piratage et autre ransomware.

marcastro · 11 mai 2017, 13:31

je viens de voir sur les infos de France 2 un reportage sur des entreprises victimes de ce genre de crapuleries; ces boîtes tournaient toutes sous M$ et vous devinez bien ma question: le fait pour une entreprise de tourner sous linux la mettrait elle à l'abri de ce genre de piratage? je parle bien sûr de matériel linux correctement configuré par des personnes professionnelles et compétentes?

11 mai 2017, 13:53

Avec du matériel correctement configuré et SURTOUT des personnes professionnelles et compétentes, aussi bien dans la gestion que l'utilisation des machine être sous Windows n'est pas un soucis. Seulement vue les part de marché de chaque OS il est bien plus courant (>99%) que les ransomware et autre joyeusetés soient taillées pour l'OS de Redmont. Sur Linux ce genre de mésaventure est moins courant, mais tout a fait possible. En général ce n'est pas le matériel/logiciel qui est la faille la plus facile mais bien le tas de chair assis devant.
La sécurité informatique se mesure à la résistance de son plus faible maillon.

11 mai 2017, 13:56

oui et non.
Nous avons eu le cas (on est 100% MS). Une piéce jointe dans un email, un utilisateur distrait (sic!), et la moitié des fichiers sur les disques réseaux verrouillés (ceux auquel la personne avait accès).
Cela a été possible car le malware ciblait les machines MS, comme la très grande majorité de ses congénères.
Sur une machine linux, il n'aurait pas fait de dégâts. Mais il existe des équivalents qui fonctionnent sous linux (généralement multiplateforme), donc cela ne fait que réduire la probabilité d'apparition du risque, mais pas sa gravité.
Le fait de tourner sous linux n'ai pas une protection infaillible, il faut rester rigoureux (sauvegardes vérifiées, formation des utilisateurs, gestion fine des droits ...).

marcastro · 11 mai 2017, 14:05

Le fait de tourner sous linux n'ai pas une protection infaillible, il faut rester rigoureux (sauvegardes vérifiées, formation des utilisateurs, gestion fine des droits ...).

oui je comprends bien; formation des gens , installation informatique et softwares faites par des pros; ce qui m'inquiète le plus chez M$ c'est que le système de fichiers ntfs ne gère pas les droits des fichiers et même pour moi qui ne suis pas du tout un pro de la chose informatique je trouve ça vraiment dangereux.

11 mai 2017, 15:52

les serveurs du boulot sous sous unix il me semble. Mais si le système de l'utilisateur infecté a les droits d'écriture sur un répertoire du serveur, le système de fichier sur lequel est ce répertoire n'a pas d'importance.
Ce qui est important, c'est de ne donner que les droits strictement nécessaires.
Le systeme de fichier peut avoir de l'importance pour les sauvegrdes par exemple (snapshots, sauvegardes à chaud, journalisation ...).

Junichirô · 12 mai 2017, 22:48

http://tempsreel.nouvelobs.com/tech/201 ... appes.html

Rattrapés par l'info.

Grhim · 12 mai 2017, 22:53

effectivement , je regarde le traffic de flux internet mondiale online , le graphique est beau

et ils utilisent du matos de la nsa , surement a voir avec les Shadow Brokers
https://intel.malwaretech.com/botnet/wcrypt
http://thehackernews.com/2017/05/wannac ... nlock.html
https://francais.rt.com/international/3 ... e-frappent

14 mai 2017, 12:05

C'est grâce à la NSA la dernière vague Pishing/Ransomware...

La diffusion planétaire de WanaCryptor résulte de l’union d’un ransomware standard et des outils de hacking qui ont fuité de la NSA

NSA champions du monde...

14 mai 2017, 16:45

Faille dévoilée en avril, exploitée en mai ....
Le 0day est une réalité.
Si vous avez des machines sous windows, dépêchez vous de les patcher
https://blogs.technet.microsoft.com/msr ... t-attacks/

15 mai 2017, 09:05

Ils ont même sorti un patch pour XP !!! C'est pour dire que cette faille a du causer des soucis

15 mai 2017, 09:25

Et aussi pour windows server2003.
Un point n'est pas clair pour point. Le malware se propage via 2 vecteurs:
- piéce jointe infectée (action utilisateur requise)
- via protocole SMB (action automatique)

D'aprés le buletin de l'ansi du 13/05, les patches ne concernent pas l'infection via pièce jointe. Avez vous d'autres infos ?

