Un simple lien permet de faire planter les PC Windows 7 et 8.1

Un bug du NTFS exploitable depuis le web met à genoux les PC Windows. Windows 10 est épargné, mais Windows 7 et 8.1 devront être corrigés.

À l’époque de Windows 95 et Windows 98, un bug permettait de faire planter un PC via un simple document au nom non supporté par le système de fichiers. Il suffisait pour cela d’accéder à certains périphériques, représentés par un nom de fichier virtuel.

Aussi incroyable que cela paraisse, un bug similaire existe dans Windows 7 et Windows 8.1, dévoile Ars Technica. Tenter d’accéder au fichier « c:\$MFT\123 » bloque complètement le système de fichiers NTFS. La MFT n’est pas en principe accessible directement, mais en la traitant comme un dossier, son accès est totalement bloqué. Tout le système se trouve alors figé, ne pouvant plus accéder aux données de la partition NTFS concernée. Seule solution : redémarrer la machine.

Cette faille est exploitable depuis Internet. Des adresses du type « file:///c:/$MFT/123 » sont une des techniques qui devraient être en mesure de faire planter un ordinateur Windows 7 / 8.1 à distance d’un simple clic de l’utilisateur sur un lien. Ce qui était un simple bug devient alors une faille de sécurité à part entière.

En attente d’un correctif de la part de Microsoft

Ce bug étonnant par sa simplicité et ses effets délétères devrait en toute logique être corrigé rapidement sur les systèmes d’exploitation concernés. Windows 10 semble pour sa part être à l’abri de ce type d’attaque.

La facture salée que le GDPR prépare aux entreprises

Selon Sia Partners, le coût de la mise en conformité du GDPR en mai 2018 s’élève en moyenne à 30 millions d’euros par entreprise.

Le 25 mai 2018, les entreprises devront appliquer le GDPR, le règlement européen sur la protection des données. Cette loi unique à l’échelle des pays de l’Union européenne en matière de protection des données personnelles de citoyens (qui disposeront alors de plus de contrôles) entrainera de nouvelles obligations et contraintes pour les entreprises européennes comme non européennes qui seront toutes soumises au même règlement. Elles devront s’assurer de la sécurisation des données, par la « pseudonymisation » et leur chiffrement, et en assurer la confidentialité et l’intégrité, notamment.

En cas de défaillance ou d’attaque, les organisations devront en alerter les autorités compétentes dans les 72 heures après avoir pris connaissance de l’incident (une attaque informatique, une fuite de données, par exemple). Mais aussi les personnes directement concernées (un vol de numéro de carte bancaire…) si les données sont exploitables (non chiffrées en l’occurrence).

Les organisations seront entièrement responsables de la chaîne de traitement des données et, à ce titre, devront s’assurer de la garantie apportée par les sous-traitants et leurs éventuels fournisseurs. Les entreprises de plus de 250 salariés devront également tenir un registre des activités de traitement effectué. Cela implique la nomination d’un délégué à la protection des données (DPO) pour les firmes traitant de grandes quantités de données (ou ayant de nombreux clients consommateurs).

Une conformité à 30 millions d’euros

Les organisations qui ne se mettront pas en conformité avec le GDPR prendront le risque de s’exposer à une amende de 20 millions d’euros ou 4% de leur chiffre d’affaires annuel mondial. La protection des données n’est plus seulement technique, elle fait intervenir la gestion du risque.

Une gestion coûteuse que le cabinet Sia Partners évalue à 30 millions d’euros en moyenne pour un groupe du CAC40, selon des chiffres rapportés par Les Echos. Avec d’énormes disparités selon les secteurs. Pour les banques et assurances, la facture pourrait s’élever à 100 millions d’euros en moyenne et 35 millions pour les autres entreprises s’adressant aux consommateurs. Celle des fournisseurs des organisations se limitera à 11 millions.

Un coût justifié par la mise à niveau des systèmes informatiques laquelle s’élèverait jusqu’aux deux-tiers du coût de l’application du nouveau règlement, selon le cabinet de conseil en gestion qui a appuyé son étude sur une série d’entretiens de responsables, de données publiques et de missions réalisées par ses consultants. Aux frais propres à l’IT s’ajoutent le recensement des données concernées et l’analyse des risques liés, ainsi que la désignation d’un DPO et organiser les équipes et structures en conséquence.

75% des entreprises non prêtes

Un chantier important, voire colossal pour les organisations qui ne disposent pas nécessairement de la culture des mises en conformité. Et elles sont nombreuses à appréhender les difficultés de mise en œuvre du nouveau règlement. Selon une étude du Ponemon Institute menée pour Citrix auprès de 4 000 professionnels de l’informatique et de la sécurité, 74% d’entre eux déclarent que le GDPR aura un impact significatif et négatif sur leurs opérations commerciales. Et si 67% des répondants sont conscients de l’arrivée du règlement européen, seulement la moitié commence à s’y préparer.

Des chiffres corroborés par une autre étude réalisée par Vanson Bourne pour l’éditeur de solutions de sécurité Varonis. Selon les 500 décideurs informatiques interrogés au Royaume-Uni, en Allemagne, en France et en Amérique du Nord, 75% des entreprises rencontreront des difficultés à se préparer pour l’échéance de mai 2018 (74% pour les entreprises françaises). Et parmi les 58% des organisations qui déclarent avoir procédé à une évaluation ou un audit pour identifier les personnes ayant accès aux données en interne, 69% reconnaissent avoir identifié au moins un cas d’accès trop permissif aux informations d’identification personnelle. Enfin, 55% avouent avoir des difficultés à pouvoir appliquer le « droit à l’oubli » (article 17 du GDPR).

Selon Varonis, ce sont les entreprises du secteur public qui risquent d’avoir le plus de mal à se conformer à la nouvelle réglementation. Seules 26% disposent d’un budget dédié contre 41% dans le secteur privé. « La conclusion la plus inquiétante est qu’une entreprise sur quatre ignore où résident ses données sensibles  », déclare Christophe Badot, directeur général France de Varonis.

WannaCry : seulement trois antivirus protègent de l’exploit EternalBlue

Prompts à clamer qu’ils bloquent WannaCry, les éditeurs d’antivirus oublient de mentionner qu’ils ne détectent pas, à trois exceptions près, l’exploit EternalBlue. Or, c’est celui-ci qui risque d’être réutilisé par de nouvelles menaces.

Depuis la crise WannaCry, qui s’est déclenchée voici une semaine et s’est traduite par l’infection de centaines de milliers de systèmes, les éditeurs d’antivirus n’hésitent pas à clamer que leurs outils arrêtent tous la menace. Un test monté par MRG Effitas, une entreprise anglaise spécialisée dans la recherche en sécurité informatique (MRG signifiant Malware Research Group), montre que la réalité est un peu plus contrastée.

EsetEn testant la capacité des logiciels de protection grand public (avec leurs paramétrages par défaut) à détecter l’exploit EternalBlue, mis à profit par WannaCry pour se diffuser, MRG Effitas établit que seuls trois produits stoppent le code de la NSA récupéré par les auteurs du ransomware : Eset Smart Security, F-Secure Safe et Kaspersky Internet Security. « Deux de ces produits utilisent le filtrage réseau pour détecter cet exploit et le bloquer avant son exécution au niveau du noyau », écrit MRG Effitas, qui précise que ce mode de détection pourrait être contourné en masquant la signature de l’exploit.

11 antivirus échouent

Neuf autres antivirus familiaux, une solution de protection dite de nouvelle génération et un EDR (Endpoint Detection and Response) échouent à protéger ou à alerter leurs utilisateurs. La société anglaise ne dévoilent pas les noms des éditeurs concernés, officiellement pour leur laisser le temps de patcher leurs produits. Signalons tout de même qu’EternalBlue a été officiellement dévoilé début avril par les Shadow Brokers, ce groupe de pirates qui a exfiltré un grand nombre d’outils de hacking de la NSA. Voir la plupart des outils de protection des terminaux échouer à repousser EternalBlue, probablement l’exploit dont la nocivité apparaissait la plus évidente parmi les outils alors mis en ligne, plus d’un mois après n’est tout de même pas très glorieux.

« Tous les fournisseurs prétendent protéger leurs utilisateurs contre Wannacry et certains contre EternalBlue. Mais se prémunir contre la charge utile ne signifie pas que les utilisateurs soient entièrement protégés contre les codes malveillants fonctionnant en mode kernel », analyse EternalBlue. Une remarque d’autant plus valide que, si l’infection WannaCry est désormais sur le déclin, l’exploit issu de la NSA ciblant le protocole SMB est lui déjà récupéré par d’autres menaces (comme le mineur de crypto-monnaie Adylkuzz et le ransomware Uiwix) et a de fortes probabilités de connaître une assez longue carrière parmi les groupes de cybercriminels.

La parade n’existe pas pour contrer les futures affaires WannaCry

WannaCry aurait fait plus de 200 000 victimes. Il est boosté par une faille de Windows. Mais même sans elle, il peut encore faire des dégâts.

L’attaque WannaCry fait grand bruit. Au dernier décompte, plus de 200 000 personnes ou entreprises auraient été touchées par ce ransomware. Un « kill switch » a été repéré dans la version initiale du malware. Procédé bien évidemment retiré des dernières moutures en circulation.

La particularité de cette offre est d’être capable de se diffuser via les partages Windows, sans qu’il soit nécessaire de l’exécuter sur chacun des postes. Cette faille avait été précédemment corrigée par Microsoft, y compris sous Windows XP (voir ce lien du site de la firme).

Reste que si ce correctif stoppe la diffusion automatique du malware sur le réseau de l’entreprise, il n’empêchera en rien l’infection d’une machine isolée. Au vu du volume de mails infectés reçus par les professionnels à leur travail, le phénomène WannaCry est donc loin de s’éteindre.

Fausse polémique contre vrai problème

Microsoft s’est récemment plaint du fait que les services de renseignement gardaient secrètes les vulnérabilités qu’ils trouvaient, au lieu de les partager avec les éditeurs de logiciels. Certes, c’est grâce à ceci que l’attaque WannaCry a pu être menée. Mais il convient de rester logique : même si les agences de renseignements se mettaient à partager leurs découvertes en matière de sécurité informatique, les pirates restent capables de trouver des failles… et seront peu prompts à en avertir les éditeurs.

Second souci, ce type de malware peut également prendre la forme d’une application légitime, du point de vue de l’OS et de ses outils de sécurité. Rappelons en effet que les ransomwares se bornent à manipuler les fichiers présents dans le compte de l’utilisateur. Certaines entreprises vont ainsi découvrir ce lundi qu’elles ne sauraient passer à côté d’une stratégie de protection des données. Par sauvegarde, chiffrement et vérification d’intégrité.