freshidea - Fotolia

#NotPetya : déjà le temps des leçons

Se préparer au pire scénario. C'est l'approche que beaucoup d'experts recommandent désormais en matière de stratégie de sécurité. Et s'il s'agissait d'appréhender tous les rançongiciels comme des destructeurs ?

Celui que l’on appelle NotPetya, ExPetr, Nyetya, ou encore GoldenEye, cet effaceur déguisé en ransomware, devrait inspirer de nombreux chantiers, approfondis, aux RSSI. Et pas seulement à ceux qui ont fait face à sa propagation depuis ce mardi 27 juin.

A l’occasion d’un webinar consacré au sujet, les experts de Kaspersky et de Comae Technologies se sont longuement penchés, ce jeudi 29 juin, sur les moyens qui pouvaient permettre de contenu la diffusion de NotPetya au sein d’une organisation affectée. Et cela commence par la sécurisation de l’annuaire, avec un contrôle étroit des droits des utilisateurs. De quoi renvoyer à l’attaque dévastatrice dont TV5 Monde a été la victime au printemps 2015. Le sujet est tellement crucial que la jeune pousse française Alsid, créée par des anciens de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), et qui se concentre sur la sécurisation de l’annuaire, a remporté les prix de l’innovation et du public des Assises de la Sécurité. 

A cela s’ajoute bien sûr le recours à des sauvegardes régulières… mais hors ligne car : « les volumes fantômes peuvent être effacés ; les sauvegardes connectées seront chiffrées » alors elles doivent « être conservées déconnectées ». Les experts de Kaspersky et de Comae Technologies rappellent en outre que NotPetya s’est propagé sur les réseaux locaux, profitant en fait d’efforts de segmentation limités.

Chez Microsoft, Jessica Payne n’est pas tendre. En fait, pour elle, le succès de cette opération – et de beaucoup d’autres – tient à l’approche sémantique consistant à parler de « bonnes pratiques » et non pas de « procédures opérationnelles standard ». Et d’estimer que s’il y a une leçon à retirer d’ExPetr, c’est que « l’absence de pare-feu d’hôte et d’hygiène de gestion des identifiants provoque plus d’indisponibilité qu’un bel exploit ». 

Elle souligne également que le comportement du logiciel malveillant laisse des traces, qui auraient pu mettre la puce à l’oreille d’analystes en centre de sécurité opérationnel. En fait, Jessica Payne prend le contrepied de certaines critiques initiales relatives à l’application des correctifs disponibles pour les vulnérabilités exploitées par WannaCry : « c’est bien qu’il y ait des correctifs et qu’ils aient été appliquées, mais la leçon de Petya porte sur des questions opérationnelles bien plus sérieuses ». Et d’expliquer : « segmentation réseau, moindre privilège, hygiène des identifiants, supervision ciblée doivent devenir la norme pour la continuité de l’activité ». Loin d’estimer la tâche facile, elle la juge « clé pour construire un réseau résilient qui continue de fonctionner durant une infection inévitable ». 

Accessoirement, Kevin Beaumont souligne que certaines fonctionnalités de Windows 10 bloquent NotPetya dans ses œuvres : « Secure Boot et Windows 10 Entreprise avec Credential Guard coupe tous les vecteurs » utilisés pour sa propagation et son exécution. Las, relève-t-il, « seuls très peu l’utilisent ». Lesley Carhart le soulignait également dans un tout récent billet de blog.

Reste à savoir si les leçons seront tirées à temps. Parce que comme le relève Jessica Payne, des infections par hameçonnage ou attaque sur la chaîne logistique – avec des mises à jour vérolées, comme cela a été le cas avec NotPetya pour au moins une partie des victimes – « sont inévitables ». 

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close