Passer au contenu principal
Bulletin

Wannacry: Conseils pratiques en matière de cybersécurité

Fasken
Temps de lecture 10 minutes
S'inscrire

Bulletin Protection de l'information et de la vie privée

Le 12 mai 2017, des sources médiatiques ont commencé à rapporter une attaque d'envergure à la cybersécurité mettant en cause le rançongiciel connu sous le nom de « WannaCry » (également connu sous « WCry » ou « Wanna Decryptor »). Le même jour, le département de la Sécurité intérieure des États-Unis a publié l'avis intitulé National Cyber Awareness System Notice TA17-132A – Indicators Associated With WannaCry Ransomware (l'« avis ») (disponible en anglais seulement) donnant des détails sur l'attaque. Dans ce court bulletin, nous présentons des renseignements de haut niveau sur le déclenchement de cette attaque et les facteurs à considérer par les organisations au Canada.

Qu'est-ce que WannaCry?

Le rançongiciel WannaCry s'est semble-t-il surtout répandu par l'intermédiaire de courriels d'hameçonnage perfectionnés semblant contenir des fichiers joints légitimes. Si ces fichiers joints sont ouverts, ils permettent à WannaCry d'accéder aux serveurs des victimes en exploitant une vulnérabilité de Windows, apparemment connue et signalée par Microsoft comme étant une vulnérabilité de niveau critique depuis la mi-mars. L'infection initiale peut aussi s'être répandue par l'intermédiaire de vulnérabilités de certaines défenses, éliminant ainsi la nécessité d'un courriel d'hameçonnage.

Lorsque WannaCry a accès à un système, il crypte les fichiers des victimes et les rend inaccessibles. WannaCry demande alors aux victimes de lui verser une « rançon » en bitcoins pour que leurs fichiers soient décryptés. La fenêtre qui suit apparaît à l'écran de l'utilisateur de l'ordinateur infecté.

  

Les victimes sont prévenues qu'à défaut de payer la rançon dans le délai précisé, leurs fichiers seront perdus de manière définitive. Diverses sources ont signalé que le paiement de la rançon ne garantit pas la récupération des fichiers cryptés ou le retrait de WannaCry des systèmes touchés.

WannaCry fonctionnerait dans environ 27 langues et est responsable, à l'heure actuelle, de centaines de milliers d'infections dans 150 pays. Au moment de la rédaction de cet article, on s'attend à ce que le nombre de systèmes touchés continue d'augmenter, y compris au Canada.

Selon l'avis mentionné ci-dessus, les utilisateurs ne peuvent se fier aux antivirus pour protéger leurs systèmes contre WannaCry. Il est vivement conseillé aux utilisateurs de Windows de télécharger les correctifs et les mises à jour de sécurité de Microsoft, même si Microsoft a fait savoir que les utilisateurs de son antivirus gratuit ou dont les mises à jour de Windows sont activées sont protégés.

Pour plus d'informations, voir: ICS-CERT Releases WannaCry Fact Sheet (disponible en anglais seulement)

Répercussions sur les organisations

Si votre organisation n'a pas été touchée, il est essentiel d'envisager d'effectuer une vérification immédiate pour vous assurer que les correctifs de Microsoft ont été apportés de manière exhaustive en accordant une attention spéciale à la vulnérabilité de la mise en œuvre du protocole SMS (Server Message Block) de Microsoft. Le 14 mars 2017, Microsoft a publié un bulletin de sécurité de niveau « Critique » comportant un correctif de mise à jour pour remédier à cette vulnérabilité. Les serveurs ou les ordinateurs qui fonctionnent avec des systèmes d'exploitation Microsoft plus anciens, notamment Windows XP, Vista, Windows Server 2008 et 2012, Windows 7 et Windows 8.1, doivent être immédiatement identifiés. Ces systèmes d'exploitation plus anciens sont encore souvent utilisés en raison, par exemple, d'anciennes applications et d'anciens programmes. Il faudrait sérieusement envisager de remplacer ces applications et ces programmes qui ne peuvent fonctionner avec les systèmes Windows pris en charge et mis à jour.

