Intrapole
VOUS  TES ICI : Accueil » Intrapole » Actualité »

Cybertattaque Wanna cry

Le monde numérique vit une cyberattaque sans précédent. Le Virus Wanna Cry a principalement frappé des entreprises ! En France, c’est notamment Renault qui a subi cette attaque de plein fouet. Tant et si bien que plusieurs de ses sites de production ont dû être mis à l’arrêt. Aux États-Unis, le leader de la livraison par colis, FedEx a été touché et se retrouve dans l’impossibilité de satisfaire certaines commandes. Des stations services et les réseaux internes de la police ainsi que des universités chinois se sont retrouvés bloqués. Mais l’attaque la plus préoccupante de Wanna Cry concerne le Royaume-Uni. Plusieurs centaines d’hôpitaux privés ont été paralysés et ont dû repousser des opérations médicales. Enfin, la Russie a eu la surprise de constater que son ministère de l’Intérieur avait été infecté par le virus. Pour comprendre le phénomène et surtout évaluer ses conséquences pour notre pays, nous avons approché l’expert en cybercriminalité, Younoussa Sanfo.

Le monde virtuel connaît un séisme à la suite de l’attaque WannaCrypt. En termes simples qu’en est-il très exactement ?

Depuis le vendredi 12 mai 2017, une attaque de grande ampleur secoue le monde du numérique. Une centaine de pays et des millions de machines sont concernés par cette attaque. Le procédé n’est pas nouveau, nous l’avons plusieurs fois évoqué ces trois dernières années. Il s’agit de ransomware ou rancongiciel, qui consiste à prendre votre système en otage et de vous demander une rançon pour le "libérer". En résumé, le pirate crypte tous vos documents essentiels, (ce qui aura pour effet de paralyser votre activité) et vous demande de payer une rançon pour obtenir une clé de décryptage. Le malware revêt plusieurs noms, à savoir wannacrypt, Wcry, WanaCry, WanaCrypt, Wanna Decryptor, etc. Il faut s’attendre à faire face à d’autres variantes les prochains jours.

Des terminaux de 100 pays ont été touchés. Quelle est l’ampleur des dégâts causés par cette attaque ?

Difficile d’évaluer l’ampleur, mais on peut imaginer les dégâts, sachant qu’une centaine de pays sont concernés pour le moment, que des hôpitaux, des écoles, des sociétés de téléphonie, des banques, des administrations publiques ont été ciblés.

Notre pays a-t-il été touché ?

Comme je vous le disais plus haut, le procédé n’est pas nouveau. Nous avons eu connaissance de deux cas au Burkina Faso qui ont été bien gérés par les structures concernées. Il s’agit de UBA en 2012 et de l’ONEA en 2016. Les informaticiens ont eu les bons réflexes au bon moment, ce qui nous a permis de stopper les pirates, sans payer de rançon et les entreprises ont eu plus de peur que de mal, puisque les systèmes ont résisté aux attaques.

Que doit-on craindre à la suite de cette attaque ?

Le parc informatique burkinabè est très fragile en terme de sécurité. La plus grande faute est imputable aux dirigeants et parfois aux informaticiens. C’est de la négligence. On a tendance à penser que celaa n’arrive qu’aux autres. Nous entendons toujours des phrases toutes faites du style "nous sommes en Afrique", "nous ne sommes pas à la NASA". "Qui peut s’intéresser à nous ?", etc. Ce qu’on peut craindre, c’est que dans quelques mois voire plus, nous subissions ces attaques. Pour l’instant, nous n’avons pas été ciblés, mais très rapidement, le monde des pirates va se saisir de cette nouvelle possibilité et va l’expérimenter. Sachant qu’au Burkina nous avons toujours un nombre impressionnant d’ordinateurs qui tournent sous windows XP, je ne suis pas très optimiste pour certaines entreprises.

Un cas d’attaque isolé en Allemagne, à travers l’opérateur de téléphonie « O2 Telefonica » avait permis de vider des comptes de clients de banque. Aujourd’hui c’est WannaCrypt, y a-t-il de la négligence dans les sécurisations des systèmes informatiques quand on sait que certaines menaces étaient connues d’avance ?

Le cas de 02 telefonica est différent, mais nos opérateurs de téléphonie, nos banques et tous ceux qui utilisent un téléphone pour authentifier les transactions sont concernés par cette faille. En résumé, il consiste à détourner vos communications à votre insu. Par exemple, les opérateurs burkinabè vous permettent de modifier vos données d’identification dès lors que vous êtes identifiés dans leurs bases de données. Pour savoir que c’est bien vous qui faites la requête, l’opérateur vous envoie un code sur votre téléphone pour vous permettre de prouver que vous êtes la bonne personne. L’attaque consiste à détourner les flux de l’opérateur chez quelqu’un d’autre, alors que la requête semble avoir été initiée par votre numéro de téléphone. L’opérateur ne voit que du feu. Dans ce cas, le pirate peut tout faire, comme si il avait votre téléphone entre les mains. Cette attaque n’est pas facile à mettre en œuvre car elle exige une complicité interne pour dérouter vos communications vers le pirate ou son serveur. Cette opération se fait une seule fois pour chaque victime, mais il faut être à l’intérieur du système. Ce qu’il faut retenir, c’est que ces attaques n’aboutissent que lorsqu’il y a négligence, ou lorsqu’il persiste un laisser-aller dans la gestion des infrastructures stratégiques d’un pays.

Selon vous, quelle est la provenance d’une telle attaque ?

Il y a quelques semaines, la National Security Agency (NSA) avait été victime de fuite sur Internet de l’un de ses outils de collecte de données dénommée EthernalBlue. Le groupe de pirate Shadow Brokers s’était vanté en avril 2017 avoir dérobé plusieurs armes informatiques à la NSA. C’est dire que nous sommes peut-être au début d’une avalanche d’attaques de même acabit. Le malware Wanacry ou Wannacrypt ou wcrypt est un dérivé de EthernalBlue, adapté au besoin des pirates, qui pourraient être russes, si on analyse le mode opératoire en le comparant à d’autres attaques récentes attribuées aux russes. Mais je me méfie de ce type de similitude car il est habituel que des hackers, surtout les hackers d’Etat utilisent des techniques similaires aux hackers d’un autre Etat, justement pour semer le doute et brouiller les pistes.
En résumé c’est comme si la bombe nucléaire tombait entre les mains de Boko Haram.et cela devrait nous interpeller sur la nécessité pour tout Etat qui se respecte de posséder une cyber Army capable de défendre le pays ou le protéger en cas d’attaque informatique paralysante.

Avez-vous un conseil à donner aux informaticiens qui gèrent les systèmes sensibles ?

Concernant l’attaque wanacrypt et autres versions, nous suggérons aux entreprises de rendre homogène leur parc informatique, en extirpant tous les systèmes obsolètes qui ne sont plus supportés par leurs éditeurs.

Aux responsables informatiques, nous recommandons dès lecture de cette interview, de fermer les ports SMB 139 et 445 dans un premier temps. Ensuite, les systèmes suivants doivent être mis à jour

• Windows XP SP2 x64
• Windows XP SP3 x86
• Windows XP Embedded SP3 x86
• Windows Server 2003 SP2 x64
• Windows Server 2003 SP2 x86
• Windows 8 x86
• Windows 8 x64

Nous leur suggérons d’avoir une politique de sécurité et d’avoir un spécialiste en SMSI (Système de management de la Sécurité de l’Information). Des formations de 15 jours existent pour permettre à un informaticien de profil réseau d’avoir des compétences utiles pour une entreprise sensible.
Dernière suggestion, faites appel à un expert en sécurité des systèmes d’information pour démarrer voire piloter les projets sensibles en sécurité des systèmes d’informations.