Obtenez Avast One pour iPhone pour aider à bloquer les pirates et les malwares
- Sécurité
- Confidentialité
- Performances
Connu comme l’exploit le plus durable et le plus nuisible de tous les temps, EternalBlue est la cyberattaque cauchemardesque qui refuse de disparaître. Découvrez ce qu’est EternalBlue, comment cet outil de piratage a été divulgué et pour quelle raison la NSA (National Security Agency) américaine l’a développé. Découvrez ensuite comment vous protéger face aux exploits à l’aide d’une application de cybersécurité primée.
EternalBlue est à la fois le nom donné à une série de vulnérabilités logicielles de Microsoft et à l’exploit créé par la NSA en tant qu’outil de cyberattaque. Bien que l’exploit EternalBlue – officiellement nommé MS17-010 par Microsoft – n’affecte que les systèmes d’exploitation Windows, tout ce qui utilise le protocole de partage de fichiers SMBv1 (Server Message Block version 1) risque techniquement d’être la cible de ransomwares et autres cyberattaques.
Cette article contient :
Vous vous demandez peut-être qui a bien pu créer EternalBlue ? Les origines de la faille de sécurité du protocole SMB rassemblent tous les éléments d’une histoire d’espionnage : de dangereux outils de piratage de la NSA ont été divulgués, un groupe célèbre appelé Shadow Brokers traque les vulnérabilités et expositions courantes (Common Vulnerabilities and Exposures ou « CVE »), et un système d’exploitation extrêmement populaire est utilisé par des particuliers, des gouvernements et des entreprises du monde entier.
Selon les déclarations accusatrices de Microsoft, EternalBlue a été développé par la National Security Agency (NSA) des États-Unis dans le cadre de son programme controversé qui consistait à stocker et exploiter des failles de cybersécurité, au lieu de les signaler au fournisseur approprié.
Avant qu’il ne soit divulgué, EternalBlue était l’un des exploits les plus utiles de l’arsenal cybernétique de la NSA... utilisé dans d’innombrables missions de collecte de renseignements et de lutte contre le terrorisme.
–New York Times
La NSA aurait passé près d’un an à chercher un bug dans le logiciel de Microsoft. Une fois qu’elle l’a trouvé, la NSA a développé EternalBlue pour exploiter sa vulnérabilité. La NSA a utilisé EternalBlue pendant cinq ans avant d’informer Microsoft de son existence.
Depuis, Microsoft a demandé à la NSA et à d’autres organismes gouvernementaux de soutenir l’établissement d’une Convention de Genève du numérique, qui viserait à mettre fin au stockage des vulnérabilités logicielles par les gouvernements.
C’est ici que l’affaire se complique : la NSA se fait pirater et diffuse involontairement la menace éternelle d’EternalBlue au niveau mondial. On sait peu de choses, officiellement, sur la façon dont la NSA a été piratée, mais voici ce que nous savons sur la façon dont EternalBlue a été divulgué.
Shadow Brokers, le désormais célèbre groupe de hackers, est parvenu à accéder au code EternalBlue et a diffusé l’outil de piratage de la NSA le 14 avril 2014 via un lien publié sur son compte Twitter. Ce n’était pas le premier « coup d’éclat » des pirates de Shadow Brokers, puisque c’était la cinquième fois qu’ils divulguaient des exploits et des failles de sécurité sensibles en ligne. Cette publication particulière, intitulée « Lost in Translation », incluait l’exploit EternalBlue visant les systèmes d’exploitation Windows.
La NSA a découvert une faille de sécurité dans le système d’exploitation Windows et a créé l’exploit EternalBlue, qui a ensuite été volé et divulgué par le groupe de hackers Shadow Brokers.
Le 14 mars 2017, soit exactement un mois avant la diffusion par le groupe Shadow Brokers, Microsoft a publié le Bulletin de sécurité MS17-010. La chronologie suggère que Microsoft avait été informé du vol de données dont avait été victime la NSA et que l’entreprise s’est empressée de faire tout son possible pour protéger les millions de systèmes Windows vulnérables.
Le correctif MS17-010 a été conçu pour corriger les failles du protocole SMBv1 pour tous les systèmes d’exploitation Windows pris en charge, notamment Windows Vista, Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012 et Windows Server 2016. Microsoft a également désactivé automatiquement le protocole SMBv1 dans les dernières versions de Windows 10 et de Windows Server 2012 et 2016 par défaut.
En outre, dans un geste sans précédent pour démontrer la gravité de l’exploit EternalBlue, Microsoft a publié un deuxième correctif d’urgence pour les systèmes d’exploitation non pris en charge après que la fuite a été rendue publique. Cette deuxième version prenait en charge Windows XP, Windows 8 et Windows Server 2003.
