Dhia GUEZGUEZ

Wannacry

Featured | | | Attaque, Worms

Description

 

Afin de décrire l’attaque Wannacry, nous allons tout d’abord définir les concepts sur lesquels sont basés cette attaque.

 

Worms (vers)

 

Tout d’abord, il faut savoir que le principal but d’un ver n’est pas de détruire, mais plutôt de se dupliquer, ce qui fait de lui un allié idéal pour les ransomwares afin de toucher le maximum de personnes. En effet, ce programme, qui n’a besoin de personne pour pouvoir se dupliquer et se propager, utilise les réseaux notamment leurs capacités, mais surtout leurs vulnérabilités, pour se déplacer d’ordinateur en ordinateur.

 

Les vers affectionnent plus particulièrement les boîtes e-mail ainsi que les protocoles réseau pour se propager. Même si leur but principal est la reproduction, ils ont aussi habituellement un objectif malfaisant, comme l’espionnage de l’ordinateur où ils se trouvent, l’ouverture d’une porte dérobée à des pirates informatiques, la destruction de données et etc. L’activité d’un ver a souvent des effets secondaires qui se traduit par des ralentissements du réseau ou de l’ordinateur de la victime. Il peut donc entraîner de sérieux dysfonctionnements dans nos ordinateurs.

 

Ransomwares (rançongiciels)

 

Les logiciels de rançon sont des logiciels informatiques malveillants, qui prennent en otage les données, restreignent l’accès à notre système informatique et exigent le paiement d’une rançon pour que la restriction soit levée. L’utilisateur n’a donc pas d’autres choix que de perdre ses fichiers ou de payer la rançon. Le paiement ne garantit toutefois pas la récupération effective. Il est donc conseillé de ne pas payer et de tenter de récupérer quelques fichiers par d’autres moyens.

 

Bien souvent, le ransomware s’infiltre donc sous la forme d’un ver informatique, comme décrit plus haut, à travers un fichier téléchargé ou reçu par email. Il chiffre les données et fichiers de la victime. La finalité est d‘extorquer une somme d’argent à payer le plus souvent par monnaie virtuelle pour éviter toute trace comme le bitcoin.

 

OWASP A9 (2013)

 

Cette attaque utilise une faille qui avait été corrigée par Microsoft mais peu d’utilisateurs n’avaient pas encore installé sur leurs systèmes d’exploitation. On peut donc faire un rapprochement assez intuitif avec la faille A9, utilisation de composants avec des vulnérabilités connues (using Components with Known Vulnerabilities), proposée dans le classement du top 10 d’OWASP. On constate qu’il est toujours aussi important d’être à jour sur les différents composants qu’on utilise au quotidien car une personne malveillante n’attend qu’une opportunité comme celle-ci pour l’exploiter.

 

Wannacry

 

Également connu sous le nom de WanaCrypt, WanaCrypt0r 2.0, WCrypt ou WCry, WannaCry utilise donc une faille des systèmes d’exploitation de Windows pour chiffrer des fichiers et empêcher les utilisateurs d’y accéder en leur laissant un délai de 3 jours pour payer 300 $ en bitcoins. Passé ce délai, le prix double. D’où le nom justifié de Wannacry qui peut être traduit en français par “tu veux pleurer”.

 

En voici ci-dessous un exemple :

 

 

Nous sommes donc confrontés à un logiciel malveillant de type ransomware auto-répliquant, touchant massivement le monde entier. En effet, plus de 300 000 ordinateurs, dans plus de 150 pays, sont touchés en mai 2017. On trouve notamment des hôpitaux et des entreprise paralysés. Il prend ses quartiers dans l’ordinateur après avoir cliqué sur un lien dans un e-mail, par exemple. Une fois dans la machine, WannaCry va méthodiquement crypter les fichiers personnels contenus dans l’ordinateur.

 

Ce qui rend WannaCry différent des ransomwares classiques, et par conséquent plus dangereux, c’est sa capacité de prolifération. Normalement, un ver informatique de ce type ne peut infecter qu’une seule machine à la fois. WannaCry, lui, est capable de se balader de machine en machine lorsque celles-ci sont connectées par un réseau interne, ce qui est le cas d’à peu près toutes les entreprises du monde, des banques, des hôpitaux et des universités.

