WannaCry Catastrophes informatiques, criminels et espions
Ce qui est arrivé vendredi dernier est objectivement une catastrophe informatique. Nous sommes plus vulnérables, car nous dépendons de systèmes informatiques de plus en plus complexes et interconnectés. Et nous n’apprenons pas de nos erreurs au rythme que nous devrions.
L’attaque informatique de vendredi dernier soulève deux questions importantes sur lesquelles nous devons réfléchir: l’accumulation et la gestion irresponsable des cyberarmes par les agences de renseignement et l’incapacité des entreprises à maintenir leurs systèmes à jour.
Les derniers jours ont été très exigeants pour ceux qui travaillent dans la sécurité informatique. La faute à « WannaCry » l’attaque informatique qui a affecté les réseaux de nombreuses entreprises en Suisse et dans le monde entier.
Les attaques de type rançongiciel sont loin d’être un problème récent: il y a eu plusieurs entreprises nationales touchées au cours de la dernière année, de sorte que 2016 a été considéré dans le secteur de la sécurité informatique comme l’année du rançongiciel. Cependant, l’attaque de la semaine dernière a pris de nouvelles proportions, et ce pour plusieurs raisons.
Premièrement cela concerne la forme de propagation de l’attaque. En plus des courriels incitant les victimes à cliquer sur une pièce jointe malveillante, « WannaCry » s’est également propagé via une vulnérabilité existante sur les systèmes Windows, connue sous le nom de « Eternal Blue ». La diffusion dans les entreprises a été ainsi beaucoup plus rapide.
La vulnérabilité « Eternal Blue » a été rendue publique par un mystérieux groupe se faisant appeler les « Shadow Brokers ». Ce groupe, dont beaucoup spéculent être liés aux services de renseignement russe, a publié un ensemble de cyberarmes qui auraient été volées à la NSA. Une analyse de ces cyberarmes révèle qu’elles sont datées de 2011, ce qui fait penser que l’agence américaine aurait effectué les mêmes attaques que celle de la semaine dernière.
Ce type d’attaques est de plus en plus courant dans le monde de l’espionnage international, étant donné que les grandes puissances mondiales ont investi des budgets considérables pour renforcer leurs capacités cyberoffensives. Le gros problème de cette course aux armements est que les cyberarmes ne sont pas comme des armes conventionnelles: il est presque impossible pour un criminel de fabriquer un missile Tomahawk dans un sous-sol, mais dans le cas d’une cyberarme cette production est triviale.
Les cyberarmes sont créées et gardées secrètes le plus longtemps possible, ce qui empêche les éditeurs de logiciels de résoudre les vulnérabilités qu’elles exploitent, mettant en danger tous les utilisateurs. Cela a conduit Microsoft à pointer du doigt la CIA et la NSA, et à leur demander plus de responsabilités dans la gestion du ciberarmement et la nécessité de converger vers une « Convention de Genève Digital » régulant ces questions.
Mais il y a quelque chose que nous croyions être plus important, à savoir quand les mises à jour de sécurité commenceront à être prises au sérieux par les entreprises. Il faut souligner que cette attaque aurait été sans conséquence si les entreprises refusaient la réception d’emails avec des pièces jointes qui mettent en péril la sécurité du système et si les entreprises prenaient au sérieux les mises à jour de sécurité.
Nous entendons depuis plusieurs années qu’il est difficile de maintenir les systèmes à jour de par la nécessité d’avoir un système stable, et que l’installation d’une mise à jour peut affecter cette stabilité.
Cependant, dans notre vie professionnelle, nous avons trouvé des centaines de problèmes de sécurité causés par le manque de mises à jour, alors que nous comptons sur les doigts d’une main les problèmes causés par l’installation d’une mise à jour de sécurité. De toute évidence les entreprises ont un déficit d’information et de formation dans ce domaine et devraient maintenant envisager des mesures pour remédier à ces lacunes.
Résoudre ces problèmes est une étape importante pour aider à prévenir les attaques futures.
Comme dans toutes les catastrophes, nous ne pouvons pas changer ce qui est arrivé. Cependant, les conséquences des prochaines attaques dépendent principalement des enseignements tirés aujourd’hui.