L’exploit EternalBlue fonctionne en tirant parti des vulnérabilités du protocole SMBv1 présentes dans les anciennes versions des systèmes d’exploitation Microsoft. Le protocole SMBv1 a été développé au début de l’année 1983 en tant que protocole de communication réseau pour permettre l’accès partagé aux fichiers, aux imprimantes et aux ports. Il s’agissait essentiellement de permettre aux machines Windows de communiquer entre elles et avec d’autres périphériques pour des services à distance.
EternalBlue exploite les vulnérabilités du protocole SMBv1 pour insérer des paquets de données malveillants et diffuser des malwares sur le réseau.
L’exploit utilise la façon dont Microsoft Windows traite, ou plutôt maltraite, les paquets spécialement conçus par des pirates informatiques. Il suffit aux pirates d’envoyer un paquet spécialement conçu au serveur cible et... boum ! le malware se propage et la cyberattaque est lancée.
Le numéro CVE d’EternalBlue dans la National Vulnerability Database est le CVE-2017-0144.
Le correctif de Microsoft corrige totalement la faille de sécurité, et déjoue donc toute tentative de déploiement de ransomware, de malware, de cryptojacking ou toute autre tentative d’infiltration numérique sous la forme d’un ver informatique utilisant l’exploit EternalBlue. Mais un problème majeur demeure : pour de nombreuses versions de Windows, la mise à jour logicielle doit être installée pour assurer la protection
C’est ce problème clé qui donne à EternalBlue une si longue durée de vie : de nombreux utilisateurs, et même des entreprises, oublient de mettre à jour leur logiciel régulièrement, si bien que la faille de leur système d’exploitation n’est pas corrigée et celui-ci reste donc vulnérable à EternalBlue ainsi qu’à d’autres attaques. À ce jour, le nombre de systèmes Windows vulnérables non corrigés se compte en millions.
EternalBlue a notamment été utilisé pour diffuser les fameux ransomwares WannaCry et Petya. Mais l’exploit peut être utilisé pour déployer tout type de cyberattaque, y compris le cryptojacking et les logiciels malveillants de type ver informatique. Le piratage de la NSA a permis à n’importe pirate d’envoyer un paquet malveillant à un serveur vulnérable n’ayant pas appliqué le correctif pour la faille CVE-2017-0144.
Le nom parle de lui-même. WannaCry est le nom d’une attaque par ransomware déployée au niveau mondial, et qui a été rendue possible grâce à l’exploit EternalBlue. Comme vous pouvez le constater, même les hackers ont de l’humour.
La cyberattaque WannaCry a commencé le 12 mai 2017, et a immédiatement pris des proportions mondiales. Le ransomware s’est propagé à un rythme de 10 000 appareils par heure, infectant plus de 230 000 PC Windows dans 150 pays en une seule journée.
Bien qu’aucune cible spécifique n’ait été visée, certains grands noms et entités ont été touchés, notamment FedEx, l’Université de Montréal, LATAM Airlines, Deutsche Bahn et, surtout, le National Health Service (NHS) au Royaume-Uni. Le NHS a signalé que des milliers de rendez-vous et d’opérations avaient été annulés et que les patients avaient dû se rendre plus loin dans les service des accidents et des urgences suite à la faille de sécurité.
Petya est une autre cyberattaque par ransomware qui a utilisé le code EternalBlue pour provoquer le chaos.
Techniquement, l’attaque Petya a été lancée début 2016, avant WannaCry, mais sans faire trop de bruit, ni de dégâts. La première version de Petya s’est propagée via la pièce jointe d’un e-mail malveillant sous la forme d’un ransomware plutôt rudimentaire : votre ordinateur est infecté et vos fichiers sont chiffrés (ou tenus en otages) jusqu’à ce que vous payiez 300 dollars en bitcoins pour acheter une clé de déchiffrement.
Au fait : nous vous recommandons de ne jamais, jamais, jamais payer la rançon.
Le ransomware Petya chiffre les fichiers et demande une rançon en bitcoins pour les libérer.
Grâce à EternalBlue et au succès malheureux de WannaCry, le ransomware Petya a eu une seconde fois l’occasion de semer la destruction. En juin 2017, NotPetya a été déployé à l’aide de l’exploit EternalBlue, et cette fois, l’attaque n’est pas passée inaperçue.
La différence majeure entre la première et la deuxième version de Petya était que NotPetya (Petya V2) visait à désactiver complètement un système. Que la rançon soit payée ou pas, il n’y avait aucun remède. La cyberattaque a chiffré de manière permanente la Table de fichiers maîtres (MFT) et le Secteur de démarrage principal (MBR) des ordinateurs.
À combien se monte la facture pour EternalBlue... et qui paie ? La réponse commence par un M, comme dans milliards, et ceux qui paient pour cela vont des personnes comme vous, à la fois directement et par le biais des impôts, aux sociétés multinationales.
Selon les estimations, NotPetya a provoqué plus de 10 milliards de dollars de dégâts et WannaCry, environ 4 milliards de dollars de dégâts.