 

Impact dans le monde

 

Cette faille de Windows, qui concerne tous les systèmes d’exploitation antérieurs à Windows 10, a eu un lourd impact dans le monde entier comme nous avons pu le voir. Mais son impact n’a pas uniquement commencé en mai 2017 mais bien avant car en effet, cette faille était connue et utilisée secrètement par la NSA depuis un certain temps.

 

NSA

 

Là où ça devient réellement intéressant, c’est que WannaCry profite d’une faille de sécurité dans le système d’exploitation Windows dont la National Security Agency (NSA), l’agence de renseignement des États-Unis, avait connaissance et se servait dans le cadre de ses opérations de surveillance électronique sous le nom de code « EternalBlue ». Afin d’acquérir un avantage stratégique, la NSA a donc délibérément caché l’existence de failles aux grandes entreprises concernées pour pouvoir les exploiter à sa guise. Ces informations ont été rendues publiques grâce à la fuite massive de documents, publiés par WikiLeaks en provenance du collectif de pirates The Shadow Brokers. Ces informations ont révélé le 14 avril dernier l’existence d’une sorte de trousse à outils informatiques utilisée par la NSA pour infiltrer tous types de systèmes.

 

Cette vague de contamination a ravivé le débat sur l’attitude des autorités vis-à-vis des failles de sécurité et des outils d’espionnage.

 

Résultat

 

La NSA a donc caché cette faille avec le risque qu’un jour, des pirates la découvre eux aussi et s’en servent dans un but malveillant. Avec WannaCry, c’est exactement ce qu’il s’est passé.  Sauf que la NSA n’est pas responsable, puisque à la suite des révélations de WikiLeaks, Microsoft a mis à disposition un correctif (« patch ») deux mois avant le début des attaques, et est même allé jusqu’à proposer le correctif pour Windows XP, alors que la version ne bénéficie normalement plus de suivi technique.

 

Théoriquement, donc, tout le monde aurait dû être prémuni. Mais bon nombre de grandes entreprises et d’administrations n’ont pas appliqué la mise à jour car leurs services informatiques devaient d’abord tester les patchs afin de s’assurer qu’ils ne risquaient pas de créer de conflits sur leur réseau. Si la NSA avait dévoilé cette vulnérabilité quand elle l’a découverte, les hôpitaux par exemple, auraient eu des mois, voir des années, pour se préparer. Or, nous avons dû attendre avril, que les The Shadow Brokers rendent publics cette série d’outils d’espionnage de la NSA, dont EternalBlue. Les cybercriminels n’avaient plus alors qu’à se servir de ces informations pour créer le rançongiciel WannaCry.

 

Comment ça marche

 

Fonctionnement

 

Voici ci-dessous comment est décrit le fonctionnement de WannaCry (en anglais) selon Europol qui est un office de police criminel européen. Ils ont posté cette image dans un tweet afin de sensibiliser un maximum de personne face à l’étendue de cette attaque.

Il commence par envoyer un email conçu pour tromper le destinataire puis il utilise les failles de Windows pour se dupliquer et il finit par crypter les fichiers et le système pour demander une rançon.

 

Dans la technique

 

EternalBlue est un exploit, soit un élément permettant à un individu ou à un logiciel malveillant d’exploiter une faille de sécurité informatique dans un système informatique. Cet exploit utilise une faille de sécurité présente dans la première version du protocole SMB (SMBv1). Le protocole SMB (Server Message Block) quant à lui est un protocole permettant le partage de ressources, comme des fichiers et imprimantes, sur des réseaux locaux. C’est la faille, dans la version 1 de ce protocole (SMBv1), qui est nommée EternalBlue et est justement en cause de la diffusion de notre ransomware WannaCry. Cet exploit a également été utilisé pour les cyberattaques Adylkuzz (survenue quelques jours après WannaCry) et NotPetya (survenue le 27 juin 2017).

 

WannaCry déploie également dans notre machine un cheval de Troie appelé DoublePulsar, qui endommage les copies de récupération automatiques de Windows pour ne laisser aucune chance de récupérer nos fichiers et installe une porte dérobé permettant la prise de contrôle du de la machine compromis à distance.

 

Si l’on veut s’intéresser d’avantage aux détails d’exécutions de notre ransomware, nous pouvons consulter ce lien qui explique justement pas à pas le déroulement de l’attaque et montre l’impacte de chaque action qu’entreprend WannaCry dans le système de la victime :
 https://www.endgame.com/blog/technical-blog/wcrywanacry-ransomware-technical-analysis

 

Comment le contrer

 

La solution la plus sûre pour se protéger contre l’exploitation de la faille est l’installation des correctifs proposés par Microsoft dans son bulletin MS17-010. Plusieurs solutions de contournement existent et peuvent être adoptées lorsque les correctifs disponibles ne peuvent être installés. Désactiver le support de SMBv1 par exemple ou bien leurrer le malware, en créant différents éléments caractéristiques de WannaCry sur un système sain et l’empêcher de s’exécuter normalement. L’adoption de ces solutions ne doit cependant pas être dans une optique à moyen/long terme. En effet, seule l’application des correctifs permettra de combler les failles connues, et de s’assurer que le système est protégé même en cas d’évolution du malware.

Attaque sur cartes bancaires #NFC

| | Attaque, NFC

Depuis son invention en 1974, l’histoire de la carte bancaire à puce a toujours été celle d’une lutte permanente contre les tentatives de piratage. Code personnel, cryptogramme au dos de la carte, chiffrement des informations et des transactions, confirmation des achats effectués sur Internet par un code envoyé par SMS, etc… En quarante ans, les moyens de prouver son identité se sont multipliés. Or, et c’est un paradoxe, le GIE Cartes bancaires, qui fédère les principales banques françaises afin de définir les normes de sécurité des cartes à puce, s’efforce désormais de diffuser un nouveau système de paiement qui ne nécessite plus d’authentification : c’est le paiement sans contact qui utilise le protocole NFC – Near Field Communication.

 

Grâce à ce nouveau type de transaction, le client d’un commerce peut désormais régler ses achats sans avoir à insérer sa carte dans un terminal ni à s’identifier en tapant son code secret. Il suffit d’approcher sa carte bancaire à quelques centimètres d’un lecteur, et en quelques millisecondes, la transaction est faite.

 

Comment fonctionne le paiement sans contact ?

 

Un lecteur communique par radio via la norme NFC – Near Field Communication qui ne fonctionne qu’à une faible distance (10 cm max), sur la longueur d’ondes de 13,56 MHz, avec la puce contenue dans une carte bancaire via une minuscule antenne à une vitesse pouvant atteindre 424 Kbit/s.

 

 

Une technologie insuffisamment sécurisée

 

Si pratique que soit ce nouveau mode de transaction, peut-on, pour autant, vraiment lui faire confiance ? Faut-il s’en inquiéter ?

Actuellement, aucun contrôle n’est présent sur ce moyen de paiement et comme on ne demande rien à l’utilisateur, rien n’empêche le vendeur de faire plusieurs retraits sur la carte.

Contrairement à un règlement effectué à partir d’un TPE (Terminaux de Paiement Electronique), pour lequel on demande confirmation par code PIN, ce n’est pas le cas avec le paiement sans contact. Évidemment, ce ne serait pas très discret de la part d’un commerçant, dont on aurait vite fait de retrouver la trace au prochain relevé de banque.

Si on se promène dans le métro, avec notre carte NFC dans la poche, il est tout à fait possible pour un hacker passant près de nous et qui se trouve à une distance d’une dizaine de centimètre de la carte bancaire NFC – ce qui est relativement aisé aux heures de pointe –  d’intercepter nos données grâce à un faux lecteur, comme un téléphone portable ou un ordinateur, pour effectuer un faux paiement bancaire pouvant aller jusqu’à 30€ par transaction et/ou de récupérer et d’envoyer les informations à un complice qui s’en sert au même moment pour régler un achat.

 

 

Des mesures ont été prises pour éviter que quelqu’un vide le compte bancaire d’un individu, en limitant la transaction à 30 euros, et de telle manière qu’on ne puisse pas faire plus de cinq paiements sans contact par semaine. En revanche, il n’y a pas de réelles mesures de sécurité à l’intérieur des cartes bancaires pour éviter ce type d’attaque.

 

Les types d’attaque

 

Le NFC est exposé à quatre types d’attaques connus :

  • Le déni de service
  • La modification d’informations
  • Le « eaves dropping » ou écoute indiscrète
  • L’attaque en relai

 

Le déni de service

 

L’attaque en déni de service (DoS) correspond à attaque la plus simple à réaliser. Son but n’est pas de récupérer des informations mais uniquement de rendre impossible l’utilisation du NFC du dispositif (carte ou appareil). Ce n’est donc pas une attaque contre le dispositif mais contre la communication elle-même. L’algorithme de collision avoidance (évitement d’interférences) de communication NFC spécifie un temps d’attente avant toute émission, pendant lequel l’initiateur écoute la fréquence sans rien émettre, attendant qu’elle se libère. L’attaque DoS requiert uniquement d’émettre sur la bande de fréquence du NFC (13,56 MHz). Aucune protection n’est possible contre ce type d’attaque si ce n’est de se trouver hors de portée de l’attaquant.  

 

La modification d’information

 

La modification des données envoyées par un appareil NFC vers un autre est possible mais extrêmement difficile. Pour cela, l’attaquant doit modifier l’amplitude des ondes émises pour que la cible l’interprète autrement. Cette attaque nécessite un matériel coûteux (récepteur, antenne) et est détectable car elle modifie l’amplitude du signal.

 

Attaque Eaves Dropping

 

L’attaque Eaves Dropping (écoutes aux portes) est le fait de récupérer le signal radio émis par les appareils pour subtiliser des informations personnelles. Les cartes de paiement NFC, disposent d’informations sensibles. Aucun chiffrement ni authentification n’est en place dans leurs puces NFC. Il est ainsi possible de récupérer certaines informations personnelles simplement en approchant un lecteur (smartphone, ordinateur équipé d’une puce NFC) d’une carte :

 

  • Nom, Prénom, Sexe
  • Numéro de compte
  • Date d’expiration
  • Contenu de la bande magnétique
  • Historique des transactions

Seul le code de sécurité n’est pas disponible (3 chiffres au dos de la carte).

Exemple des données de ma carte bancaire récupérées depuis un téléphone qui dispose d’une puce NFC  via une application gratuite dont le nom est NFC Crédit card :

 

Ces informations permettent cependant d’utiliser la carte sur certains sites de e-commerce ne demandant pas le code de sécurité (comme par exemple booking mode réservation). Elles permettent aussi d’effectuer une attaque DoS de la carte en saisissant 3 mauvais codes PIN. Il est aussi possible de cloner la bande magnétique et de l’utiliser.

 

L’attaque en relai

 

L’idée est de réaliser un proxy permettant de faire une transaction à distance.

L’attaque par relai principe de l’attaque du man in the middle consiste donc à utiliser un proxy NFC. Deux appareils sont donc nécessaires le premier sera à l’écoute de la carte, le second près du terminal de paiement. Ce dernier va initier le paiement à la borne et transmettre toute la communication via une connexion wifi au complice, qui utilise les informations envoyées par la carte pour faire la preuve de son identité auprès du lecteur cible.  La communication et donc transmise à la carte NFC qui va répondre comme si elle était en contact avec le terminal.

 

 

Cette attaque est simple à mettre en œuvre, nécessite uniquement deux smartphones NFC et aucune connaissance du protocole utilisé par les cartes. En effet, le trafic passe par la connexion Wifi sans être altéré.

 

NCF ne s’arrête pas qu’au paiement

 

Les cartes de paiement ne sont d’ailleurs pas les seules à bénéficier des puces NFC, on les retrouve aussi dans les titres de transport, dans les cartes d’accès, les clés de voiture, les passeports et les nouveaux permis de conduire, sans oublier les tablettes et les téléphones portables.

Aujourd’hui, cette technologie est omniprésente: dans les transports en commun, les endroits publics, gares, aéroports, nous sommes souvent nombreux dans un volume restreint. Par conséquent, un pirate informatique muni d’un lecteur ou mobile adéquat peut facilement faire sa moisson de données.  

Il n’y a aucun moyen de savoir si on a été piraté ou non. Il est donc nécessaire de se protéger.

Il existe même des tutoriaux qui nous permettent de concevoir ce type d’appareillage capable de récolter ces informations.

 

Attack Tools :

Sources : http://www.bishopfox.com/resources/tools/rfid-hacking/attack-tools/

Video : https://www.youtube.com/watch?v=Dzr81-1CEmY

 

Comment s’en protéger

 

Au début de l’apparition de la technologie NFC, la communication entre les différents appareillages n’était pas chiffrée, et la seule solution était de mettre ces cartes dans un étui en fer. Désormais, il existe des portefeuilles blindés qui font très bien l’affaire. en effet cela crée une cage de faraday qui fait barrière aux ondes empêchant ainsi la communication.