurs de plus en plus compensé par des systèmes entièrement automatisés fonctionnant à marche forcée. Windows 10 illustre parfaitement cette évolution : les mises à jour sont obligatoires et installées automatiquement.

Mais Smith s’en prend au « stockage des vulnérabilités par les gouvernements ». En ligne de mire évidemment, la NSA. Le cas illustre effectivement un danger de très nombreuses fois répétées, surtout depuis les premières révélations d'Edward Snowden : les failles stockées pour servir de « cyberarmes » ne sont pas corrigées par les éditeurs concernés. Si elles sont découvertes par des pirates, elles peuvent être alors utilisées pour voler des informations ou obtenir des rançons. 

On retrouve donc une situation typique que l’on pouvait craindre : un outil produit par un État, entre les mains du crime organisé. Smith rappelle de fait l’appel lancé en février dernier pour une « Convention de Genève numérique », afin que les gouvernements, qui « doivent se réveiller », considèrent les cyberarmes comme des armes classiques. Les dégâts sur la population sont tout aussi réels selon l’éditeur.

Hygiène informatique : le rappel des bases

Il est probable que l’aventure WannaCrypt ne s’arrête pas ici. Les chercheurs estiment actuellement que tout est possible. Face à cette éventualité, il est nécessaire encore une fois de rappeler les règles d’hygiène élémentaires. La première, et de loin la plus importante, est d’avoir un système toujours à jour. La règle dépasse le cadre du simple ordinateur et est valable pour l’ensemble des appareils disposant d’un système d’exploitation.

Dans tous les cas, l’utilisateur est tributaire de la manière dont la sécurité est gérée par le constructeur. Sur un ordinateur, le fonctionnement est simple : tant que le produit est supporté, les correctifs affluent. Dans les environnements mobiles et les objets connectés, la situation est plus complexe. Idéalement, le client devrait toujours faire attention à ce qu’il achète, en s’intéressant notamment à la manière dont le fabricant gère la sécurité.

Parmi les autres points importants, on citera la désinstallation systématique de tout ce qui ne sert pas pour réduire la surface d’attaque potentielle, la mise à jour des applications utilisées, le choix de mots de passe forts et uniques pour chaque service en ligne, l’authentification à deux facteurs partout où elle est disponible, ou encore l’utilisation d’une solution antivirale.

N’oublions pas non plus le grand classique : n’ouvrir une pièce jointe que lorsque vous êtes certain de l’expéditeur et que l’email vous paraît tout à fait authentique. Et pour éviter de perdre toute donnée en cas de problème : la mise en place de sauvegardes qui doivent être vérifiées de manière régulière... avec une historisation afin de pouvoir retourner à une période particulière, comme le jour avant l'infection de vos données par un éventuel malware.

93
Avatar de l'auteur

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Logo Twitch

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

Avec neutralité, sans neutralité

16:58 ÉcoWeb 8
Formation aux cryptomonnaies par Binance à Pôle Emploi

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

Crypto influenceurs

16:41 Éco 3
Consommation électrique du CERN

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Ça en fait des démarrage de DeLorean

14:45 Science 1

Sommaire de l'article

Introduction

Une faille connue, un temps exploitée par la NSA

Le cas très spécial de Windows XP

Le « kill switch » de WannaCrypt

Une menace pour l’instant « jugulée »

La situation revient peu à peu à la normale

La mise à jour parfois difficile des parcs informatiques

Microsoft : un « appel à se réveiller » pour les gouvernements

Hygiène informatique : le rappel des bases

Logo Twitch

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

ÉcoWeb 8
Formation aux cryptomonnaies par Binance à Pôle Emploi

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

Éco 3
Consommation électrique du CERN

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Science 1
station électrique pour voitures

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

Société 46

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Soft 13
Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

DroitSociété 4
Api

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

SécuSociété 2
Fouet de l’Arcep avec de la fibre

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

DroitWeb 20
Bombes

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

IA 15

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Poing Dev

Le poing Dev – Round 7

Next 73
Logo de Gaia-X sour la forme d’un arbre, avec la légende : infrastructure de données en forme de réseau

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

WebSécu 6

Trois consoles portables en quelques semaines

Hard 37
Une tasse estampillée "Keep calm and carry on teaching"

Cyberrésilience : les compromis (provisoires) du trilogue européen

DroitSécu 3

#LeBrief : fuite de tests ADN 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair

#Flock a sa propre vision de l’inclusion

Flock 25
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

44
Autoportrait Sébastien

[Autoportrait] Sébastien Gavois : tribulations d’un pigiste devenu rédac’ chef

Next 21
Logo de StreetPress

Pourquoi le site du média StreetPress a été momentanément inaccessible

Droit 21
Amazon re:Invent

re:Invent 2023 : Amazon lance son assistant Q et plusieurs services IA, dont la génération d’images

IA 14
Un œil symbolisant l'Union européenne, et les dissensions et problèmes afférents

Le Conseil de l’UE tire un bilan du RGPD, les États membres réclament des « outils pratiques »

Droit 6

19 associations européennes de consommateurs portent plainte contre Meta

DroitSocials 16

#LeBrief : Ariane 6 l’été prochain, Nextcloud rachète Roundcube, désinformation via la pub

Chiffre et formules mathématiques sur un tableau

CVSS 4.0 : dur, dur, d’être un expert !

Sécu 16
Une tête de fusée siglée Starlink.

Starlink accessible à Gaza sous contrôle de l’administration israélienne

Web 35
Fibre optique

G-PON, XGS-PON et 50G-PON : jusqu’à 50 Gb/s en fibre optique

HardWeb 53
Photo d'un immeuble troué de part en part

Règlement sur la cyber-résilience : les instances européennes en passe de conclure un accord

DroitSécu 10
lexique IA parodie

AGI, GPAI, modèles de fondation… de quoi on parle ?

IA 11

#LeBrief : logiciels libres scientifiques, fermeture de compte Google, « fabriquer » des femmes pour l’inclusion

MIA : l’IA d’enseignement de Gabriel Attal pour faire oublier le classement PISA

IASociété 63

Une main sur laquelle est collée une étiquette où est écrit "human".

AI Act : des inquiétudes de l’impact de la position française sur les droits humains

DroitIA 1

Un tiroir montrant de nombreuses fiches voire fichiers

Une centaine d’ONG dénonce l’expansion du fichier paneuropéen biométrique EURODAC

DroitSécu 1

WhatsApp

Meta coupe le lien entre Instagram et Messenger

Soft 3

Nuage (pour le cloud) avec de la foudre

Cloud : Amazon rejoint Google dans l’enquête de la CMA sur les pratiques de Microsoft

DroitWeb 0

Des billets volent dans les airs.

Mistral AI s’apprête à lever 450 millions d’euros auprès de NVIDIA et a16z

ÉcoIA 0

Commentaires (93)


Edtech Abonné
Il y a 7 ans

Au taff (Total pour ne pas les citer), ils ont rapidement communiqué qu’il n’y avait pas d’infection mais que tout le monde devait redémarrer son PC par sécurité.

Et là, on a vu passer des tas de correctifs pour Windows… Une livraison d’urgence de la part du service info ?


nicoboo
Il y a 7 ans

Les patchs de sécurité, en entreprise, ne sont pas directement appliqués lors de leur publication par Microsoft.
On utilise la plupart du temps des serveurs gérant ces dits patchs, sur WSUS (Windows Server Update Services) et on applique ces patchs progressivement : 1) machines de qualification; 2) machines critiques; 3) reste du parc.

Cela évite le genre de déboire qui peut arriver avec un patch pouvant poser souci.
Ici, si les IT ont demandé de redémarrer, c’est pour être certains que les politiques de sécurité soient correctement appliquées sur la machine, les patchs fraîchement libérés du WSUS, récupérés et installés.

C’est le cas dans la plupart des entreprises reposant sur un écosystème Microsoft, correctement géré.
La logique serait similaire même sur d’autres systèmes, selon justement, les systèmes concernés.


_Quentin_
Il y a 7 ans

C’est là que t’es content d’être sous linux <img data-src=" />
Cela dit, encore une fois, tous ceux qui suivent les mises à jour et téléchargent pas n’importe quoi évitent le pire <img data-src=" /> (que ce soit des pièces jointes ou des “toshop gratuit trouvé en torrent lol jpaye pas pour ça moi”)


Koumajutsu Abonné
Il y a 7 ans

Ayant travaillé pour la SSII prestataire pour Total sur la partie poste de travail, je peux indiquer qu’ils ont simplement renvoyé les mises à jour avec le forcing pour être sur que le parc complet soit correctement à jour.
Par ailleurs, le patch Tuesday était le 09/05/2017, il est donc normal de voir arriver les mises à jour une semaine après (encore une fois dans le cadre énoncé)


nicoboo
Il y a 7 ans

Aujourd’hui, peut-être, mais chaque système présente des failles qui sont régulièrement exploitées puis colmatées si les procédures sont correctement appliquées.

Fonctionner sur Linux n’évite pas tous les dangers, notamment dans un contexte d’entreprise, les règles de bons usages et les règles de bases, comme celles décrites ici, sont toujours applicables.&nbsp;


jb18v
Il y a 7 ans

…et des sauvegardes pas branchées constamment à la machine ou au réseau <img data-src=" />


CaptainDangeax
Il y a 7 ans

Autrement, on peut aussi éviter d’utiliser un système où les fichiers sont systématiquement exécutables, quitte à avoir un environnement plus sécure dans une virtualbox…


nicoboo
Il y a 7 ans

Ou versionnées ?
Si tu maintiens plusieurs versions, au pire, tu reviens sur la précédente non-chiffrés par le composant infectieux.


t0FF
Il y a 7 ans

Exactement pareil chez Atos, aucune victime mais redémarrer les PC. Enfin pour ceux qui n’ont pas un PC géré par le client.&nbsp;


Pierre_ Abonné
Il y a 7 ans


Il est probable que l’aventure WannaCrypt ne s’arrête pas ici. Les chercheurs estiment actuellement que tout est possible.

Faut au minimum être chercheur pour avoir un raisonnement aussi réfléchi ! <img data-src=" />

Merci pour l’article bien détaillé <img data-src=" />


127.0.0.1
Il y a 7 ans

+1. Je milite pour l’abandon du modèle de sécurité “compte utilisateur” pour passer à un modèle de sécurité “application / fichier”


nicoboo
Il y a 7 ans

Une isolation par processus existe sur plusieurs systèmes. Windows propose cette isolation si l’on s’appuie sur les dernières technologies (notion d’AppContainer).
&nbsp;
Plus généralement, il faut parfois choisir entre sécurité et flexibilité, les ITs étant souvent une partie décriée dans les entreprises, et pourtant si vitale que les managers qui ne comprennent pas toujours ce qui est réalisé. Je vois mal les entreprises faire un choix structurant à ce point, le modèle “compte utilisateur” si appliqué avec parcimonie, une identification multi-facteur et surtout des droits adaptés, semble tout de même assez efficace (moins pire/juste milieu)…

Au passage, j’ai cru voir que tu bossais pour le secteur de la santé, j’espère que les patchs et autres soucis n’ont pas trop fait de dégât par chez toi. Bon courage le cas contraire.


CryoGen Abonné
Il y a 7 ans






127.0.0.1 a écrit :

+1. Je milite pour l’abandon du modèle de sécurité “compte utilisateur” pour passer à un modèle de sécurité “application / fichier”



Les deux vont de paire.
D’ailleurs que ce soit sous Linux ou Windows, tu peux définir les droits d’exécutions.

Mais comme soulevé pour le coup du Keylogger dans le package d’un pilote audio, avoir des droits granulaires comme iOS/Android serait aussi un gros plus effectivement.



127.0.0.1
Il y a 7 ans

Le service “lanmanserver” (SMB) est désactivé sur tous nos produits équipés de windows, donc pas trop de soucis pour ce malware en particulier. Coup de chance. <img data-src=" />


tazvld Abonné
Il y a 7 ans

Tiens, je viens de voir que la faille passe par SMB, mais du coup, coté linux, Samba n’est pas impacté ?


jb18v
Il y a 7 ans

oui mais bon, si le truc a accès au volume de sauvegarde c’est pas bon :P


YohAsAkUrA
Il y a 7 ans

j’ai assez envie de dire : BIEN FAIT!

ça apprendre aux compagnies qui ont des machines qui peuvent communiquer a l’extérieur a ne pas les garder a jour… le patch correctif pour les OS &nbsp;supportés a quand même été diffusé en MARS!!!

&nbsp;


YohAsAkUrA
Il y a 7 ans






tazvld a écrit :

Tiens, je viens de voir que la faille passe par SMB, mais du coup, coté linux, Samba n’est pas impacté ?


c’est un malware windows… donc non.



Quiproquo Abonné
Il y a 7 ans

Normalement non, c’est lié à l’implémentation dans Windows.


127.0.0.1
Il y a 7 ans






CryoGen a écrit :

Les deux vont de paire.
D’ailleurs que ce soit sous Linux ou Windows, tu peux définir les droits d’exécutions.



Je ne veux pas simplement des droits d’exécution, mais pouvoir définir des “emplacements” et configurer des droits d’accès aux emplacements pour les applications. Un genre de firewall applicatif.

Location “Office” (d:\project, d:\templates, d:\sheets)
* Microsoft Office : allow
* PDF Viewer : allow
* Other application: deny



bismarckiz Abonné
Il y a 7 ans

Et après ça on va encore entendre qu’un windows 10 s ça ne sert à rien 😊 , ça éviterai l’installe inopiné du malware au delà du correctif 😉


fred42 Abonné
Il y a 7 ans

Et en français, ça donne quoi ?


anonyme_6d3c8325027b08b8beb8eb7f143f3660
Il y a 7 ans






bismarckiz a écrit :

Et après ça on va encore entendre qu’un windows 10 s ça ne sert à rien 😊 , ça éviterai l’installe inopiné du malware au delà du correctif 😉


non



CryoGen Abonné
Il y a 7 ans

Ok je vois, un genre de sandboxing. Ca serait pas mal en effet. D’ailleurs sous Android, quand tu ne donnes pas la permission, une application est limitée à son dossier par défaut.

Regarde du coté de Sandboxie sous Windows si tu cherches ce genre de sécurité : Site officiel


Bakuredo
Il y a 7 ans

C’est étonnant que ça ne soit pas arrivé plus tôt ce genre de situation, car ils doivent surement avoir d’autres failles…

Quand à Microsoft qui appelle à se “réveiller”… ils sont également fautifs de laisser un Windows XP à l’abandon alors qu’il est encore assez utilisé, m’enfin le marketing….


anonyme_6d3c8325027b08b8beb8eb7f143f3660
Il y a 7 ans






Bakuredo a écrit :

Quand à Microsoft qui appelle à se “réveiller”… ils sont également fautifs de laisser un Windows XP à l’abandon alors qu’il est encore assez utilisé, m’enfin le marketing….



non, ms avait prévenue depuis un bail de la date d’abandon de windows xp, après si les boites n’ont rien fait derrière, ce n’est pas de leur faute



Haken Trigger Abonné
Il y a 7 ans

En quoi Microsoft est fautif ? Ils ont fait tout ce qu’ils pouvaient pour pousser à virer Windows XP des machines, mais ce sont les clients qui ont provoqué une prolongation du support. Pour Vista heureusement, moins de machines sont concernées.

Mais c’est avec ce genre de soucis que j’ai un peu peur. Car on se rend vite compte que les mises à jour, c’est pas la priorité dans les parcs informatiques. Or, quand c’est marqué “correctif de sécurité”, il y a une bonne raison, que l’on peut voir ici. Et tant que les financiers ne comprendront pas cela, ils continueront à perdre des millions voire pire, à mettre en danger des gens.


anonyme_6d3c8325027b08b8beb8eb7f143f3660
Il y a 7 ans






Haken Trigger a écrit :

Et tant que les financiers ne comprendront pas cela, ils continueront à perdre des millions voire pire, à mettre en danger des gens.



Alors pour avoir un beau frère dans les service financier d’une grosse boite, il m’a expliqué qu’en fait il préféraient jouer sur le côté “on paie pas grand chose pour l’IT, si ça tient tant mieux, si il y a un soucis il faut juste espérer que les économies réalisées seront plus important que le coups de la panne”.



Charly32 Abonné
Il y a 7 ans






YohAsAkUrA a écrit :

j’ai assez envie de dire : BIEN FAIT!

ça apprendre aux compagnies qui ont des machines qui peuvent communiquer a l’extérieur a ne pas les garder a jour… le patch correctif pour les OS &nbsp;supportés a quand même été diffusé en MARS!!!&nbsp;


En théorie, je suis d’accord, mais en pratique, c’est plus compliqué. Je pense que les éditeurs d’OS ont eux aussi une part de responsabilité en imposant des cadences de renouvellement intenables pour certaines industries : un système qui coute des millions d’euros, on est en droit d’attendre qu’il fonctionne plusieurs dizaines d’années. Quand le support de l’OS s’arrête au bout de 10 ans ben…c’est la merde.
De même, un “simple” patch de sécurité, ça peut vouloir dire des dizaines d’heures de test de stabilité/compatibilité derrière. Mars, ça ne fait jamais que deux mois (sans compter qu’en France, notre mois de Mai peut être quasiment chômé selon l’agencement des jours fériés)

Enfin, on peut en arriver à des cas ubuesque, comme ceci (source Reddit) :


Mon produit est dédié à des personnes sans aucune compétence
informatique, vu qu’il touche des composant système Windows, les MàJ de
l’OS sont désactivées…

&nbsp;



PtiDidi Abonné
Il y a 7 ans

Rien d’étonnant, cest comme ca que ca marche pour tout de toutes manières.

Cest dommage pour ceux qui bosse dans le service info parce que c’est eux qui font sans budget les jours normaux et qui seront dans le rush le jour ou il y aura une merde mais bon, c’est comme ca :)


anonyme_6d3c8325027b08b8beb8eb7f143f3660
Il y a 7 ans






Charly32 a écrit :

En théorie, je suis d’accord, mais en pratique, c’est plus compliqué. Je pense que les éditeurs d’OS ont eux aussi une part de responsabilité en imposant des cadences de renouvellement intenables pour certaines industries : un système qui coute des millions d’euros, on est en droit d’attendre qu’il fonctionne plusieurs dizaines d’années. Quand le support de l’OS s’arrête au bout de 10 ans ben…c’est la merde.
De même, un “simple” patch de sécurité, ça peut vouloir dire des dizaines d’heures de test de stabilité/compatibilité derrière. Mars, ça ne fait jamais que deux mois (sans compter qu’en France, notre mois de Mai peut être quasiment chômé selon l’agencement des jours fériés)

Enfin, on peut en arriver à des cas ubuesque, comme ceci (source Reddit) :



Pour ton exemple, c’est le cas des fiery de traceurs ou de copieur ou les mecs te disent de ne pas mettre à jour (ou même mettre un antivirus), pour ne pas bloquer le système. Alors quand tu paies un copieur 100 000 boules comme c’est le cas chez canon, ça fait mal au cul de voir qu’on te file une passoire en guise de fiery.



anonyme_6d3c8325027b08b8beb8eb7f143f3660
Il y a 7 ans






PtiDidi a écrit :

Rien d’étonnant, cest comme ca que ca marche pour tout de toutes manières.

Cest dommage pour ceux qui bosse dans le service info parce que c’est eux qui font sans budget les jours normaux et qui seront dans le rush le jour ou il y aura une merde mais bon, c’est comme ca :)



Sauf que quand il y a une merde c’est la faute de l’IT payé à rien foutre et quand tout fonctionne c’est “pourquoi on paie des techs alors que tout fonctionne bien” alors que derrière tu bosses pour que tout fonctionne bien et que ça soit transparent.



Quiproquo Abonné
Il y a 7 ans

Un peu comme les namespaces du noyau Linux.


PtiDidi Abonné
Il y a 7 ans

S’attendre à ce que quelque chose qui coute des millions durent plusieurs dizaines d’années..
Ben faut le payer le support :) (ou alors le faire soit même)
Si tu veux que ca dure des dizaines d’années, faut payer des milliards.

Faut pas oublier que le matériel n’est pas éternel non plus.
Windows est fait pour du matériel grand public, donc une durée de vie de.. aller, on va être gentil, 10 ans.
Encore, 10 ans cest depuis quelques années, avant les évolutions technologiques allaient tellement vite que 3 ans c’était dépassé.

Microsoft a un business model basé sur la vraie vie (renouvellement du matériel, prix qu’est prêt à payer le consommateur tout ca). C’est dailleurs pour ca qu’ils proposent de faire payer un support étendu.


PtiDidi Abonné
Il y a 7 ans

ha ben oui bien sur, dans tous les cas c’est l’IT qu’est reponsable évidement :)


WereWindle
Il y a 7 ans






PtiDidi a écrit :

ha ben oui bien sur, dans tous les cas c’est l’IT qu’est reponsable évidement :)


bah écoute, ce matin, j’étais ‘fautif’ parce qu’il y a eu une coupure de courant supérieur à la durée de service du onduleur… (parce que oui, on sait bien que les serveurs tournent à coup de hamster dans des roues <img data-src=" />)



Freeben666 Abonné
Il y a 7 ans

Hum, non, c’est de la faute aux idiots qui conçoivent des systèmes industriels autour d’OS dont le support annoncé ne fait même pas la moitié de la durée de vie attendue du système. C’est pas comme si les dates de fin de support étaient annoncées dès le début…

Et s’ils veulent quand même faire tourner leurs robots industriels sous WinXP parce que ce sont des branques qui ne savent coder qu’en VB6, au minimum, qu’ils ne les connectent pas au réseau…


brazomyna
Il y a 7 ans






Quiproquo a écrit :

Un peu comme les namespaces du noyau Linux.


C’est également la base du principe de la déférlante des ‘containers’, à la docker.



Commentaire_supprime
Il y a 7 ans


WannaCrypt est donc un ransomware qui fonctionne comme n’importe quel malware de ce type : s’il a le malheur de s’exécuter, il chiffre toutes les données exploitables trouvées sur la machine puis demande une somme d’argent pour les débloquer, dans le cas présent environ 300 dollars en bitcoin.


Tiens, une utilisation pratique de la monnaie du futur…

<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />


Paraplegix Abonné
Il y a 7 ans

Dans l’agence où je suis on a aussi eu droit aux mises à jours forcée, par contre le responsable sécurité est passé 2 ou 3 fois sur le plateau a chercher des PC potentiellement infecté ou très vulnérable <img data-src=" />


alegui Abonné
Il y a 7 ans

+1, le problème vient du fait que les matériels industriels tournent sur des applications qui nécessitent :
-Une version bien particulière d’un OS
-Et cet OS possède une durée de vie bien inférieure au matériel.

