Thales : « les systèmes les plus critiques sont aussi les plus vulnérables à WannaCry »

Via son SOC en région parisienne, Thales a vécu la crise WannaCry en direct. Son directeur de la stratégie cyber raconte. Et pointe les problèmes créés par l’absence d’application des correctifs de sécurité sur les systèmes métiers.

Comme d’autres spécialistes de la sécurité opérationnelle, Thales a vécu la crise WannaCry en direct, le prestataire offrant en effet aux entreprises des services de supervision des réseaux et des systèmes via son SOC (Security Operation Center, le centre de surveillance en cybersécurité) d’Elancourt (Yvelines). Stanislas de Maupeou, le directeur de la stratégie des systèmes d’information critiques et de la cybersécurité au sein de Thales, raconte comment sa société a vécu la crise WannaCry.

Silicon.fr : Comment avez-vous traversé la crise WannaCry ?

deMaupeou
Crédit : David Plas

Stanislas de Maupeou : Dès vendredi, via notre SOC , nous avons mis à jour nos règles de détection sur les sondes de détection d’intrusion, les outils de corrélation ou les firewalls afin de prendre en compte cette nouvelle menace. Nous avions été informés du début de propagation de WannaCry, notamment via notre appartenance au réseau mondial des CERT (centres de réponse aux incidents), au sein duquel des indicateurs de compromission ont été échangés très tôt. Et nous avions, via notre propre CERT, émis un bulletin en mars dernier sur la nécessité impérative d’appliquer le correctif sur la faille Microsoft en cause ici, en raison de l’exploitation du protocole SMB.

Au final, à l’exception d’un client que nous surveillons via notre SOC, nous n’avons pas constaté de propagation du malware chez la centaine d’entreprises que dont nous supervisons ou infogérons la sécurité. Notre équipe de réponse sur incidents est en cours d’intervention chez le client touché par cette menace.

Silicon.fr : La menace WannaCry semble se diffuser y compris en l’absence d’opération de phishing préalable…

S.d.M : Effectivement, la nécessité d’employer du spearphishing n’est pas confirmée à ce jour et une ambiguïté subsiste sur ce point. Aujourd’hui, nous n’avons pas trouvé trace d’un mail de phishing associé à WannaCry. Potentiellement, il faut donc considérer tous les services SMB ouverts comme exposés.

Mais, au-delà de ces considérations techniques du moment, il faut savoir rester simple : la première ligne de défense consiste à appliquer le correctif, car le code du malware est appelé à évoluer… Les pirates ont à disposition un framework (celui mis en ligne par les Shadow Brokers et exploité par WannaCry, NDLR) qui pourrait tout aussi être utilisé pour autre chose qu’un ransomware. Par exemple pour exfiltrer des données.

Silicon.fr : A ce sujet, il est frappant de constater que les systèmes pris en otage par WannaCry sont des écrans affichant des horaires de trains, des robots dans des usines ou des systèmes dans des hôpitaux !

S.d.M : On observe exactement la même chose qu’avec Conficker (un ver apparu en 2008) : les systèmes les plus critiques sont aussi les plus vulnérables car on n’ose pas y toucher, donc y appliquer les patchs. C’est un paradoxe hallucinant et ridicule ! Les systèmes opérationnels devraient être mis à jour au même rythme que les environnements IT classiques. Soit automatiquement, soit, à minima, après évaluation de l’impact éventuel de l’application d’un correctif. Et si son installation n’est pas possible, des mesures de contournement doivent être mises en place. Je comprends le point de vue des responsables d'exploitation donnant la priorité à la sûreté de fonctionnement, mais ignorer les aspects relatifs à la cybersécurité s’apparente quand même aujourd’hui à une forme d’inconscience.

Le fait que Microsoft ait sorti un patch comblant la vulnérabilité SMB sur Windows XP est un signe fort. Une forme de prise de conscience que, sur ces systèmes opérationnels ou métiers, les migrations vers les versions d'OS les plus modernes ne se font pas.

Silicon.fr : Depuis la découverte des ‘Kill Switch’ – ces deux domaines qui, une fois activés, annihilent les effets de WannaCry -, le ransomware semble en régression rapide. Est-ce que vous confirmez cette tendance ?

S.d.M. : Sur le périmètre que nous supervisons et sur la base de notre partenariat dans l’intelligence sur les menaces avec Cisco, on peut effectivement dire que la menace WannaCry est sur le déclin.

A lire aussi :

WannaCry : le ransomware qui n’a plus besoin du phishing

Après WannaCry : les Shadow Brokers promettent de nouvelles révélations

WannaCry 2.0 : Renault n’est pas la seule entreprise touchée en France