PetyaWrap : Avez-vous les bons réflexes ?

En mai 2017, le monde digital découvrait, avec effroi, WannaCry : la plus grosse attaque par ransomware jamais lancée. Si pour vous cette attaque relève du passé, sachez que son nom donne encore des sueurs froides aux DSI des plus grandes entreprises. Cette attaque s’est propagée dans plus de 150 pays et a infecté plusieurs centaines de milliers d’ordinateurs. Mais WannaCry, c’est déjà de l’histoire ancienne et la menace porte désormais un nouveau nom : PetyaWrap.

C’est ce mardi 27 juin que ce nouveau virus nommé PetyaWrap ou GoldenEye, Nyetya, NotPetya (selon les variantes du virus et les entreprises spécialisées qui les découvrent) a commencé à se propager un peu partout dans le monde. Le premier « foyer infectieux » est apparu en Ukraine puis s’est rapidement étendu en Russie. Quelques heures plus tard, le virus faisait son apparition dans toute l’Europe, aux Etats Unis et même en Asie. Des administrations et grandes entreprises à travers le monde ont déjà annoncé sur les réseaux sociaux leur infection.

PetyaWrap, comment ça marche ?

Les chercheurs en sécurité informatique qui ont analysé les échantillons qu’ils ont pu récupérer estiment qu’il ne s’agit pas de Petya (détecté en mai 2015) mais d’une variante de ce ransomware. Cependant, les avis divergent. Pour Kaspersky Lab, il s’agit d’un nouveau virus à part entière. Il est encore trop tôt pour pouvoir déterminer la souche de ce virus (et ses variantes) et l’origine de l’attaque.
PetyaWrap est un ransomware dont les variantes peuvent se montrer particulièrement virulentes. Selon la version observée, le virus cryptera une soixantaine de type de fichiers (.doc, .zip, .pdf…) ou l’intégralité du disque dur, ce qui rend la récupération du disque extrêmement complexe.
Le virus vous offre une possibilité de retrouver vos données, en payant une rançon. Cette fois-ci, 300 dollars vous seront demandés, sous forme de bitcoin et sans garantie de recevoir la clé de décryptage. Il est vivement conseillé de ne jamais payer car rien ne vous garantit que les pirates vous rendront vos données. Le Kansas Heart Hospital (Wichita, Kansas) en a fait la triste expérience le 18 mai dernier. Malgré le paiement d’une rançon de 17 000 dollars, les pirates ont refusé de délivrer la clé de décryptage et ont même envoyé une nouvelle demande de paiement, que l’hôpital a cette fois refusé.

Quelle est la cible ?

Quand on parle de virus, la cible est la masse. C’est d’autant plus vrai pour les ransomware. Le nombre d’ordinateurs infectés par PetyaWrap n’est pas encore connu. On connait d’ores et déjà le nom de certaines administrations et de grandes entreprises qui luttent contre l’infection, ou qui en font déjà les frais.

EternalBlue, merci la NSA !

En termes de système d’exploitation, on découvre sans surprise que Windows est l’OS ciblé. PetyaWrap a été observé sur des versions Windows XP, Windows 7 et Windows 10.
Comme pour WannaCry, c’est grâce à EternalBlue que le virus s’infiltre dans Windows. EternalBlue, pour les moins initiés, est un « exploit » (disons un élément de programme) qui faisait partie du puissant arsenal d’espionnage de la NSA. Il a été révélé et publié en avril 2017 par un groupe de hackers et est aujourd’hui utilisé par d’autres pirates.

Comment se protéger contre ce type d’attaque ?

Même si Windows est le terrain de jeu favori des pirates informatiques, les conseils que vous trouverez ci-dessous sont des bonnes pratiques applicables quel que soit votre système d’exploitation.

Vérifiez que votre système d’exploitation est à jour. Si votre ordinateur n’est pas infecté, faites vos mises à jour. Vous êtes du genre à oublier de mettre à jour votre ordinateur ? Pensez à activer la mise à jour automatique !

Vérifiez que votre antivirus et sa base virale sont à jour. On a tendance à repousser l’installation des mises à jour qui surviennent généralement quand ce n’est pas le moment. C’est pourtant important. Prenez le temps de vous occuper de la mise à jour de votre antivirus (logiciel) et de sa base virale (référentiel, il très important de la maintenir à jour). N’hésitez pas à débourser quelques euros pour vous procurer un antivirus « pro ». Vous trouverez des antivirus très performants pour une cinquantaine d’euros par an, en moyenne. Ne coupez jamais votre antivirus sous prétexte de confort (pour libérer de la mémoire par exemple), sinon ouvrez grand la porte à toutes les menaces. Enfin, programmez une analyse complète de votre ordinateur régulièrement, selon votre fréquence d’utilisation.

Sauvegardez vos données. Je suggèrerais même de multiplier les sauvegardes pour vos fichiers importants. Les solutions Cloud sont intéressantes et généralement bien sécurisées mais ne garantissent pas pour autant l’intégrité et la confidentialité de vos données à 100%. Doublez vos sauvegardes sur un disque dur externe dédié, que vous brancherez uniquement le temps de faire un backup de vos données.

Soyez toujours vigilant quand vous ouvrez vos emails. L’email est le vecteur de diffusion des virus dans 98% des cas ! Assurez-vous que les emails et pièces jointes que vous ouvrez proviennent d’une source sûre. En cas de doute, n’ouvrez pas la pièce jointe, ni les liens présents dans l’email. Enregistrez-la sur votre disque dur, analysez-la avec votre antivirus et, si aucune menace n’a été détectée, vous pourrez ouvrir le fichier en toute sécurité. Dans le cas contraire, votre antivirus vous proposera d’éradiquer la menace.

Et si le mal est fait ?

Si vous êtes infecté, c’est plus compliqué. Dans un premier temps, déconnectez votre ordinateur de votre réseau local et d’Internet. Ensuite, déconnectez rapidement vos disques durs externes et ne les reconnectez pas sur un autre ordinateur sain. Eteindre ou ne pas eteindre l’ordinateur ? La question reste ouverte. Certains spécialistes préconisent d’éteindre l’ordinateur pour enrayer le processus de cryptage des fichiers mais nous avons pu observer avec WannaCry qu’un redémarrage de l’ordinateur infligeait le coup de grâce. A l’heure où j’écris ces lignes, il n’y a pas encore de consigne claire pour PetyaWrap.

Quoi qu’il arrive : ne payez pas la rançon, jamais.

L’ANSSI et les sociétés spécialisées en sécurité informatique recommandent de ne strictement jamais payer la rançon.
Payer la rançon revient à :
Encourager les pirates à poursuivre ce type d’attaque.
Perdre de l’argent. Vous n’avez aucune garantie de récupérer vos données.
Compromettre le moyen de paiement qui a été utilisé pour la transaction (votre carte bancaire bien souvent).

Que faire, alors ?

Soyez patient, un correctif ou un outil de déverrouillage finira par voir le jour, et c’est d’autant plus vrai lorsqu’il est question d’attaque de grande ampleur comme celle-ci. S’il s’agit d’un ordinateur de travail, prévenez immédiatement votre DSI et informez vos collègues. Ne craignez pas les reproches : bien au contraire, en alertant votre DSI dès l’infection, vous empêcherez sa propagation au reste de votre entreprise. Votre DSI vous en sera reconnaissante.

Conclusion

L’attaque n’est pas terminée et PetyaWrap n’a certainement pas fini de faire parler de lui. Nous devrions en apprendre plus dans les prochains jours, en espérant que cette attaque ne devienne pas, à son tour, la plus grande attaque informatique.
Il n’y a pas de solution miracle pour se protéger des attaques informatiques sophistiquées mais il existe un certain nombre de bonnes pratiques pour s’en prémunir.

Vous ne devez pas négliger la mise à jour de tous vos logiciels. Soyez vigilant lorsque vous naviguez sur Internet ou consultez vos emails.
L’ANSSI publie régulièrement des recommandations et des guides de bonnes pratiques. Je vous recommande vivement de les lire. Il y en a pour tous les niveaux, n’hésitez pas à les appliquer à la maison ou dans le milieu professionnel.

https://www.ssi.gouv.fr/particulier/bonnes-pratiques/
https://www.ssi.gouv.fr/entreprise/bonnes-pratiques/

Article rédigé par Amaury Bargibant –  Chef de Projet Digital chez PremiumPeers.