148416934752
Blog AVG Signal Sécurité Menaces Exploit EternalBlue : de quoi s’agit-il et cette menace est-elle toujours présente ?
Signal-EternalBlue-Exploit-Hero

Écrit par Ben Gorman
Publié le 22 September 2023

Qu’est-ce que EternalBlue ?

EternalBlue est un logiciel Microsoft conçu par la NSA (Agence nationale de la sécurité américaine) pour recueillir des informations. Cet exploit permet d’accéder à distance aux données des appareils Microsoft. EternalBlue a été volé à la NSA en 2017 par le groupe de pirates Shadow Brokers, et il a depuis été utilisé pour lancer des cyberattaques dévastatrices dans le monde entier, comme par exemple WannaCry, Petya/NotPetya et Indexsinas.

Cet article contient :

    Comment fonctionne EternalBlue ?

    L’exploit EternalBlue (également connu sous le nom de MS17-010) tire parti d’une faille dans un protocole de partage de fichiers en réseau sur les ordinateurs Microsoft, appelé SMBv1. Le protocole réseau Server Message Block version 1 (SMBv1) permet aux ordinateurs de partager des fichiers avec des imprimantes, des ports et d’autres ordinateurs Windows. Mais SMBv1 contient des bugs qui permettent aux pirates informatiques d’envoyer des paquets de données malveillants sur le réseau. Après avoir pénétré le réseau, les malwares peuvent se propager à tous les appareils associés à ce dernier, et même au-delà.

     EternalBlue tire parti des vulnérabilités du protocole SMBv1.EternalBlue tire parti des vulnérabilités du protocole SMBv1.

    Malgré les tentatives effectuées par Microsoft pour corriger la vulnérabilité et protéger les utilisateurs, les pirates se sont servis de cet exploit informatique pour lancer certaines des cyberattaques les plus importantes jamais observées. Aujourd’hui, la plupart des ordinateurs Microsoft sont protégés contre EternalBlue, mais beaucoup sont encore à risque.

    Si EternalBlue est un ancien phénomène, pourquoi s’en inquiéter ?

    Les cyberattaques les plus tristement célèbres impliquant l’exploit EternalBlue ont eu lieu en 2017. Depuis, la plupart des appareils Microsoft ont fait l’objet de correctifs, ce qui signifie que la vulnérabilité EternalBlue a été éliminée. Mais de nombreux appareils n’ont toujours pas reçu le correctif de sécurité indispensable.

    La mise à jour logicielle qui corrige les vulnérabilités et l’exposition à EternalBlue (appelée correctif MS17-010) présente une faiblesse : elle doit être installée par l’utilisateur. Les chercheurs estiment qu’il existe plus d’un million de serveurs SMB accessibles à tous sur Internet, et que nombre d’entre eux sont vulnérables aux attaques d’EternalBlue.

    Indexsinas

    Indexsinas est la dernière attaque d’EternalBlue à se propager à l’échelle mondiale. Indexsinas est un ver informatique, c’est-à-dire un virus informatique qui se reproduit de lui-même et qui infecte un ordinateur, se réplique, puis en infecte un autre. Les attaques de vers provoquent une infection en chaîne difficile à enrayer.

    Depuis 2019, Indexsinas accède à des serveurs Windows en profitant de la vulnérabilité EternalBlue. Une fois qu’un appareil est infecté par le ver, les pirates informatiques peuvent l’utiliser comme bon leur semble. Ils peuvent supprimer des fichiers, contrôler des fonctions et même vendre l’accès à votre ordinateur à d’autres acteurs malveillants et à de dangereux pirates informatiques. On pense que les ordinateurs touchés par Indexsinas sont utilisés pour miner de la cryptomonnaie, qui est ensuite déposée dans les portefeuilles des pirates.

    La menace Indexsinas est bien présente et active, et il ne semble pas que les pirates qui en sont à l’origine soient arrêtés de sitôt. Pour rester protégés, les particuliers et les entreprises qui utilisent des appareils Microsoft doivent effectuer des mises à jour régulières afin de corriger les vulnérabilités. Avec un logiciel antivirus puissant comme AVG AntiVirus, vous pouvez lancer une analyse de réseau pour vérifier si votre appareil est vulnérable à EternalBlue ou à d’autres failles de sécurité.

