[cmNOG] [cmCSIRT] Miraï Bot/WannaCrypt : Opportunité de Réveil pour CSIRTs Endormis ?
Sylvain BAYA
abscoco at gmail.com
Ven 19 Mai 12:53:19 UTC 2017
Chers tous, Chères toutes,
Bonjour et bon week-end,
Comme dans la vie réelle, parfois, il y a des accidents, des braquages
et même des prises d’otages... Je compatis au malheur de toutes les
victimes et j'avoue que ma foi m'atteste que les coupables vont payer
d'une manière ou d'une autre et un jour ou un autre...
Cependant, s'il y avait quand même une bonne chose à tirer de la récente
campagne de kidnapping des données [1] par des cyber rançonneurs...
C'est certainement l'alerte adressée aux CSIRTs [2] pour un réveil
imminent [3] ; car certains ont peut-être sombré dans une espèce de
somnolence, et d'autres semblent littéralement endormis depuis quelques
années...
Je n'accuserai personne, soyons d'accords, quand même avec au moins 74
pays touchés... Cependant, je pense au CSIRT de l'ANTIC [*], par exemple
et je voudrais bien savoir ce qui a déjà été fait pour sécuriser tout le
parcs de desktops et serveurs de tous les services de la fonction
publique Camerounaise, tout au moins, sachant que ceux-ci tournent
souvent sous des versions de systèmes Microsoft avec licences coûteuses
mais non activées, et donc pas à jour et peut-être arrivés en fin de
support (maintien en vie)... C'est vrai que SMB (Server Message Block)
n'est pas activé par défaut, mais le seul risque n'est pas "WannaCry"
[4]. Il y a aussi Miraï Bot [5] qui devrait déjà avoir été porté sur la
plateforme windows... Ce ne sont pas les Systèmes Unix-like qui sont
forcément sans risque... Bref!
Pour parler plus largement, est-ce que l'équipe de notre CSIRT national
a déjà pu rassurer les utilisateurs finaux et les organisations
utilisant les TICs pour leurs business via Internet ? /Je vois quand
même cet article [6], mais qui sait que c'est là et aucune mention n'est
faite d'éventuelles contre-actions engagées par l'ANTIC. Espérons qu'il
s'agit juste d'un déficit de communication.../
Ce CSIRT a-t-il un plan consistant de Sécurité Collaborative [7] ?
Tandis que tous les acteurs semblent dépassées [8] par la fragilité de
cet écosystème Internet, aussi inter-dépendant que tout autre
écosystème. En y réfléchissant, en commençant par accepter notre part de
la responsabilité, partagée, pour la sécurisation et la résilience
globale de l'Internet :
Qu'est-ce que le cmNOG peut, et devrait, faire (en terme de
contribution) pour aider en considérant des situations similaires ?
Penser : Avant, pendant et après incident...
Pendant ce temps, Internet Society annonce un Webinaire [9] sur le
sujet; l'espoir est que des outils applicatifs ont été développé [10] :
* WannaKey [11]: par Adrien Guinet, un chercheur Français, pour
permettre à certaines victimes (sous certaines conditions), du
WannaCrypt, de déchiffrer/décrypter librement ses données, pour les libérer.
* WanaKiwi |12] : Par Benjamin Delpy, un autre chercheur, dont la
solution simplifie l'utilisation de WannaKey.
Au Cameroun, l'ANTIC est responsable de tout ce qui a trait à
l'exploitation des techniques et technologies cryptographique [13], avec
son Centre PKI pour l'opérationnalisation... et le fond spécial pour la
sécurité électronique [14]... Espérons que ce régime d'autorisation
n'inclus pas l'utilisation du PGP (Pretty Good Privacy) :'-(
__
[*]: http://www.antic.cm/index.php/alertes |
http://www.antic.cm/index.php/8-pages-accueil/405-antic-and-cto-sign-partnership-agreement
[1]:
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
[2]: CSIRT | Computer Security Incident Response Team
:https://fr.wikipedia.org/wiki/Computer_security_incident_response_team
[3]: "WannaCry Ransomware Attacks: A Test of Africa's Cybersecurity
Preparedness"
[4]: WannaCry ou WannaCrypt, voir autre est un code malveillant qui
s'attaque à une faille système hôte pour prendre le contrôle et chiffrer
l'ensemble des données; en prenant le soin de laisser les infos des
"comptes" à utiliser pour transférer l'argent afin d'obtenir les codes
pour décrypter/déchiffrer les données inaccessibles.
[5]: https://fr.wikipedia.org/wiki/Mirai_(logiciel_malveillant) |
https://github.com/jgamblin/Mirai-Source-Code/tree/master/mirai/bot
[6]:
http://www.antic.cm/index.php/2-uncategorised/416-over-200-thousand-computers-blocked-by-wannacrypt-attack-in-150-countries
[7]: Le concept : https://www.internetsociety.org/collaborativesecurity
[8]:
https://www.internetsociety.org/blog/africa-bureau/2017/05/wannacry-ransomware-attacks-test-africas-cybersecurity-preparedness
[9]: https://www.internetsociety.org/blog/tech-matters/2017/05/webinar-may-18-wannacry-ransomware-why-it-happening-and-how-it-going-end
[10]: http://thehackernews.com/2017/05/wannacry-ransomware-decryption-tool.html
[11]: https://github.com/aguinet/wannakey
[12]: https://github.com/gentilkiwi/wanakiwi/releases
[13]: DECRET N° 2013/0400/PM DU 27 FEV 2013 FIXANT LES MODALITES DE
DECLARATION ET D’AUTORISATION PREALABLES, AINSI QUE LES CONDITIONS
D’OBTENTION DU CERTIFICAT D’HOMOLOGATION EN VUE DE LA FOURNITURE,
L’EXPORTATION, L’IMPORTATION OU L’UTILISATION DES MOYENS OU DES
PRESTATIONS DE CRYPTOGRAPHIE :
http://www.antic.cm/images/stories/data/DECRETS/DECRET0400.pdf
[14]:DECRET N° 2012/309 DU 26 JUIN 2012 FIXANT LES MODALITES DE GESTION
DU FONDS SPECIAL DES ACTIVITES DE SECURITE ELECTRONIQUE :
http://www.antic.cm/images/stories/data/IMG/pdf/decrets/Modalites_de%20gestion_FSE-26-06-2012.pdf
Merci bien.
Bonne journée.
Cordialement,
--sb.
--
Regards,
Sylvain B.
/cmNOG
__
Site web : https://www.cmnog.cm
News : https://www.cmnog.cm/news
Liste de Diffusion : https://lists.cmnog.cm/mailman/listinfo/cmnog
Wiki : https://www.cmnog.cm/wiki
Compte Twitter : https://twitter.com/cmN0G
Hashtags : #cmNOG #REBOOTcmNOG
Page Facebook : https://facebook.com/cmNOG
Blog : https://cmnog.wordpress.com
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://lists.cmnog.cm/pipermail/cmnog/attachments/20170519/494dbba0/attachment.html>
-------------- section suivante --------------
Une pièce jointe autre que texte a été nettoyée...
Nom: signature.asc
Type: application/pgp-signature
Taille: 819 octets
Desc: OpenPGP digital signature
URL: <http://lists.cmnog.cm/pipermail/cmnog/attachments/20170519/494dbba0/attachment.sig>
Plus d'informations sur la liste de diffusion Cmnog