Repensez à mai 2017 : le licenciement du directeur du FBI James Comey, l'attentat au concert d'Ariana Grande à Manchester et la cyberattaque mondiale du ransomware WannaCry.
WannaCry a infecté plus de 230 000 ordinateurs dans 150 pays. Il a paralysé les services de santé au Royaume-Uni, bloqué les réseaux mobiles en Espagne et causé d'importants retards sur les chemins de fer allemands. Ce fut l'une des pires cyberattaques de l'histoire.
Malgré les correctifs déployés il y a trois mois, de nouvelles vulnérabilités persistent et vous exposent toujours au risque.
Sans entrer dans les détails techniques, WannaCry s'est propagé via EternalBlue, un exploit de la NSA ciblant le protocole Windows Server Message Block (SMB).
Microsoft a publié des correctifs pour des millions d'ordinateurs, y compris sur des systèmes obsolètes comme Windows XP. Ces mises à jour étaient censées combler la faille EternalBlue SMB.
Cependant, lors de la conférence DEF CON fin juillet, des chercheurs en sécurité ont révélé une autre vulnérabilité SMB datant de 20 ans.
Baptisée SMBLoris, cette attaque par déni de service (DoS) à distance peut planter un ordinateur ou un serveur avec seulement 20 lignes de code.
Microsoft a indiqué qu'il ne fournirait pas de correctif spécifique, arguant que le pare-feu bloque SMB par défaut.
Si cela est techniquement exact, il est préférable de ne pas compter uniquement sur cette protection automatique.
SMBLoris touche toutes les versions de SMB. Désactiver SMBv1 ne suffit plus : bloquez toutes les connexions entrantes sur les ports 445 et 139.
Vous pouvez configurer cela via votre routeur, mais la méthode la plus simple utilise l'outil pare-feu Windows. Allez dans Panneau de configuration > Pare-feu Windows > Paramètres avancés, clic droit sur Règles de trafic entrant, puis Nouvelle règle.
Sur l'écran suivant, sélectionnez Port puis Suivant. Choisissez Ports locaux spécifiques et entrez 445, 139. Cliquez sur Suivant.
Enfin, sélectionnez Bloquer la connexion, nommez la règle et cliquez sur Terminer.
Avez-vous été touché par WannaCry ? Allez-vous bloquer ces ports ? Partagez votre expérience en commentaire.