15 mai 2017, 10:09

Je croyais que la première infection se faisait via pièce jointe et après infectait le réseau local via SMB … pour le contenue du patch je ne sais pas ce qu'il y a dedans.

15 mai 2017, 11:39

Mimoza, c'est bien ça.
J'ai repris les infos crosoft, et le patch ne concerne qui l'infection via SMB
https://technet.microsoft.com/en-us/lib ... 7-010.aspx

15 mai 2017, 19:20

lol a écrit : 14 mai 2017, 12:05NSA champions du monde...

Je pense que les 200.000 personnes infectées devraient porter plainte contre la NSA! Une action commune à 200.000, ça pèse lourd...

Tachyon · 15 mai 2017, 21:56

petite image

et une autre

15 mai 2017, 23:58

images invisibles...
De l'info sur cette attaque
https://www.troyhunt.com/everything-you ... ansomware/
Un systeme de vérouillage aussi facile à trouver sur un malware aussi évolué, c'est qu'il était destiné a être trouvé facilement ..
Je n'arrive pas à trouver le montant total payé sur les 3 wallets, mais à l'heure ou était écrit l'article, c'était dérisoire.
Ce qui confirme que le but premier de cette attaque n'est pas l'argent, du moins à court terme.

16 mai 2017, 01:05

Je ne pense pas, non plus.
Je suis surpris par le nombre d'entreprises atteintes, et de grosses entreprises ...
y'a tant de gens qui font si mal leur boulot ?!

16 mai 2017, 02:17

Bonjour

… y'a tant de gens qui font si mal leur boulot ?! …

Je ne crois pas que l'on puisse en déduire ça, car même si la très grande majorité sont compétents, il suffit qu'un seul maillon de la chaîne casse pour que tout le travail des autres soit à jeter.
Si ça se trouve, c'est un seul et même maillon de cette chaîne qui a cassé à chacun de ces endroits.
Dans cette chaîne, il y a aussi le matériel (qui n'est pas toujours choisi, pour ne pas dire "imposé"), même chose pour les outils,
la segmentation de l'organisation hiérarchique qui empêche de fait la transmission de l'information en la re-formattant à chaque étage,
et plein d'autres facteurs dont je n'ai même pas conscience (ou que je n'ose même pas envisager ou dire par auto censure)
Mais tout ce que je viens d'écrire est malheureusement tellement vague qu'il y en aura forcement une interprétation différente pour chacun.
Et puis, à la base, il y la source de cette information qui me rappelle toujours ce que disait un célèbre journaliste :
"L'information, c'est vous qui la vivez, c'est nous qui en vivons"

Ambrose Bierce a écrit :Interprète n. Individu qui permet à deux personnes de langues différentes de se comprendre mutuellement, en répétant à chacune ce qu'il aurait été intéressant pour l'interprète que l'autre eût déclaré.

16 mai 2017, 09:32

Je rappelle que le patch microsoft ne protége pas contre l'ouverture d'une PJ malveillante. Donc même si l'IT à fait son boulot, un utilisateur imprudent (pour rester poli) peux déclencher l'attaque. Il suffit d'une seule machine infectée pour bloquer des milliers de fichiers et faire du dégât.
Concernant les mises à jour, elles ne sont pas systématiques en entreprise. Beaucoup de logiciels métiers développés en interne risquent de ne plus fonctionner suite a une mise à jour (la qualité de ces logiciels est un autre débat).
Les SI y regardent donc à 2 fois, font des tests, avant de déployer une mise à jour.
et si ils tardent trop, ils se vont avoir par un malware mis sur le marché en un temps record.

16 mai 2017, 10:16

piratebab a écrit : 15 mai 2017, 23:58Je n'arrive pas à trouver le montant total payé sur les 3 wallets, mais à l'heure ou était écrit l'article, c'était dérisoire.

NXI a fait un bon article sur le sujet :
https://www.nextinpact.com/news/104278- ... uation.htm

Pour le wallet il y a un compte twitter de suivi

https://twitter.com/actual_ransom actuellement sa «cagnotte» ne monte qu'a presque 62.000$.