Certains furent déjà sur le pont tout le week-end pour prévenir leurs utilisateurs. La mauvaise nouvelle c'est que cette tornade pourrait encore durer quelques temps vu la boîte de Pandore qu'elle vient d'ouvrir. C'est l'objet de ce billet que d'aider les managers et les équipes métiers en charge des applications à en prendre conscience.
WanaCrypt est un "rançonware", c'est à dire un logiciel qui une fois installé sur un poste de travail (via la pièce jointe d'un email reçue et ouverte ou la propagation sur le réseau local de l'entreprise en mode "worm") en crypte tous les fichiers puis demande entre $300 et $600 en bitcoin pour récupérer ses données. Le bitcoin permet aux hackeurs de garder l'anonymat pour réutiliser la somme.
Même si l'argent est généralement la principale motivation des hackeurs, dans le cas présent rien ne garantit que les données soient restituées. Les consignes sont d'ailleurs généralement de ne pas payer pour ne pas encourager de prochaines opérations. Traduisez, votre poste crypté vient d'être sacrifié...
Vendredi 12 mai c'est le Royaume Uni qui a fait les frais d'une vague massive d'emails de phishing et d'une propagation fulgurante au sein de ses entreprises. Elle a notamment touché une entreprise publique très médiatisée, National Health Service, le gestionnaire des hôpitaux anglais, des hôpitaux qui ont été rapidement désorganisés quand les employés ne pouvaient plus utiliser leur ordinateur pour récupérer les données des patients.
Des entreprises de toute l'Europe ont également été touchées, comme Renault qui a immédiatement stoppé la production sur son site de Sandouville, Nissan UK, la Deutsche Bank, la Banque de Bilbao ou Telefonica l'opérateur historique espagnol.
Depuis on parle de cyber-attaque massive et mondiale, et fait rare, le journal de 20h de la Une a ouvert pendant 5 minutes sur ce titre samedi soir, la veille d'une actualité politique pourtant chargée en France avec la prise de fonction du nouveau Président de la République française.
Image: Malwaretech.com.
C'est vrai que l'envoi de 5 millions d'emails par heure (comme cité par certains rapports de sécurité) peut être considérée comme une attaque massive (en 2016 les 215 milliards d'emails envoyés dans le monde - hors spam - correspondent à 24 millions d'emails par heure en moyenne).
Cependant GreenSI trouve que c'est un peu simpliste de ne regarder que le côté "cyber-attaque" même si visiblement cette attaque paraît organisée (préparer des millions d'emails à l'avance) et pensée (lancement un vendredi avant le week-end en ciblant les entreprises ?).
Dans cette crise le vrai problème pour les SI est surtout du côté de la défense!
En effet, plusieurs "faits" découlant de politiques passées ont considérablement affaibli les défenses des entreprises, ce qui a favorisé la vitesse de propagation du virus en leur sein. Ces faits doivent nous faire réfléchir sur la gouvernance des systèmes d'information au moment où ils deviennent de plus en plus critiques pour toutes les activités.
- Une faille connueCette
faille de sécurité dans Windows était connue et bien identifiée,
notamment par la NSA qui l'exploitait comme porte dérobée pour espionner
les PCs. Elle a fait l'objet du bulletin de sécurité de Microsoft du 14 mars (MS17-010), donc il y a déjà un mois, avec la liste des systèmes concernés et le correctif à appliquer.
- Des SI qui utilisent des produits non maintenus
La faille est aussi présente sur Windows XP, Windows 7 et Server 2003 qui représentent encore un bon pourcentage respectivement des postes de travail et serveurs, et notamment ceux du NHS, alors que ces produits ne sont plus maintenus par l'éditeur. Heureusement, dans l'urgence, Microsoft a diffusé gratuitement un correctif ce week-end.
Les grands comptes qui ont payé très chère la "software assurance" de Microsoft pour XP, pour avoir de façon privilégiée quelques correctifs, doivent l'avoir mauvaise puisque le correctif du week-end a été livré gratuitement a tout le monde ;-)
Quoi qu'il en soit, l'obsolescence est une réalité dont le management devrait se préoccuper, une partie du SI tourne sur des produits non maintenus donc vulnérables et ce souvent des applications anciennes au cœur des processus et de l'organisation. Est-ce que les métiers en charge des applications en sont conscients ?
