Le responsable sécurité d’un groupe d’entreprise de services nous a répondu à chaud pour nous livrer son témoignage et son avis. Il ne souhaite pas que le nom de son entreprise soit reconnu. (Propos receuillis le13 mai)
Dans le cas de votre groupe, avez-vous été touché par ces attaques ou tentatives d’attaques ? Vos équipes sont-elles mobilisées durant ce week end ?
Oui nous sommes mobilisés depuis hier soir. C’est une attaque par ransomware de grande ampleur dite « wannacry ». Elle touche les serveurs et machines windows qui ont un partage de fichiers MS SMB ouvert et se répand à travers les partages de fichiers ce qui en fait une attaque très puissante. Les serveurs touchés sont mal patchés en particulier manque le MS17-010.
Nous n’avons aucune contamination à déplorer car le NSOC a réagi à l’alerte McAfee dès hier soir et tous les serveurs ont été vérifiés.
Un e-mail contenant une sensibilisation et une information aux ransomwares vient d’être envoyé à tous les IT du groupe et toutes les directions d’établissement.
Le but est de bloquer des ordinateurs sous Windows pour toucher une rançon. Il s’agit souvent de mafias russes. Cela n’a rien de politique ni de ciblé.
En tant qu’expert en sécurité, à votre avis les équipements industriels ( SCADA) ont-ils été touchés ?
Oui les SCADA (Renault, Telefonica, les hôpitaux britanniques) sont particulièrement touchés pour deux raisons: La plupart de ces systèmes ne sont jamais patchés pour ne pas arrêter ou mettre en cause la production. De nombreux liens SMB de partage sont utilisés car plus commodes (et anciens) que les partages NTFS plus solides.
Dès qu’un virus exploite le partage de fichiers pour se répandre, les SCADA sont d’avantage touchés que les autre systèmes. Il faut aussi tenir compte de la non séparation physique des réseaux de gestion et SCADA: l’-email a été reçu par un utilisateur qui a cliqué sur une pièce jointe, puis il se répand sur tout le réseau à travers le partage de fichiers.
Voir article précédent sur les attaques.
Propos recueills par Jean Kaminsky