Certains grands noms ont été sévèrement touchés. La plus grande société de transport maritime du monde, Maersk, a perdu 300 millions de dollars ; la société de livraison FedEx a perdu 400 millions de dollars ; et Merck Pharmaceuticals (connu sous le nom de MSD en dehors de l’Amérique du Nord) a perdu 870 millions de dollars après que 15 000 de ses ordinateurs Windows ont succombé à NotPetya en seulement 90 secondes.
Une perte beaucoup plus grave, bien que difficilement quantifiable financièrement, a été la perte des données et de l’accès aux dossiers médicaux pour les hôpitaux et les autres établissements de soin de santé.
Quand le réseau d’un hôpital tombe en panne, les médecins ne peuvent pas consulter les informations sur les opérations chirurgicales qui pourraient sauver des vies et qui sont censées avoir lieu. Ils ne peuvent pas non plus enregistrer ou accéder aux modifications apportées aux traitements médicaux. Il peut même arriver que les hôpitaux perdent les signaux GPS permettant de localiser les ambulances, comme cela s’est produit en Ukraine lors de la cyberattaque NotPetya.
Ce sont ces types de pertes non financières qui rendent les cyberattaques si dangereuses pour la société dans son ensemble.
En deux mots, oui, EternalBlue est toujours vivant et se porte plutôt bien. Bien que WannaCry et NotPetya aient surtout provoqué des dégâts au début 2017, d’autres attaques utilisant EternalBlue sont malheureusement toujours d’actualité. En mai 2019, on recensait chaque jour des centaines de milliers de tentatives d’attaques utilisant l’exploit EternalBlue.
En réalité, en juin 2020, Avast bloque encore 20 millions d’attaques EternalBlue chaque mois.
Presque un million de machines utilisent toujours le protocole SMBv1 vulnérable et sont connectées en ligne. Rien que cela assure la survie d’EternalBlue. Aussi longtemps que des ordinateurs resteront connectés et non corrigés, ils demeureront sans protection.
La menace la plus forte, cependant, pourrait résider dans les exploits non encore utilisés qui ont également été diffusés par Shadow Brokers à la suite du piratage de la NSA. EternalBlue n’était qu’un exemple parmi d’autres.
La menace la plus dangereuse qui se profile à l’horizon a été baptisée EternalRocks, et elle est sur le point d’être développée. Contrairement à WannaCry, qui utilisait deux des exploits exposés lors du piratage de la NSA, EternalRocks utiliserait sept exploits, parmi lesquels EternalBlue, EternalRomance, EternalSynergy, EternalChampion, ArchiTouch et SMBTouch. Les menaces potentielles comprennent le script shell qui s’exécute juste après les exploits Eternal, comme DoublePulsar.
Peut-être.
Bonne nouvelle : des outils efficaces peuvent vous aider à vous protéger ! Bien que la menace EternalBlue soit toujours d’actualité, vous pouvez vous défendre en utilisant des correctifs de sécurité comme le correctif MS17-010 et des logiciels antivirus gratuits.
Nous recommandons à tous les utilisateurs d’ordinateurs équipés d’un système d’exploitation Windows de déployer le correctif de sécurité MS17-010 publié par Microsoft. Il vous suffit de mettre à jour votre logiciel avec la dernière version de Windows. Ne pas procéder à cette mise à jour revient à tenter de combattre des problèmes du présent avec des outils du passé. Le protocole SMBv1 doit être rendu obsolète, c’est pourquoi tous les utilisateurs de Windows doivent appliquer le correctif.
Participez à la lutte contre la cybercriminalité en mettant votre ordinateur à jour avec les dernières mises à jour logicielles disponibles et suivez ces 5 recommandations pour vous assurer de bénéficier du plus haut niveau de sécurité et confidentialité en ligne.
Vous voulez savoir si votre ordinateur est vulnérable à une cyberattaque EternalBlue ? Notre Wi-Fi Inspector peut réaliser cette vérification pour vous dès maintenant.
Les cybercriminels ne plaisantent pas, mais nous non plus. C’est pourquoi Avast a créé un logiciel antivirus puissant pour bloquer les attaques malveillantes de ransomware comme WannaCry et Petya. Nous utilisons l’intelligence artificielle dans le cloud pour fournir six couches de protection contre les malwares et autres menaces, y compris celles qui utilisent la vulnérabilité du protocole SMBv1. De plus, notre pare-feu inspecte l’ensemble du trafic entrant et sortant afin de sécuriser votre réseau.
Avast One détecte et neutralise automatiquement les attaques par malware, tout en recherchant sur votre ordinateur la présence de logiciels obsolètes, susceptibles de contenir des vulnérabilités comme EternalBlue. Protégez-vous des exploits et autres cybermenaces en misant sur une solution de cybersécurité à l’efficacité reconnue.