- Des postes de travail pas toujours sauvegardésAvoir
un backup de l'ensemble des postes de travail de son entreprise peut
sembler une évidence, mais est en fait très compliqué à mettre en oeuvre
opérationnellement (avec la mobilité et les portables par exemple). La
réalité est donc que si un poste est verrouillé et crypté, le retour
arrière se fera en perdant certainement des données du poste.
Il faut donc accepter cette réalité, tout poste de travail doit pouvoir être détruit sans prévenir et sans impacter l'entreprise (au-delà des heures perdues par son malchanceux utilisateur... ) et surtout se préparer à l'affronter.
Ceux qui ont engagé des politiques d'outils collaboratifs auront plus de chance avec les données des projets stockées dans ces outils au lieu d'être sur les postes des utilisateurs. Mais j'ai malheureusement vu trop de projets repasser d'outils collaboratifs à des outils personnels sous Excel, au gré des consultants de passage, pour encore y croire...
- Une NSA qui joue à l'apprenti sorcier
La faille a été identifiée par la NSA il y a longtemps et les outils pour l'exploiter, qui ont certainement mobilisé les meilleurs experts en sécurité du moment, ont malencontreusement été dérobés à la NSA par un collectif de hackers en mars dernier (Shadow Brokers). Un peu comme si l'Institut Pasteur laissez filer plusieurs souches du virus de la variole, aujourd'hui disparu, et qu'il conserve à des fins scientifiques.
On peut accuser tous les hackeurs du monde, la responsabilité de la NSA ne doit pas être oubliée et elle est double: avoir fabriqué les matériaux du virus ET les avoirs perdus dans la nature. Il n'y a malheureusement pas de comité d'éthique pour ce qui concerne l'informatique. Avec l'arrivée de l'intelligence artificielle, peut-on tout laisser faire parce que c'est du logiciel et non de la manipulation d'embryons humains?
Et finalement, cela ne montre-t-il pas que les gouvernements peuvent aussi être plus dangereux que les hackers ?
Là où les défenses étaient faibles, là où les investissements pour le maintenir n'étaient plus en phase avec la criticité métier, c'est là que le SI est tombé rapidement.
Dans un hôpital, dans une chaîne de production, dans une chaîne logistique, certainement tous des systèmes anciens qui ont toujours donné satisfaction, qui évoluent peu ou plus, et qui sont passés sous la ligne de visibilité des investissements d'obsolescence technique.
La Première Ministre Théresa May, est intervenue rapidement pour rassurer sur le fait que le Royaume Uni n'était pas la seule cible de l'attaque mais a surtout déploré le fait que l'ampleur au Royaume Uni avait été exacerbée par une "politique conservative du NHS découlant des mesures d'austérité du gouvernement".
GreenSI vous rappelle le graphe de décision de la maintenance: si la probabilité est forte et que le coût de mise à jour est élevé alors il n'y a qu'une alternative, patcher !
A l'ère du digital et de la transformation numérique le rôle de la DSI reste prioritairement de gérer cette obsolescence, car la durée de vie des applications est entre 7 et 10 ans, donc bien après la fin des projets de développement. Pour cela elle a besoin des métiers et du management, elle doit mettre en place une gestion des compétences pour conserver celles dont on peut avoir besoin sur des systèmes obsolètes. Mais pour ne pas faire crouler les investissements sous le poids de sa dette (technique) la meilleure stratégie reste encore de supprimer les applications qui apportent une valeur marginale mais sont surtout un handicap ou un danger pour la globalité du SI.
Plus on a d'applications, plus on a un SI hétérogène technologiquement, et plus on est exposé à l'ensemble des failles qui ne manqueront pas de survenir dans un des composants techniques. WanaCrypt aura au moins eu le mérite de nous le rappeler et GreenSI pense pour longtemps.
Alors maintenant qu'est-ce qu'on fait: I want to crypt (wanacrypt) or I want to upgrade ?