A défaut d’un sursaut des fabricants de ces machines, le mieux serait que les OS embarqués industriels doivent&nbsp; être supportés durant très très longtemps (au moins 20 ans) pour ne pas poser des problèmes. Et donc être vraiment minimalistes et utiliser des technologies validées (pour ne pas être inmaintenables). Et êtres très restrictifs pour empêcher du code mal fait de tourner.
(on me dit dans l’oreille qu’on a déjà des systèmes qui s’en rapproche, faudrait surtout les utiliser !)


gougou59
Il y a 7 ans

Y a un truc que j’ai dû louper quelque part…
La faille EternalBlue a donc permis la diffusion rapide d’un PC infecté vers un PC non-patché. D’où la flambée de vendredi/samedi, ça ok.
Mais, est-ce que ce malware peut chiffrer un PC à jour en stand-alone ? Genre via une pj dans un mail, un exécutable classique ou autre ? Et question bonus, sans être détecté par un anti-virus à jour ?


Jarodd Abonné
Il y a 7 ans


La BBC rappelle ainsi comment le budget du département informatique du NHS a continuellement baissé au cours des dernières années


« Vous voulez créer de la dette » comme dirait Fillon ?

Mais enfin, c’est génial l’austérité, il faut faire des économies et réduire le budget de l’Etat, OSEF de l’informatique&nbsp; <img data-src=" />


Obidoub
Il y a 7 ans

Faut pas oublier aussi que c’est Microsoft qui a forcé Windows XP dans chaque ordinateur de la planète, si cet OS est autant utilisé c’est à cause de leur monopole. Du coup c’est un peu facile de toujours dire que c’est aux gens/industriels de jeter des machines qui fonctionnent bien juste parce que Microsoft ne supporte plus XP.


PtiDidi Abonné
Il y a 7 ans

Ça voudrait dire qu’il faut que le dev sache faire du dev sur un OS embarqué.. c’est plus cher, on préfère un bon Windows bien connu même s’il n’est plus patché :)


PtiDidi Abonné
Il y a 7 ans

Ben.. c’est aussi à l’industriel qui fournit la machine de se poser la question à la base de “est ce que Windows est le bon OS pour ma machine?”
Windows est très bien en OS grand public ou le matériel à une durée de vie de 5ans.(un peu plus maintenant mais avant c’était même moins de 5ans)


127.0.0.1
Il y a 7 ans

Si la question est “est-ce que je peux lancer volontairement un programme qui chiffre tous mes documents ?”, alors la réponse est oui. <img data-src=" />


Ghimo Abonné
Il y a 7 ans

Je ne suis pas d’accord
Microsoft n’aurait même pas du proposer un patch pour les OS qui ne sont plus supportés.

Je trouve que c’est justement une super occasion pour montrer que les gens (particuliers et entreprises) se sont mis dans la merde par eux même, à force de ne jamais rien vouloir changer.
Tous les DSI ne sont forcément coupables, mais la politique du “pourquoi changer un truc qui marche”, ça à ses limites.


gougou59
Il y a 7 ans

Je posais pas la question dans ce sens mais ça change pas la réponse&nbsp;<img data-src=" /> Et maintenant que tu le dis, ça peut effectivement être une bonne méthode de suicide numérique<img data-src=" />


127.0.0.1
Il y a 7 ans

On peut comprendre que les entreprises ne veulent pas revenir à l’époque où il fallait acheter des couteux mainframe de la taille d’une armoire et des stations de travail en fonte, quand bien même on leur promettait de rester 20 ans avec le même matériel (qui devient vite obsolète).

Y a 20 ans, le top c’était le Pentium II MMX sous Debian 1.3. Ca me ferait mal de bosser sur un truc pareil aujourd’hui. <img data-src=" />


PtiDidi Abonné
Il y a 7 ans

Même pas sur que tu puisses installer Debian 8 sur le PII MMX <img data-src=" />

Après faut faire la part des choses, une machine outil piloté par un PII MMX connecté par port série a un Windows10 sur lequel tu bosses, tout le monde est content et c’est secure


Aloyse57
Il y a 7 ans

Justement, on en a un qui a eu un prob la semaine dernière chez un client.
Va trouver un clavier DIN et une souris COM aujourd’hui <img data-src=" />


imrage Abonné
Il y a 7 ans

On utilise se principe sous Ulteo, un simple kiosque web (accès seulement a Ulteo) qui permet d’avoir accès a des applications en fonctions de ton groupe d’appartenance et/ou de ta position au sein du bâtiment. Pour le reste pas d’accès.


matroska
Il y a 7 ans

McAfee Entreprise est désormais protégé contre WannaCrypt.

<img data-src=" />


wanou Abonné
Il y a 7 ans






Aloyse57 a écrit :

…Va trouver un clavier DIN et une souris COM aujourd’hui <img data-src=" />


Pour le clavier, c’est juste une histoire de connectique: http://www.pcguide.com/ref/kb/const/otherConnector-c.html

Pour la souris, tu peux t’en sortir avec une carte PCI contrôleur USB et/ou PS2: www.ldlc.com/fiche/PB00080969.html

Sinon, le blog MS semble planté à l’heure où j’écrit ce message…



Salamandar Abonné
Il y a 7 ans

Compagnies ? Et les particuliers qui mettent à jour max une fois par mois ? (parce que ça prend 2 heures sous w$)


Salamandar Abonné
Il y a 7 ans

…Contre la version actuelle. De la même façon que seule la version de ce week-end est bloquée par l’histoire de requête vers un nom de domaine (non-)existant.


Salamandar Abonné
Il y a 7 ans

Docker est intégralement basé sur les namespaces en effet ;)


Patch Abonné
Il y a 7 ans






Aloyse57 a écrit :

Justement, on en a un qui a eu un prob la semaine dernière chez un client.
Va trouver un clavier DIN et une souris COM aujourd’hui <img data-src=" />

Les claviers DIN, no prob : on en a jeté 15 qui nous encombraient l’an dernier <img data-src=" />



Dj Abonné
Il y a 7 ans

Il y a des adaptateurs COM-&gt;USB&nbsp;

C’est ce qu’on utilisait au taf quand on avait encore nos P4
&nbsp;


matroska
Il y a 7 ans

La question existentielle est combien reste-t-il de zéro day encore en circulation ?

<img data-src=" />


matroska
Il y a 7 ans

En fait c’est Microsoft qui a sorti volontairement la faille pour promouvoir Windows 10 et inciter à migrer…

<img data-src=" />


TiTan91
Il y a 7 ans

&gt; Microsoft n’aurait même pas du proposer un patch pour les OS qui ne sont plus supportés.

En règle générale je serai d’accord.
Mais là la souci a beaucoup touché des hôpitaux etc., je comprend que MS fasse un effort quand la santé de nombreuses personnes est potentiellement en jeu.
Je pense qu’avec tout le bruit que ça a fait le message sera passé de toute façon. (et ça reste un patch qui arrive après l’exploitation alors que la faille était connue avant, contrairement aux OS supportés)


TiTan91
Il y a 7 ans

Dans ce cas j’espère que ça leur aura couté cher ^^


PtiDidi Abonné
Il y a 7 ans

T’avais qu’à pédaler pour remplacer les onduleurs aussi!


SebGF Abonné
Il y a 7 ans

Cet épisode rappellera à quel point l’OS est un point critique dans un système d’information d’entreprise. Dommage que beaucoup d’entreprises l’aient appris à leurs dépends (comme quasi systématiquement… les boîtes qui mettent la sécurité IT dans leurs priorités nativement doivent être rares). En espérant que ça motivera les décisionnaires d’investir un peu plus sur leur IT et d’arrêter de la considérer en pure perte face aux vraies pertes qu’aura engendré cette attaque.

La seule chose dans laquelle il ne faut pas tomber, c’est l’extrême inverse avec une sécurité en mode parano qui bloque tous les métiers, dont l’IT. Les deux cas extrêmes


MiroirrioriM
Il y a 7 ans

Que du bonheur! Ce n’est pas qu’aux gouvernements de se réveiller, mais à tout le monde et surtout aux fournisseurs qui nous fourguent tout et n’importe quoi à connecter en tous temps à internet! C’est une claque pour eux et il serait temps qu’ils le reconnaissent et arrêtent de nous imposer leurs choix!

Je condamne l’acte criminel des cyberpirates, mais je salue les réflexions qui en découlent et qui, je l’espère, nous feront avancer vers une informatique plus responsable DE LA PART DES FOURNISSEURS!!!

Tiens, voilà une idée aux cyberpirates pour la version 2.0 de WannaCry: WannaSm1l3?


mathieu_m Abonné
Il y a 7 ans

Le problème de base à mon sens est surtout situé autour du fait qu’il est une erreur de considérer un parc informatique de manière unitaire.
ça n’est pas parce que c’est un “PC” qui pilote une machine industrielle qu’il doit être considéré de la même manière que les postes de travail administratifs.
Dans le secteur industriel, effectivement on trouve encore du matériel neuf avec des OS embarqués très vieux, même du Windows NT par exemple. Il ne faut pas les considérer comme des postes de travail, mais comme une machine industrielle dans son ensemble. Cette machine doit donc être sur un réseau isolé dont les accès sont limités au strict nécessaire.
Il est pour moi aberrant que le poste/le compte utilisateur d’une personne à l’administratif, donc qui a accès à internet, puisse communiquer, même indirectement, avec des ordinateurs de ce type.
Certains industriels achètent ces machines plusieurs dizaines voir centaines de millions, et il est évident qu’ils ne peuvent pas les rentabiliser sur un cycle de 5 ans comme le matériel d’un parc informatique.
Ces machines ne sont en général même pas gérées par l’IT, mais sous contrat de maintenance intégral par le fabricant, et vues comme des “black-boxes”.


Charly32 Abonné
Il y a 7 ans






PtiDidi a écrit :

S’attendre à ce que quelque chose qui coute des millions durent plusieurs dizaines d’années..
Ben faut le payer le support :) (ou alors le faire soit même)
Si tu veux que ca dure des dizaines d’années, faut payer des milliards.

Faut pas oublier que le matériel n’est pas éternel non plus.
Windows est fait pour du matériel grand public, donc une durée de vie de.. aller, on va être gentil, 10 ans.
Encore, 10 ans cest depuis quelques années, avant les évolutions technologiques allaient tellement vite que 3 ans c’était dépassé.

Microsoft a un business model basé sur la vraie vie (renouvellement du matériel, prix qu’est prêt à payer le consommateur tout ca). C’est dailleurs pour ca qu’ils proposent de faire payer un support étendu.


Oui, bien sûr qu’il y a de la maintenance, mais entre maintenir un logiciel sur un OS dont le comportement est connu et migrer sur une nouvelle version, ce n’est pas du tout le même coût (et que l’on fasse le support en interne ou externe, ça coûte tout de même de l’argent)
Quant à Windows, ce n’est pas uniquement pour du grand public (version server par exemple).
Enfin, le matériel implique de la gestion d’obsolescence très complexe : j’ai déjà croisé le cas d’acheteurs qui allaient faire le tour du marché de l’occasion pour trouver des microprocesseurs. Certaines compagnie font du stock préventif.
&nbsp;
&nbsp;


Freeben666 a écrit :

Hum, non, c’est de la faute aux idiots qui conçoivent des systèmes industriels autour d’OS dont le support annoncé ne fait même pas la moitié de la durée de vie attendue du système. C’est pas comme si les dates de fin de support étaient annoncées dès le début…

Et s’ils veulent quand même faire tourner leurs robots industriels sous WinXP parce que ce sont des branques qui ne savent coder qu’en VB6, au minimum, qu’ils ne les connectent pas au réseau…


Franchement, je suis prêt à parier que la décision du choix de l’OS d’un système industriel complexe n’est pas pris à la légère.&nbsp;



Charly32 Abonné
Il y a 7 ans

Je suis assez d’accord avec toi.
D’un autre côté il y a des fois où t’as la réalité du terrain qui te rattrape, et où tu prend des largesses avec le protocole de sécurité (ça peut être un truc con du genre brancher une clé USB) pour éviter de perdre du temps.
Ce n’est pas parce que c’est une grosse compagnie que tu ne travaille pas en mode “bricolage” <img data-src=" />


Cacao
Il y a 7 ans

Est-ce que quelqu’un sait si WannaCrypt chiffre les disques à travers SMB où si il infecte réellement les machines cibles, c’est à dire en se copiant puis en s’exécutant dessus ?


kwak-kwak
Il y a 7 ans

Ça va peut-être inciter les gouvernements à créer leur OS national pour que les établissements nationaux n’aient plus à (dé)budgeter les mises à jour.

