WannaCry : C’est dans les vieux pots…

WannaCry est un rançongiciel autoréplicant qui a frappé plus de 230 000 systèmes dans plus de 150 pays à partir du 12 mai 2017, paralysant des services critiques tels que le NHS au Royaume-Uni et des chaînes de production industrielles. Exploitant la faille EternalBlue (CVE-2017-0144) dans le protocole SMBv1 de Windows, il se propageait de façon autonome sans interaction de l’utilisateur, provoquant des pertes estimées entre 3 et 4 milliards de dollars.

Quelle est la vulnérabilité exploitée ?

WannaCry exploite EternalBlue, un exploit rendu public par le groupe Shadow Brokers et conçu à l’origine par la NSA. Cette vulnérabilité dans SMBv1 de Windows (CVE-2017-0144) permettait l’exécution de code à distance sans aucune action de la victime. Microsoft avait publié le correctif MS17-010 le 14 mars 2017, mais de nombreuses organisations ne l’avaient pas encore appliqué.

Comment l’attaque s’est-elle déroulée ?

  1. Initialisation (12 mai 2017)
    Le worm a débuté par un scan du port 445 (SMB) à la recherche de systèmes non corrigés.
  2. Propagation automatique
    Utilisation d’EternalBlue pour injecter le backdoor DoublePulsar, puis scans massifs pour infecter les hôtes voisins.
  3. Chiffrement des données
    Les fichiers des utilisateurs étaient chiffrés et une rançon de 300 $ en Bitcoin était exigée, montant doublé après trois jours.
  4. Kill switch
    Le chercheur Marcus Hutchins a découvert un “kill switch” dans le code, freinant drastiquement la propagation.

Qui a été touché ?

  • Secteur public : NHS (hôpitaux et cliniques) au Royaume-Uni, divers ministères et services publics.
  • Industrie : FedEx, Renault, Nissan, Maersk (notamment le port de Rotterdam) et d’autres grands groupes.
  • PME et particuliers : toutes structures utilisant Windows XP, 7 ou 8 non mis à jour, souvent sans équipe IT dédiée.

Quels ont été les impacts ?

  • Opérationnel : interruption des soins dans de nombreux hôpitaux, arrêts de chaînes de production et perturbations logistiques.
  • Financier : rançons versées estimées à 130 000 $, sans compter les coûts de récupération, d’expertise externe et les pertes d’exploitation.
  • Économique global : pertes évaluées entre 3 et 4 milliards de dollars.

Coût estimé selon la taille d’entreprise

TailleCoût moyen estimé
Petite120 000 $ à 1,24 M $ (intervention ponctuelle et restauration)
MoyenneEnviron 350 000 $ (réponse à l’incident, rançon et récupération)
GrandePlusieurs millions de dollars, jusqu’à 10–15 M $ pour redémarrage complet et perte d’image de marque

Comment s’en protéger ?

  • Patch management : déployer immédiatement le correctif MS17-010 et toutes les mises à jour critiques via Windows Update.
  • Désactivation de SMBv1 : bloquer le protocole SMBv1 et filtrer le port 445 au niveau du pare-feu.
  • Segmentation et micro-segmentation : cloisonner les réseaux pour empêcher la propagation latérale.
  • Sauvegardes hors ligne : maintenir des backups réguliers et tester les procédures de restauration.
  • Surveillance avancée : IDS/IPS, EDR et SOC pour détecter et isoler rapidement toute activité suspecte.
  • Sensibilisation : former les utilisateurs aux risques liés aux systèmes obsolètes et aux bonnes pratiques de cybersécurité.

Pourquoi est-ce difficile à éviter ?

  • Systèmes legacy : de nombreuses applications critiques reposent sur des versions de Windows non supportées ou mal maintenues.
  • Contraintes opérationnelles : processus de tests long, crainte des régressions et manque de ressources IT pour patcher rapidement.
  • Économie du risque : coûts de cybersécurité perçus comme trop élevés par les PME, retardant la mise à jour des systèmes.

Dans le contexte de votre entreprise, que feriez-vous ?

  1. Audit et inventaire
    Identifier tous les systèmes Windows exposés et vérifier leur niveau de patch.
  2. Processus agile de patching
    Instaurer des fenêtres régulières de maintenance pour déployer rapidement les correctifs critiques.
  3. Renforcement réseau
    Appliquer la micro-segmentation et bloquer SMBv1 en périphérie.
  4. Plan de continuité
    Définir un PRA/PCA incluant des sauvegardes hors ligne et des tests réguliers de restauration.
  5. Surveillance 24/7
    Mettre en place ou externaliser un SOC pour des alertes en temps réel et des exercices de simulation d’attaque.
  6. Formation continue
    Organiser des sessions régulières de sensibilisation à la cybersécurité pour tous les collaborateurs.

Sources

  1. Microsoft Security Bulletin MS17-010
  2. Customer Guidance for WannaCrypt Attacks – MSRC Blog
  3. Alert (TA17-132A) Indicators Associated With WannaCry Ransomware – CISA
  4. WannaCrypt Ransomware Worm Targets Out-of-Date Systems – Microsoft Security Blog
  5. WannaCry Ransomware – Wired
  6. Everything You Need to Know About EternalBlue – Wired
  7. WannaCry – Wikipédia (FR)
  8. EternalBlue – Wikipédia (FR)
  9. UPDATE: U.S. DHS Issues Revised Alert on WannaCry Ransomware – White and Williams
  10. Ransomware: ‘WannaCry’ Guidance for Enterprise Administrators – NCSC UK

Tubercule

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *