WannaCry : les entreprises françaises affichent leurs faiblesses

« La majorité des entreprises interrogées avait, au moins partiellement, déjà déployé les correctifs de sécurité pour la faille de sécurité Microsoft adressée par un correctif disponible dès le mois d’avril ». C’est ce qu’indique le Club des experts de la sécurité de l’information et du numérique (Cesin), à l’issue d’un « sondage flash effectué auprès des RSSI, membres de l’association », en référence à la vulnérabilité exploitée par le rançongiciel WannaCry pour sa propagation.

Dès lors, « une grande partie » des entreprises représentées au Cesin et interrogés pour ce rapide sondage a donc été contrainte de mettre en place « une cellule de crise, ou une cellule de vigilance renforcée dès le soir du vendredi 12 mai, voire durant le week-end, afin d’apprécier l’évolution de la situation opérationnelle sur la planète et d’effectuer les actions préventives en la matière ».

Le Cesin explique que l’apparition de WannaCry a conduit à un « déploiement massif du correctif de sécurité […] pour les entreprises et administrations qui n’étaient pas à jour ». Et c’est sans compter avec des « mesures d’urgence » dont l’arrêt de « certaines machines ne pouvant recevoir de correctifs de sécurité ». De quoi rappeler la complexité de la gestion des vulnérabilités, mais aussi souligner des insuffisances.

Parallèlement, des filtrages réseau ont été mis en place pour « limiter les flux entrant sur les ports vecteurs de l’infection ». L’aveu, du bout des lèvres, de l’ouverture sur Internet de ports destinés aux échanges sur le réseau local. Une surprise ? Pas vraiment : déjà au dernier trimestre 2013, Akamai estimait que les attaques sur le port 445 représentaient 30 % des attaques en ligne.

Malwarebytes estime aujourd’hui que près de 20 000 systèmes ont été touchés par WannaCry, en France, sur un total d’environ 300 000 à ce jour, à travers le monde. Un niveau comparable à ceux des Etats-Unis et du Canada (environ 25 000 systèmes), qui s’avère préoccupant en proportion avec les différences démographiques. Mais le 16 mai au matin, Shodan trouvait encore plus de 2000 systèmes exposant le service SMBv1 sur Internet, en France. Dont certains sans la moindre authentification.

Comment #WannaCry a pu se diffuser? En France, @shodanhq trouve 2000+ systèmes SMBv1. Certains sans authentification. Questions?

— Valery Marchive (@ValeryMarchive) May 16, 2017

Pragmatique, le Cesin souligne que cette crise montre les limites de la pratique consistant à « ne pas patcher par crainte de disfonctionnement des applications ». Et que ceux qui en sont adeptes « vont devoir désormais choisir entre le risque de subir de telles attaques ou s’en prémunir en appliquant les correctifs sans nécessairement faire des tests de non-régression complets ».

Le Club de la sécurité de l’information français (Clusif) n’a pas manqué de profiter de la crise WannaCry pour renvoyer à son guide pratique consacré à la gestion des correctifs et des vulnérabilités, publié en janvier 2016. Dans celui-ci, les auteurs prenaient pour exemple de politique prévoyant l’installation « hebdomadaire » des mises à jour « sur tous les postes et tous les serveurs de pré-production », et leur application aux serveurs de production après de deux semaines de test et de validation.