C’est quand même dingue de vouloir maintenir coûte que coûte un Windows XP parce qu’on n’a pas les budgets d’acheter les versions à jour. (Et je trouve dingue de continuer à mettre du Windows sur les machines de l’éducation nationale).


t0FF
Il y a 7 ans

Les premières pistes pointent vers la Corée du Nord avec le groupe Lazarus (source The Gardian). C’est assez étonnant puisque l’une des cibles principale est la Russie…&nbsp;
D’un autre coté, ça fait chier la NSA&nbsp;<img data-src=" />


127.0.0.1
Il y a 7 ans

WannaCrypt doit se copier et s’exécuter sur un PC.

Lorsqu’il s’exécute, il chiffre les fichiers accessibles = disques locaux + les lecteurs réseaux montés.


127.0.0.1
Il y a 7 ans






t0FF a écrit :

Les premières pistes pointent vers la Corée du Nord avec le groupe Lazarus (source The Gardian). C’est assez étonnant puisque l’une des cibles principale est la Russie…



Tout ce qui est dit c’est que le malware réutilise du code déjà utilisé pour un malware coréen.

<img data-src=" />

Comme dit la source: “While the shared code is important, experts warned that it’s far from proof about who created and launched the ransomware attacks.”

https://www.cyberscoop.com/wannacry-ransomware-north-korea-lazarus-group



eglyn Abonné
Il y a 7 ans

Entièrement d’accord, je comprends que certaines machines ne puissent pas être mises à jour pour diverses raisons, mais qu’elles ne soient pas isolées sur un LAN à part sans accès à Internet, je trouve cela hallucinant…


t0FF
Il y a 7 ans

Ce n’est pas tout à fait “tout” ce qui a été dis, il y a aussi des adresses IP Nord-Coréenne :
&nbsp;
“This level of sophistication is something that is not generally found in the cybercriminal world. It’s something that requires strict organization and control at all stages of operation. That’s why we think that Lazarus is not just another advanced persistent threat actor,” said Kaspersky, which also found attacks originating from IP addresses in North Korea.”.&nbsp;
Ce n’est pas non plus une preuve absolue, mais ça fait un deuxième indice qui pointe vers la Corée du Nord.&nbsp;


Freeben666 Abonné
Il y a 7 ans

C’est pas pris à la légère, ils choisissent l’OS qui leur permet des temps de dev plus courts, et donc un coût de développement moindre. Ce n’est que depuis Stuxnet qu’il y a une un début de prise de conscience de la nécessité de sécurité dans les systèmes industriels (je parle de sécurité contre les intrusions et autres actions malveillantes, sinon c’est plutôt bien sécurisé contre les différentes défaillances et erreurs de manipulations généralement).


CryoGen Abonné
Il y a 7 ans

L’accès à Internet c’est souvent pour la maintenance à distance / gestion. Celà dit il y a moyen de tout faire sans accès à Internet bête et méchant : LAN avec VLAN+ACL et Internet derrière firewall voir limité à accès VPN etc.

Le soucis c’est “ca marche pourquoi on touche encore !?” des décideurs… et quand ca pète : “pourquoi on a rien prévu ???”


bloossom
Il y a 7 ans

en espérant que ça mette un peu de plombs dans tête des politiques persuadés que la surveillance est la panacée.

C’est pas comme si l’ensemble des spécialistes crie à tue-tête depuis des années que les failles décelées par l’Etat permettent aussi potentiellement aux “méchants” de passer…

J’espère qu’en voyant les conséquences économiques de ce genre de situation les idées changeront un peu.

Ceci-dit ils ne sont pas les seuls à supporter la responsabilité.

&nbsp;


YohAsAkUrA
Il y a 7 ans






Salamandar a écrit :

Compagnies ? Et les particuliers qui mettent à jour max une fois par mois ? (parce que ça prend 2 heures sous w$)


c’est le principe de : “je suis pas a jour… j’assume la prise de risque”



PtiDidi Abonné
Il y a 7 ans






Charly32 a écrit :

Oui, bien sûr qu’il y a de la maintenance, mais entre maintenir un logiciel sur un OS dont le comportement est connu et migrer sur une nouvelle version, ce n’est pas du tout le même coût (et que l’on fasse le support en interne ou externe, ça coûte tout de même de l’argent)

Ben.. cest pas le même coût pour toi qui n’a qu’un seul type de machine (des serveurs x86 avec un xeon et de la DDR3). Tu demandes à Microsoft de maintenir un OS qui supporte des architectures différentes, des centaines de processeurs, des RAM etc.
Cest pas le même coût les premières années mais si tu voulais XP ou 98 sur ton processeur Ryzen 64bits avec 32Go de RAM, tu estimes à combien le support?



Charly32 a écrit :

Quant à Windows, ce n’est pas uniquement pour du grand public (version server par exemple).

Pour moi Windows Server cest du GP (ie : pas de l’industriel)
Et puis le support de Server 2003, c’est terminé en 2015. 12ans de support, je pense que le matériel a été amorti..



Charly32 a écrit :

Enfin, le matériel implique de la gestion d’obsolescence très complexe : j’ai déjà croisé le cas d’acheteurs qui allaient faire le tour du marché de l’occasion pour trouver des microprocesseurs. Certaines compagnie font du stock préventif.


Ben justement, comment ferait Microsoft pour assurer le support de Windows sur du matériel en fin de vie genre 98 sur un P3?
Il devrait donc avoir un stock de P3+CM+HDD PATA pour assurer le support sur 50ans?



PtiDidi Abonné
Il y a 7 ans

Le choix de l’OS n’est donc pas pris à la légère, il est fait avec les mauvais arguments, on est sauvé \o/


Charly32 Abonné
Il y a 7 ans






PtiDidi a écrit :

Ben.. cest pas le même coût pour toi qui n’a qu’un seul type de machine (des serveurs x86 avec un xeon et de la DDR3). Tu demandes à Microsoft de maintenir un OS qui supporte des architectures différentes, des centaines de processeurs, des RAM etc.
Cest pas le même coût les premières années mais si tu voulais XP ou 98 sur ton processeur Ryzen 64bits avec 32Go de RAM, tu estimes à combien le support?


Ah pardon, je pensais que tu parlais&nbsp; de la maintenance côté propriétaire du système informatique, pas coté développeur de l’OS. De ce côté là, je suis aussi conscient du fait que c’est problématique pour le développeur de l’OS qui n’a pas de ressources infinies.
&nbsp;


PtiDidi a écrit :

Pour moi Windows Server cest du GP (ie : pas de l’industriel)
Et puis le support de Server 2003, c’est terminé en 2015. 12ans de support, je pense que le matériel a été amorti..


Si on parle d’un PC ou d’un serveur, oui pourquoi pas. Quand on parle de système complexe comme la gestion d’un ligne de prod, un système d’acquisition ou des systèmes embarqués, ce sont des projets dont la durée de vie est bien supérieure à la durée de vie d’un OS.



PtiDidi a écrit :

Ben justement, comment ferait Microsoft pour assurer le support de Windows sur du matériel en fin de vie genre 98 sur un P3?
Il devrait donc avoir un stock de P3+CM+HDD PATA pour assurer le support sur 50ans?


Non,
mais on pourrait&nbsp; imaginer des solutions intermediaire une “location”
de l’équipe au client pour assurer l’étape de validation, par exemple.&nbsp;&nbsp;



PtiDidi Abonné
Il y a 7 ans

Ben quelque part c’est lié.. Le développeur de l’OS répercute le coût sur le prix que le propriétaire du SI.
Cest
pour ca que je disais que pour un OS qui dure des dizaines d’années, il
faudra payer des milliards au lieu des millions actuellement.

Ouais, les systèmes de gestion de ligne de prod ne sont pas amorties en 12 ans, mais comme le dit @mathieu_m ces machines ne devrait pas être sur le réseau comme toutes les autres.
Ces machines sont vitales à l’entreprise; coutent des millions; ne sont pas remplacables dans la journée.
Même si elles sont maintenues à jour (ce qui n’est déjà pas le cas), elles méritent un traitement particulier.

T’as trouvé un business model, bonne chance :)
L’idée est louable, mais la vérité, cest que la sécurité n’est pas une priorité.


Freeben666 Abonné
Il y a 7 ans

En attendant je suis curieux de savoir combien ça a couté à Renault d’interrompre ses lignes d’assemblage suite à l’attaque ?

Il y a également des exemple bien plus préjudiciables, tel qu’une aciérie victime d’un hack interrompant le flux d’acier en fusion, obligé de changer pas mal de pièces car l’acier s’est solidifié dans le circuit… (je ne suis pas expert en haut-fourneau, donc je ne saurais plus expliquer l’affaire. Voici un lien, mais il me semble qu’il s’agit d’encore un autre hack :https://www.sentryo.net/fr/cyberattaque-industrielle-contre-acierie-allemande/ )

Bref tout ça pour dire que la sécu dans les systèmes industriel c’est de la blague, et que ça peut-être extrêmement préjudiciable pour l’entreprise.


keralan Abonné
Il y a 7 ans

Merci Vincent, super article <img data-src=" />


WereWindle
Il y a 7 ans






Freeben666 a écrit :

En attendant je suis curieux de savoir combien ça a couté à Renault d’interrompre ses lignes d’assemblage suite à l’attaque ?


Entendu sur France Info samedi, selon un délégué syndical, ça représente 100 véhicules par jour qui ne sont pas produits (à voir pour l’équivalent financier, je ne sais combien Renault valorise un véhicule en sortie de chaîne de montage)



psn00ps Abonné
Il y a 7 ans

Il devrait toujours l’être. Mais les gens râlent dès qu’ils doivent réfléchir.


psn00ps Abonné
Il y a 7 ans

Microsoft est fautif avec ses mensonges sur les mises à jour.
Celle qui désactive Windows Update pour les “anciens” processeurs est intitulée “mise à jour de sécurité seulement.” Çà installe une méfiance contre productive.


psn00ps Abonné
Il y a 7 ans






PtiDidi a écrit :

Cest pas le même coût les premières années mais si tu voulais XP ou 98 sur ton processeur Ryzen 64bits avec 32Go de RAM, tu estimes à combien le support?

Ben justement, comment ferait Microsoft pour assurer le support de Windows sur du matériel en fin de vie genre 98 sur un P3?
Il devrait donc avoir un stock de P3+CM+HDD PATA pour assurer le support sur 50ans?


C’est absolument inutile.
Les machines virtuelles ont tout ce matériel virtuel en stock. Les ports COM sont reliés à de l’USB, seules des cartes ISA/PCI peuvent gêner.



PtiDidi Abonné
Il y a 7 ans

En théorie ouais, dans la pratique non.
Une machine virtuelle émule un environnement mais ne reproduit pas à 100% le comportement d’un hardware.

une légère différence de timing/fréquence entre les RAMs par exemple


kewilo
Il y a 7 ans

ça m’étonnerait fort que linux ne soit pas visé prochainement (comme il l’a déjà été, par exemple sur des versions aménagées pour les NAS synology qui ont été visés par des ransomwares l’année passée).
C’est moins lucratif pour le moment, mais c’est une piètre protection avec des failles non encore patchées.