    Historique d’EternalBlue : des années de perturbations en matière de données

    EternalBlue est un peu comme le monstre de Frankenstein. Il a été créé spécialement par le gouvernement américain, qui en a ensuite perdu le contrôle. Depuis lors, il parcourt le monde et fait des ravages partout où il passe, et il ne veut pas disparaître.

    On ne sait pas exactement quand l’exploit EternalBlue a été identifié, mais on sait qu’il a été découvert à l’origine par l’Agence nationale de sécurité américaine (NSA), dans le cadre de son plan de stockage et de militarisation des vulnérabilités en matière de cybersécurité. Il semble que la NSA ait utilisé EternalBlue pendant des années pour recueillir des informations.

    Puis, en avril 2017, la NSA a été piratée par le groupe de pirates informatiques Shadow Brokers, et EternalBlue a été exposé. Shadow Brokers a divulgué EternalBlue sur Twitter (maintenant appelé X), le dévoilant ainsi au monde entier. EternalBlue est enregistré dans la base de données nationale des vulnérabilités sous le nom de CVE-2017-0144.

    Environ un mois avant la fuite, Microsoft avait publié le bulletin de sécurité MS17-010, un correctif pour l’exploit EternalBlue. On peut donc supposer que la NSA avait informé Microsoft de la faille peu de temps après le piratage réalisé par Shadow Brokers. Toutefois, les efforts de Microsoft n’ont pas suffi à stopper les cyberattaques de grande envergure qui ont débuté un mois seulement après la fuite initiée par Shadow Brokers. Des millions de particuliers et d’entreprises se sont retrouvées vulnérables au vol de données et à toute une série de malwares.

    Les plus gros piratages rendus possibles par EternalBlue ont été WannaCry et NotPetya, qui ont tous deux débuté dans les deux mois suivant la divulgation d’EternalBlue.

    L’exploit EternalBlue a d’abord été découvert par la NSA, puis diffusé par le groupe de pirates informatiques Shadow Brokers, qui l’a divulgué en ligne.EternalBlue a été découvert par la NSA et a ensuite été diffusé par le groupe de pirates informatiques Shadow Brokers.

    WannaCry

    WannaCry a été la première cyberattaque d’envergure à tirer parti de l’exploit EternalBlue. Lancée en mai 2017, environ un mois après la révélation d’EternalBlue par Shadow Brokers, WannaCry est un type d’attaque de ransomware, c’est-à-dire une cyberattaque qui capture des données et les verrouille derrière un accès payant jusqu’au paiement d’une rançon.

    Se propageant rapidement, WannaCry n’avait pas de cible spécifique. Cependant, il n’a pas fallu longtemps pour que de grandes institutions soient touchées. Parmi les plus grands noms, citons FedEx, LATAM Airlines et le National Health Service (NHS) du Royaume-Uni. Les dommages causés par WannaCry sont estimés à plusieurs milliards de dollars.

    Petya/NotPetya

    Petya est une cyberattaque qui a été lancée en 2016. Mais à l’époque, elle n’avait pas fait beaucoup de dégâts. EternalBlue a représenté l’outil dont elle avait besoin pour devenir véritablement dévastatrice. Environ un mois après WannaCry, la deuxième version de Petya (appelée NotPetya) a commencé à se propager en ciblant la vulnérabilité EternalBlue.

    NotPetya était une attaque de ransomware particulièrement insidieuse : un virus sans remède. Elle a chiffré de manière permanente la Table de fichiers maîtres (MFT) et le Secteur de démarrage principal (MBR) des ordinateurs. Même si vous aviez payé la rançon, vos fichiers ne seraient pas libérés : les systèmes affectés par NotPetya ont été désactivés définitivement.

    WannaCry venait tout juste de faire la une des journaux en tant que l’un des piratages les plus importants de tous les temps. Un mois plus tard, NotPetya a éclipsé WannaCry en raison de sa portée et du coût des dommages causés.

