COMPTOIR
  
register

Composé par ————— —— 23399 vues

WannaCry a encore frappé et c'est Honda qui morfle

À la mi-mai, le ransomware WannaCry a mis la toile en émoi et une claque au compte en banque de gros groupes. L'engin s'est servi d'une faille de Windows 7 pour venir chiffrer les données des machines infectées et réclamait un paiement en Bitcoin (qui allait en grimpant tous les trois jours, jusqu'à suppression des données au bout d'une semaine) pour obtenir la clef de déchiffrement.

 

Le genre de truc qui peut rendre triste Tata Suzanne lorsqu'elle perd ses photos de vacances à Bornéo, mais qui fait surtout mal à de grosses sociétés puisque les données valent dans ce cas là de l'argent, et même souvent de l'argent appartenant aux clients. Après le désastre, WannaCry a été étudié, la faille trouvée et tout a été corrigé (on a même eu un gros Tuesday Patch côté sécurité en juin). De quoi aider les services informatiques à dormir plus sereinement.

 

Manque de bol, ceux de chez Honda ont eu la surprise de découvrir lundi dernier que WannaCry avait infecté leur parc, se répandant rapidement dans leurs labos et usines du Japon, Amérique du Nord, Europe, Chine et autre, l'usine de Sayama (proche de Tokyo) ayant dû complètement stopper ses activités par sa faute. Un gros coup pour la firme, car il est ici affaire d'une chaine de montage qui sort 1000 voitures par jour. Cette dernière a repris son activité mardi et la firme disait la solution résolue mercredi, sans pour autant dire comment elle l'avait fait. Système de secours ? Paiement de la rançon ? Est-ce que WannaCry a évolué ou le parc informatique de Honda n'était pas à jour ? On n'en sait pour l'instant rien.

 

Après Nissan et Renault, c'est le troisième constructeur de véhicules à souffrir WannaCry ce mois et il semblerait que l'on n'ait malheureusement pas fini d'entendre ce nom. Quand on vous dit qu'il est plus lucratif pour un développeur de chercher à exploiter les failles plutôt que de les combler... (source : Reuters)

 

ryutaro nonomura crying

Un poil avant ?

Du gameplay pour Skull and Bones : entre Jack Sparrow et Assassin's Creed Black Flag

Un peu plus tard ...

Gamotron • L'Autriche, c'est chouette (ou hibou...)

Les 40 ragots
Les ragots sont actuellement
ouverts à tous, c'est open bar !
par Cristallix, le Vendredi 30 Juin 2017 à 15h00  
par vision84 de Rhone-Alpes, le Vendredi 30 Juin 2017 à 14h06
c'est le virus que microchiasse à lacher dans la nature pour pousser ls industriels à passé à win 10.. "le monde libre"
Ce qu'il ne faut pas lire ...
par vision84 de Rhone-Alpes, le Vendredi 30 Juin 2017 à 14h06  
c'est le virus que microchiasse à lacher dans la nature pour pousser ls industriels à passé à win 10.. "le monde libre"
par Un rat goth à l'heure embusqué, le Vendredi 30 Juin 2017 à 07h47  
par Mathieu G., le Dimanche 25 Juin 2017 à 11h32
Pour quelle raison ? C'est surement encore des OS pas à jour, et la faille vient surement d'un mongolien qui a ouvert un fichier zip/jpg/whatever reçu dans un mail "salut je suis bonne et voila ma photo".

Je t'assure que quand tu es en IT, tu peux faire ce que tu veux les utilisateurs n'écoutent rien, ils sont totalement débile tant que tu ne bloques pas tout.
C'est vrai, c'est la faute des utilisateurs si les OS sont en gruyère... J'y avais pas encore pensé à celle là.
par Un ragoteur macagneur de Bourgogne, le Mercredi 28 Juin 2017 à 10h00  
par fabtech, le Dimanche 25 Juin 2017 à 07h55
Comme je l'ai cité précédemment, même Linux n'est pas épargné, et ce n'est pas une petite rançon qui à été demandé il y a quelques jours de cela...
Haha! Sauf que pour tirer des tunes à un barbu binoclard qui fait tourner son OS sur un vieux core2duo et qui doit très probablement avoir de bonnes sauvegardes, faut se lever tôt ! haha !
par Un champion du monde d'Alsace, le Mardi 27 Juin 2017 à 11h57  
par Baba the Dw@rf feignasse de Antwerpen, le Mardi 27 Juin 2017 à 06h34
@Un #ragoteur déconnecté de Lorraine
..i.
Pour bloquer une usine, tu n'as pas besoin de bloquer le réseau, il suffit de bloquer les postes des utilisateurs. Si les gars ne peuvent plus accéder au planning de production et organiser les flux de matériel, c'est mort en quelques minutes. Et surtout, ça peut mettre des jours à redémarrer correctement,c.-à-d. sans ruptures d'approvisionnement, j'en sais quelque chose !
par Baba the Dw@rf feignasse de Antwerpen, le Mardi 27 Juin 2017 à 06h34  
@Un #ragoteur déconnecté de Lorraine
Le virus se propage librement dés qu'il est sur le réseau. Même si tu as sécurisé tout correctement tu ne peux le prévenir si le virus est tout récent et pas encore bien contré par les solutions de sécurités.

De la, il suffit souvent d'une petite portion des données pour bloquer l'activité d'une entreprises pendant plusieurs jours (tu choppe les 0.5% les plus récents et c'est des semaines de travail à la trappe jusqu'à la restauration, hors bien plus que ça seront chiffré ). Et en quelques heures voir quelques minutes une fois sur le réseau en journée, le virus aura choppé la plupart des utilisateurs windows.

De la suffit de savoir calculer pour estimer qu'un jour d'arrêt d'une usine comme celle de l'article c'est plus de 10 millions de $ de CA par jours... Alors je me doute que même si aucune garantie n'est donnée payer la rançon ne serai-ce que pour gagner potentiellement une journée avant remise en route de l'usine peut en valoir la peine.

Au final le problème n'est pas la perte de donnée pour l'entreprise, c'est l'entrave voir l'arrêt des activités courantes, causant une pertes de CA préjudiciable. Et ça même avec le meilleur système de sécurité on en est jamais à l'abri.
par Un #ragoteur déconnecté de Lorraine, le Lundi 26 Juin 2017 à 23h46  
par Baba the Dw@rf feignasse de Antwerpen, le Lundi 26 Juin 2017 à 06h26
Tu aura beau journalisé, si le serveur est accessible en écriture par un utilisateur windows (qui peut être un tec, un admin ou autre) il est potentiellement vulnérable.
Par définition, un serveur n'est jamais accessible par un "utilisateur" et rien n'y est exécuté sinon ses services, donc pour y coller un virus actif, il faudrait trouver une sacrée faille ou une négligence assez monumentale.

Un virus de ce genre peut effectivement crypter les données sur le serveur (si l'utilisateur dispose d'un espace de stockage dessus, le PC "client" étant du coup un terminal évolué ), mais ça ne pourra concerner que les données de l'utilisateur du poste infecté et si le serveur a sa sauvegarde incrémentale ça n'aura qu'une très faible incidence, même si ça déclenchera le branle-bas de combat.
par Un ragoteur de transit de Provence-Alpes-Cote d'Azur, le Lundi 26 Juin 2017 à 08h16  
par Un ragoteur goguenard d'Ile-de-France, le Dimanche 25 Juin 2017 à 12h28
Il ne s'agit pas de "tout redévelopper", mais simplement de migrer les machines de la ligne de front Internet (pare-feu, serveurs web, relais SMTP/POP3/IMAP, sas anti-virus, etc) vers des machines SELinux, proprement configurées. C'est tout à fait possible, même s'il est parfois pénible et long de convaincre des décideurs trop timorés ou trop béotiens pour comprendre l'urgence de se retirer les doigts du troufignon...

N'importe quoi ! WannaCry cible une vulnérabilité d'une DLL Windows pour injecter via SMB un code uniquement exécutable par Windows: Linux est totalement immunisé. Si votre admin réseau est trop con pour laisser passer des requêtes SMB en provenance d'Internet ou pour installer un antivirus sur le proxy POP3/IMAP de votre entreprise, alors virez-le immédiatement !
- Heu SeLinux n'est pas un OS ! et un système non mis à jour sous linux, windows,bsd,osx reste un système vulnérable aux attaques (même bien configuré )
- Et installer un antivirus sur un proxy pop3/imap c'est bien loin de sécuriser la partie "mail" ....
par Samsara69, le Lundi 26 Juin 2017 à 08h00  
par Baba the Dw@rf feignasse de Antwerpen, le Lundi 26 Juin 2017 à 06h26
c'est que aucun système n'est invulnérable et la seul faute que je vois c'est de ne pas avoir prit des contre-mesure après la découverte du virus
Pourtant il suffit d'avoir une sauvegarde journalisée sur un HDD externe (300 € le 8To) qui est débranché une fois faites, rebranché en fin de journée pour effectuer une sauvegarde journalisée ,et ainsi de suite.
Et si tu es un peu sérieux tu te procures un copieur de HDD pour 40 € http://www.ldlc.com/fiche/PB00184700.html pour cloner ce HDD chaque semaine.
En clair pour 650 € tu as une sauvegarde de 8To et son clone.
C'est peut-être trop cher et/ou trop compliqué ?
par Baba the Dw@rf feignasse de Antwerpen, le Lundi 26 Juin 2017 à 06h26  
par Un #ragoteur déconnecté de Lorraine, le Lundi 26 Juin 2017 à 00h13
Par quel miracle? Ce qui est sur le serveur est pris en charge par le serveur, et ses sauvegardes sont versionnées, donc au pire tu récupères la version de la veille du réveil du virus... si le serveur lui-même est vulnérable, c'est vraiment un problème d'admin.
Tu aura beau journalisé, si le serveur est accessible en écriture par un utilisateur windows (qui peut être un tec, un admin ou autre) il est potentiellement vulnérable.

Même chose pour ceux qui dise que faut être con pour donner les droits admin, pas besoin de ça les gars. Dans une boite de développement logiciel la plupart des devs auront un accès à tout ou partie du code. Maintenant si les serveurs de versioning sont sur Linux on est safe dans le cas de wannacry tant qu'il ne mute pas pour exploiter svn/git (parce que la suffit que le mot de passe soit sauvé en local, même chiffré, pour avoir accès au repo).

Ce que j'adore avec les réactions type "ils se sont mal protégé c'est leur faute" c'est que aucun système n'est invulnérable et la seul faute que je vois c'est de ne pas avoir prit des contre-mesure après la découverte du virus (même XP a été patché...), pour le reste la sécurité est toujours un compromis entre le coût des contre-mesures et les risques résiduels qu'on accepte de prendre sur soit après leur application.
par Un #ragoteur déconnecté de Lorraine, le Lundi 26 Juin 2017 à 00h13  
par Un champion du monde de Picardie, le Dimanche 25 Juin 2017 à 09h43
Si tu as une politique de sauvegarde quotidienne il est probable que wanna cry fasse un carnage, tu auras pleins de sauvegarde quotidienne... chiffrée.
Par quel miracle? Ce qui est sur le serveur est pris en charge par le serveur, et ses sauvegardes sont versionnées, donc au pire tu récupères la version de la veille du réveil du virus... si le serveur lui-même est vulnérable, c'est vraiment un problème d'admin.
par El Gringo, le Dimanche 25 Juin 2017 à 21h40  
Chez HONDA, le patron que l'on nomme à la cafète: "Yamamotokipete" chante: "Aujourd'hui j'ai le blues car j'ai perdu du flouze..." (ad lib) Banzaiiiiiiiiiiii!!!!!