Comme vous avez pu le voir ou l'entendre dans les médias, une cyberattaque massive a eu lieu ce weekend. Le Cryptolocker Wannacry utilise une faille de sécurité Microsoft et a touché de nombreuses entreprises, des hôpitaux et administrations.
La source initiale d’infection est probablement un courriel accompagnée d’une pièce jointe malveillante et se propage depuis les postes de de travail et affecte les données sur les serveurs auxquels vous avez accès.
Vous devez donc, comme à chaque instant, être vigilant, notamment sur l'usage de la messagerie. Portez attention, à chaque ouverture de mail. Portez attention sur l'usage général de votre poste de travail. Ne téléchargez pas, ne consultez pas ou ne copiez pas n'importe quoi, n'importe où et n'importe comment. Contrôlez, grâce à un antivirus, les médias amovibles (Clés USB, Disques USB etc...).
Il est important de contrôler que tous vos postes informatiques soient à jour et que vous ayez un logiciel de protection actif et à jour.
Les environnements vulnérables sont les systèmes d’exploitation Windows en réseau n’ayant pas installés le correctif proposé par Microsoft ou encore les versions Windows XP, Windows Server 2003, Windows 8, Windows Vista, Windows Server 2008, WES09 et POSReady 2009) . Microsoft a publié exceptionnellement une mise à jour pour les postes avec Windows XP.
Le centre gouvernemental de veille (CERT-FR) et l'Agence nationale de la sécurité des systèmes d'information (ANSSI) ont émis des recommandations et des mesures réactives:
Recommandations de sécurité
- l’application immédiate des mises à jour de sécurité permettant de corriger les failles exploitées pour la propagation (MS17-010 pour les systèmes maintenus par l’éditeur).
- de limiter l’exposition du service de partage de fichiers sur Internet.
- De manière préventive, s’il n’est pas possible de mettre à jour un serveur, il est recommandé de l’isoler, voire de l’éteindre le temps d’appliquer les mesures nécessaires.
- En complément, le CERT-FR recommande la mise à jour des bases de signatures d’anti-virus.
En cas d’incident – Mesures réactives
Si le code malveillant est découvert sur vos systèmes :
- déconnectez immédiatement du réseau les équipements identifiés comme compromis. L’objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés.
- alertez le responsable sécurité, le service informatique ou votre prestataire au plus tôt.
- sauvegardez les fichiers importants sur des supports amovibles isolés. Ces fichiers peuvent être altérés ou encore être infectés. Il convient donc de les traiter comme tels. De plus, les sauvegardes antérieures doivent être préservées d’écrasement par des sauvegardes plus récentes.
- ne payez pas la rançon. Le paiement ne garantit en rien le déchiffrement de vos données et peut compromettre le moyen de paiement utilisé (notamment carte bancaire).
Informations complémentaires:
- http://cert.ssi.gouv.fr/site/CERTFR-2017-ALE-010/index.html
- https://www.ssi.gouv.fr/actualite/alerte-campagne-de-rancongiciel-2/
- https://www.ssi.gouv.fr/entreprise/precautions-elementaires/5-reflexes-a-avoir-lors-de-la-reception-dun-courriel/
- https://www.nomoreransom.org/fr/prevention-advice.html
Nous vous rappelons également que le CDG 47 propose des solutions en matière de sécurité des systèmes d’information (antivirus, sauvegarde de vos bases de données, etc.). Ces outils permettent d’assurer la récupération de vos données en cas de défaillance de votre système informatique.
Les agents en charge de ce service se tiennent à votre disposition pour toute demande d’informations:
- Yannick Campredon (yannick.campredon@cdg47.fr ) - 05.53.48.98.12
- Vincent Fontaine (vincent.fontaine@cdg47.fr ) - 05.53.48.98.12