    Le coût faramineux d’EternalBlue

    Il est difficile d’évaluer le coût des ravages mondiaux qu’a causés EternalBlue, d’autant plus qu’il continue de faire des dégâts à ce jour.

    On estime que WannaCry et NotPetya ont chacune causé des milliards de dollars de dégâts, NotPetya étant la pire des deux. Et la facture d’Indexsinas continue de s’alourdir.

    Voici quelques-unes des organisations qui ont subi les pertes les plus importantes à cause d’EternalBlue :

    • Merck/MSD (géant pharmaceutique) : 670 millions de dollars

    • FedEx (entreprise européenne TNT Express) : 400 millions de dollars

    • Maersk : 300 millions de dollars

    • Mondelez : 180 millions de dollars

    Si l’on additionne ces chiffres, il est facile de comprendre pourquoi EternalBlue est toujours aussi proéminent aujourd’hui. Les pirates informatiques continuent d’utiliser cet exploit pour faire des ravages, et ils ne s’arrêteront pas tant qu’ils seront en mesure de le faire. Chaque appareil Microsoft devrait être protégé par le meilleur logiciel antivirus gratuit possible afin de prévenir EternalBlue et de bloquer d’autres menaces dangereuses.

    Lutter contre les attaques EternalBlue

    EternalBlue agit comme une porte dérobée déverrouillée sur votre ordinateur, permettant aux pirates informatiques d’accéder à vos données personnelles ou même à l’ensemble de votre réseau. Les pirates peuvent facilement entrer et installer tous les malwares dont ils disposent, qu’il s’agisse de ransomwares, de vers, de chevaux de Troie ou autres.

    Voici comment prévenir les attaques EternalBlue et éviter de vous faire pirater :

    Tenez vos appareils à jour.

    Que vous soyez un particulier ou une entreprise, veillez à ce que tous vos appareils Microsoft soient mis à jour. La mise à jour de vos appareils installera automatiquement le correctif EternalBlue MS17-010, et fermera ainsi la porte qu’EternalBlue avait laissée ouverte.

    1. Commencez à saisir Paramètres de mise à jour de Windows dans la zone de recherche, puis cliquez sur Ouvrir.

       Commencez à saisir Paramètres de mise à jour de Windows dans la zone de recherche et ouvrez l’option lorsqu’elle apparaît.
    2. Cliquez sur Redémarrer si des mises à jour sont disponibles ou sur Rechercher des mises à jour.

      Cliquez sur Redémarrer si des mises à jour sont disponibles ou sur Rechercher des mises à jour.

    Désactivez SMBv1

    SMBv1 est le protocole de protection défectueux qui est à l’origine des vulnérabilités EternalBlue. Désactivez-le s’il est présent sur votre PC. En général, on le retrouve sur les anciennes versions de Windows.

    SMBv1 n’est pas installé par défaut sous :

    • Windows 11

    • Windows 10 (sauf éditions Home et Pro)

    • Windows Server 2019 et versions ultérieures

    Vous pouvez désactiver SMBv1 par le biais de PowerShell :

    1. Ouvrez PowerShell en appuyant sur les touches Windows + R, saisissez powershell et cliquez sur OK.

      Saisissez powershell, puis cliquez sur OK.
    2. Saisissez la commande Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol et appuyez sur Entrée.

      Une fois que vous aurez saisi la commande de désactivation de SMBv1 et appuyé sur Entrée, Windows commencera à désactiver le protocole.

    Télécharger un logiciel antivirus

    Il est essentiel d’installer un logiciel antivirus fiable sur tous vos appareils. Vous vous protégerez ainsi contre EternalBlue et pourrez prévenir d’autres attaques de piratage et de malwares.

    Pour installer notre logiciel antivirus gratuit, suivez les étapes ci-dessous :

    1. Téléchargez AVG Antivirus.

    2. Suivez les instructions à l’écran pour ouvrir AVG AntiVirus et l’installer.

    Installez le logiciel EDR (pour les entreprises).

    Si vous dirigez une entreprise, assurez-vous que chaque appareil de votre réseau est équipé d’un logiciel efficace de protection évolutive des points de terminaison. