Microsoft a lancé une alerte sur la découverte d’une nouvelle faille de sécurité critique semblable à WannaCry qui pourrait être utilisée pour créer une nouvelle variante de malware.
7 experts nous répondent. Cette nouvelle faille de sécurité aura-t-elle la même incidence ? Celle-ci est « une vulnérabilité des services Bureau à distance (Terminal Server), qui permet à un pirate non authentifié de se connecter au système cible via Bureau à distance (RDP) et d’envoyer des demandes spécialement conçues pour exécuter du code à distance. Cela pourrait donner lieu à un événement international d’un niveau équivalent à WannaCry », explique Chris Goettl, Director Product Management, Security chez Ivanti. La faille concerne Windows XP, Windows Vista, Windows 7 et les versions serveurs correspondantes comme Windows Server 2003, Windows Server 2008 R2 et Windows Server 2008. Les mises à jour se trouvent uniquement si vous consultez le catalogue Windows Update.
Une attaque est probable…Pour Ivan Kwiatkowski, chercheur en cybersécurité chez Kaspersky Lab, le risque est réel et surtout imminent. Il estime que l’attaque pourrait voir le jour d’ici moins d’un mois. « Il est très probable qu’une attaque, si elle doit se produire, ait lieu dans les semaines qui viennent. J’estime que ce scénario est très probable », indique-t-il.
Comment se protéger ?
Il est avant tout urgent d’appliquer les correctifs, d’autant que diverses études, dont une de Tanium, ont montré qu’une très grande majorité de DSI et RSSI français avaient déjà renoncé à appliquer des patchs de sécurité par crainte de l’impact sur l’activité commerciale de l’entreprise. Ce qu’Ivan Kwiatkowski corrobore : « La réalité de la gestion d’un parc informatique d’entreprise est complexe ; les correctifs peuvent parfois être appliqués très tardivement, voire jamais. WannaCry l’a prouvé en tirant profit d’une faille vieille d’un mois. Les criminels le savent bien et cela leur offre une courte fenêtre d’opportunité pour exploiter cette faille, qui se réduit un peu plus avec chaque jour qui passe et chaque nouvelle mise à jour effectuée.
Si pour une raison ou une autre, une entreprise ne peut pas utiliser le patch édité par Microsoft, Kaspersky recommande d’activer l’authentification au niveau du réseau, qui ajoute un niveau de protection contre une exploitation possible de la faille. « Cela n’empêchera pas complètement une attaque, mais nécessitera de la part des attaquants de s’authentifier avant d’utiliser le système », précise Ivan Kwiatkowski. « Il est également conseillé de désactiver et bloquer automatiquement RDS, mais également mettre en place une surveillance interne afin de détecter des tentatives de propagation sur le réseau qui feraient suite à une attaque réussie. Par sécurité, les entreprises doivent également toujours s’assurer que leurs procédures de sauvegarde / reprise sont en place et à jour. » Enfin, il faut désactiver tout service qui n’est pas effectivement utilisé.
Vous souhaitez en savoir plus? N'hésitez plus, contactez nous.
