Texte sur bandeau
sur bandeau ligne 2

Wannacry (aka préparez vos mouchoirs)

Détails sur la gestion de l'événement "Wannacry" sur l'Université

En préambule, voici la communication officielle du Ministère rappelant les règles de vigilance en cas d'attaque informatique :

Touchons du bois : pour l'instant le "ver rançongiciel" connu sous le nom de Wannacry (ou Wannacryptor), qui a commencé sa propagation mondiale le vendredi 12 mai 2017, n'a pas fait de victime déclarée dans notre Université.

Les causes probables sont :

  • la faible persistence de postes de travail ou serveurs fonctionnant sous les "vieux" systèmes de Microsoft (Windows XP ou Windows 2003),
  • la vigilance des administrateurs systèmes gérant encore ce type de machines (dont, rappellons-le, Microsoft n'assure plus les mises à jour, sauf, exceptionnellement pour corriger la vulnérabilité MS17-010 exploitée par Wannacry pour sa réplication via les réseaux),
  • la présence non négligeable de postes de travail Linux ou MacOS.

Ce n'est néanmoins pas une raison pour relâcher notre vigilance, pour deux raisons :

  • les prochains jours/mois/années verront s'accroitre ce type d'attaque ; autant s'y préparer...,
  • des machines ont peut-être été "piégées" sans symptôme apparent, et pourraient servir de vecteur d'attaque dans un futur plus ou moins proche.

Nous avons donc jugé utile une petite piqure de rappel auprès de tous les personnels de l'Université, en envoyant un courriel de (re)sensibilisation dont voici la teneur :

Sujet : [lille1] Risque important de progagation du virus informatique "Wannacry"
Date : Tue, 16 May 2017 16:01:25 +0200

Chers collègues,

Vous n'êtes pas sans savoir que depuis le vendredi 12 mai 2017, un virus informatique particulièrement destructeur se répand très rapidement et mondialement.

Le virus a été nommé "Wannacry" ; il est de la catégorie des "rançongiciels", car il crypte de façon irréversible toutes les données présentes sur les ordinateurs qu'il infecte.

Le virus s'introduit dans un réseau informatique par l'intermédiaire de courriels malveillants, puis se multiplie automatiquement dans ce réseau, ce qui augmente très fortement sa nuisance.

*Considérant la dangerosité de ce virus et son extrême virulence*, nous vous demandons, une fois de plus d'être *très vigilants lors de consultation de vos mails* :

- Ne répondez pas à des mails d’appel à l’aide, des impôts, de votre banque, ou de gains.
- Ne téléchargez jamais une pièce jointe (facture, bon de livraison,...) présente dans un mail dès qu'il vous parait suspect (même si vous connaissez l’émetteur). En cas de doute demandez confirmation à l'émetteur par un autre canal (téléphone, SMS).
- De la même façon, ne cliquez pas sur des liens Internet depuis des messages au contenu est douteux. Le simple fait de cliquer sur un lien, pourrait permettre au virus de s’installer sur votre machine.
- Ne communiquez, ni ne prêtez jamais vos codes d’accès utilisateurs, y compris à un pseudo "service informatique en ligne".

*D'autre part, si votre ordinateur est infecté, débranchez-le immédiatement du réseau (ou mettez le hors-tension)*.

En cas de doute, ou pour des informations complémentaires, veuillez-vous adresser à vos informaticiens de proximité qui sont bien au courant de l'événement, ou aux Responsables de la Sécurité des Systèmes
d'Information (rssi.univ-lille.fr).

Nous vous remercions pour votre implication dans la démarche continue de sécurisation du Système d'Information et pour votre compréhension.

Pour les informaticiens gestionnaires de parcs et correspondants SSI, voici les informations plus techniques qui leur ont été communiquées dès lundi matin :

Sujet : Campagne ransomware "wanacryptor"- compléments
Date :     Mon, 15 May 2017 08:52:32 +0200

Bonjour,

Si vous avez suivi l'actualité ce WE, vous aurez déjà entendu parler d'une propagation assez rapide du "rançongiciel" Wannacry.

Vous trouverez ci-dessous le mail le plus complet que nous avons reçu à ce sujet, et je me permets d'ajouter quelques commentaires :

Ce rançongiciel "Wannacry" s'introduit dans une organisation par l'intermédiaire d'une pièce-jointe de courrier électronique, puis poursuit sa propagation via les "partages réseaux" en utilisant en faille du système Windows, ou plus précisément, du service de partage de ficher SMBV1 qui est obsolète depuis longtemps, mais qui est malheureusement encore activé (ça rappelle les failles SSL).

Pour s'en protéger, on ne peut que répéter les conseils
habituels :

1) Assurez-vous que les "Windows Update" les plus récents sont appliqués ; notez que pour la faille Windows concernée par cette infection (MS17-010), un correctif est également disponible pour les systèmes obsolètes Windows XP et Windows 2003 Server !

2) toujours se méfier à priori des pièce-jointes, quelque soit l'expéditeur, même des plus apparemment inoffensives (DOCX, DOCM, XLSX, SLSM bien évidemment, mais aussi PDF...)

3) disposer de sauvegardes à jour (vérifier ou faite vérifier ce point !)

4) si votre poste est "vérolé", le déconnecter    immédiatement du réseau

Concernant plus spécifiquement cette infection "Wannacry", les administrateurs de systèmes informatique doivent suivre les recommandations consistant à invalider le protocole SMBV1 sur les clients et serveurs Windows.  Le document le plus complet à ce sujet est celui de Microsoft, que je vous conseille de lire en anglais (la version française est mal traduite) :https://support.microsoft.com/fr-fr/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012

Merci de relayer cette information à vos utilisateurs, en reprenant au moins les 4 "conseils" ci-dessus.

Je vous transmettrai d'autres informations si nécessaire, mais l'urgence nécessitait au minimum ce mail..

-------- Message transféré --------

Sujet : Campagne ransomware "wanacryptor"- compléments
Date :     Sat, 13 May 2017 15:25:12 +0000
De :     RSSI CNRS

Bonjour à tous.Il me semble utile de revenir sur la campagne de diffusion du rançongiciel (ransomware) baptisé « WanaCrypt0r » (lien (0)) qui a fait l’objet de la dernière alerte CERTFR-2017-ALE-010 récemment relayée auprès de vous. Ce malware utilise pour se répandre la faille Microsoft SMBv1 décrite dans le bulletin MS17-010 (1).

* Mesures de première urgence (en prévision de la reprise d’activité de lundi matin) à appliquer dès que possible :

-Priorité 1 : s’assurer dès maintenant, par tout moyen de communication à votre disposition, que vos utilisateurs sont informés de l’existence du risque, et rappeler les consignes d’usage de la messagerie, en particulier de la vigilance accrue sur l’ouverture de pièces jointes (des vidéos pédagogiques sont à disposition sur ce lien (2)). Certains utilisateurs sensibles peuvent nécessiter un accompagnement personnalisé
(gestionnaires, directions d’unités, secrétariats généraux…).

-Priorité 2 : s’assurer de l’application de la mise à jour visée par le bulletin MS17-010 datant de mars dernier sur l’ensemble de votre parc.

-Priorité 3 : s’assurer de la disponibilité et de la possibilité de restaurer les sauvegardes des données sensibles de l’unité [...]

* Mesures de limitation de l’exposition au risque de diffusion du
code malveillant à appliquer très rapidement :

-Priorité 1 : Mettre à jour les systèmes d’exploitation de  son parc (serveurs, postes de travail). Si le système utilisé  n’est plus supporté par Microsoft, [...] il doit être mis  à jour vers une version supportée, et si cette action  s’avère impossible, le système doit être confiné dans  un réseau isolé.

-Priorité 2 : Vérifier que les ports SMB/CIFS sont fermés sur les équipements de filtrage en périphérie du réseau de l’unité (en collaboration avec le partenaire hébergeur si nécessaire).

-Priorité 3 : Désactiver sur les systèmes le support du protocole SMBv1 (si tous les clients de votre réseau peuvent utiliser SMBv2 ou v3) (lien (4)).

Actions en cas d’infection :

-Déconnectez immédiatement le poste infecté du réseau de l’unité. Ne tentez en aucun cas de payer la rançon demandée.

-Alertez immédiatement votre correspondant SSI [...] et déclarez
 l’incident [...]

Vous êtes autorisés à relayer ce message à nos partenaires.

[...]

Bien cordialement,

RSSI CNRS.

Liens :

(0)    www.lefigaro.fr/secteur/high-tech/2017/05/12/32001-20170512ARTFIG00261-de-grandes-entreprises-espagnoles-victimes-d-un-rancongiciel.php


(1)    technet.microsoft.com/fr-fr/library/security/ms17-010.aspx


(2)    www.ods.cnrs.fr/messagerie.php


(3)    www.ods.cnrs.fr/my_core.php


(4)    support.microsoft.com/fr-fr/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012