Horaire

Lun - Ven 8:00 - 17:30
Un mois plus tard, WannaCry frappe encore ! image by Freepik

Un mois plus tard, WannaCry frappe encore !

Read 250 times

Raphaël Fleury

mercredi, 22 février 2017 11:37
Rate this item
(0 votes)

Un mois après la première apparition de WannaCry, une usine Honda a été forcée à l’arrêt suite à une infection du ransomware. Si la propagation du programme a été contenue, des systèmes hors ligne non protégés sont toujours affectés..

Le constructeur automobile Honda a dû stopper lundi son usine de Sayama, au Japon. La cause de cette interruption ? WannaCry. Un mois après avoir fait les gros titres, le ransomware refait parler de lui. Reposant sur l’exploit NSA d’une faille Windows révélée par Shadow Brokers, le programme malveillant avait déjà frappé en mai les sites de Honda dans le monde entier.

Cette nouvelle attaque fin juin peut surprendre, la propagation de WannaCry ayant été arrêtée par la découverte d’un kill switch. Ce faisant, si le malware n’était pas détruit, il se trouvait bien incapable de se propager sur des systèmes connectés à Internet. Comment ce réseau de Honda a-t-il bien pu être infecté ? Voici la question à laquelle cherche à répondre plusieurs sociétés de sécurité.

WannaCry n’a frappé cette fois-ci qu’une unique usine. Malware Tech, découvreur du kill-switch, soulève deux hypothèses. WanaCryt0 a pu être introduit dans le réseau interne de l’usine par des laptops renfermant une version dormante du malware. Une fois connectés, ils ont servis de vecteur d’infection, le malware se répandant dans l’infra hors ligne du site. Sans accès Internet, ses requêtes au domaine kill switch restaient sans réponse, permettant sa propagation.
De la nécessité d’installer les correctifs

Autre théorie, les proxys. Le ransomware n’a pas été conçu pour les gérer. Si Honda utilise des proxys pour « filtrer » son trafic en interne, WannaCry s’est retrouvé incapable de sortir du réseau interne et donc d’envoyer sa requête au domaine du kill-switch. Il a donc pu poursuivre sa propagation sur l’infrastructure interne, chiffrant les terminaux Windows à sa portée.

Dans un cas comme dans l’autre, cette infection signifie surtout que Honda n’a pas patché ses systèmes Windows, laissant ouverte la vulnérabilité permettant à WannaCry d’infecter ses PC. Mais le constructeur japonais n’est certainement pas le seul : Malware Tech note que le domaine du kill switch reçoit encore 200 000 requêtes chaque jour.

Solugest.ch Sàrl

SOLUGEST.CH Sàrl est une société suisse active dans le domaine de l'informatique, du développement web et de la vidéosurveillance.

Newsletter

Inscription à notre newsletter

© 2017 Solugest.ch Sàrl - Tous droits réservés