Les organisations qui ont été touchées par l'attaque doivent rapidement décider comment intervenir et s'il faut ou non verser la rançon. Comme pour toutes les menaces de rançongiciel, elles doivent entre autres prendre les mesures ou tenir compte des points qui suivent :

  • le déclenchement du plan d'intervention en cas d'incidents;
  • l'isolation du maliciel dès que possible pour éviter qu'il ne se propage davantage aux ordinateurs et aux réseaux;
  • une enquête immédiate pouvant se justifier et menée par des personnes compétentes en la matière, y compris le recours aux conseillers juridiques en entreprise ou externes pour la protection éventuelle du privilège de pair avec une analyse judiciaire et des communications, et le recours éventuel aux experts indépendants en criminalistique ayant de l'expérience dans le domaine des attaques et des paiements de rançongiciel;
  • le vecteur ou la façon dont l'attaque a été menée et sa portée, y compris la question de savoir si l'attaque a été perpétrée par une vulnérabilité pouvant donner lieu à des considérations plus larges sur le plan de la sécurité d'une organisation (bien au-delà de la menace immédiate du rançongiciel lui-même);
  • l'évaluation de vos sauvegardes ainsi que le coût et le temps associés au rétablissement des opérations et des renseignements sauvegardés, y compris la question de savoir si les sauvegardes sont suffisamment exactes et exhaustives;
  • le risque que l'acquisition d'une clé de déchiffrement pour récupérer les données fasse entrer un autre maliciel dans la clé;
  • la possibilité de négocier une demande de rançon (en particulier dans le cas d'attaques à grande échelle), les risques associés au partage de renseignements avec les agresseurs au moment de payer une rançon, plutôt que de faire appel aux services d'experts pour aider à effectuer des paiements anonymes, ainsi que la possibilité d'augmentation des demandes de rançon;
  • la question de savoir si le paiement est fait à des particuliers ou à des groupes qui figurent sur des listes de surveillance;
  • la question de savoir si l'organisation possède une assurance couvrant la cyberextorsion ou une autre couverture en matière d'enquête, de paiement de rançon et de responsabilité éventuelle d'un tiers, et l'envoi d'avis opportuns conformément aux polices d'assurance applicables. Un grand soin devrait peut-être être apporté à la gestion d'un avis ou des autres exigences concernant les polices d'assurance – envisager de consulter un avocat, un gestionnaire des risques et votre courtier d'assurance quant aux mesures appropriées à prendre;
  • la question de savoir s'il faut communiquer avec les autorités policières à ce sujet.

En définitive, même si les autorités policières recommandent habituellement de ne pas payer, les organisations doivent aussi tenir compte du risque associé à la perte permanente de leurs données et les conséquences sur les activités de l'entreprise et les personnes, et évaluer les coûts éventuels et le temps d'arrêt pouvant être associés au rétablissement des renseignements et des opérations à partir des sauvegardes.

Gestion du risque juridique

Au cours de l'enquête et du confinement suivant une attaque, les organisations pourraient aussi prendre les mesures suivantes :

  1. confirmer s'il y a eu un accès non autorisé à des renseignements confidentiels détenus par votre organisation, y compris des renseignements personnels concernant des clients, des fournisseurs ou des employés, ainsi que des renseignements stratégiques financiers, commerciaux, scientifiques ou techniques relatifs à des tiers avec lesquels vous faite affaire. Un tel accès pourrait ne pas avoir eu lieu par le rançongiciel en lui-même, mais plutôt par la façon dont l'attaque a été menée;
  2. lorsqu'il a été établi qu'un accès non autorisé a eu lieu, évaluer le degré d'importance des données auxquelles les agresseurs auraient eu accès, qu'elles puissent être utilisées ou non pour causer des dommages et que l'organisation ait ou non des obligations contractuelles ou légales d'aviser les personnes touchées, d'autres organisations ou les organismes de réglementation;
  3. examiner les mesures qui peuvent être prises pour éviter qu'une telle attaque se reproduise (p. ex., mesures visant la sécurité accrue, les sauvegardes, les correctifs, une meilleure formation des employés sur l'hameçonnage et les risques connexes), et pour atténuer les dommages en cas d'attaque;
  4. élaborer un processus de communications internes et externes pouvant être utile pour gérer les considérations en matière de réputation ou qui y sont associées à la suite d'un incident (y compris au moyen du recours à un conseiller juridique), reconnaître qu'un grand nombre d'employés d'une organisation apprend souvent directement que l'organisation a été l'objet d'une attaque (puisque la demande pourrait s'afficher sur leur écran et qu'ils pourraient donc ne plus pouvoir travailler).

La crise actuelle rappelle l'importance de prévoir les mesures à prendre en cas d'attaques de rançongiciel. Les organisations sont bien avisées d'avoir un plan d'intervention efficace en cas d'incidents, y compris un examen des menaces de rançongiciel et la façon pour l'organisation d'intervenir dans l'hypothèse d'une telle attaque.

Fasken Martineau continue de surveiller l'attaque WannaCry et son évolution. Pour obtenir des conseils sur la façon d'intervenir en cas d'attaque de WannaCry ou d'autres atteintes à la cybersécurité, veuillez communiquer avec les auteurs ou avec un membre de notre groupe Protection de l'information et de la vie privée.

    Abonnement

    Recevez des mises à jour de notre équipe

    S'inscrire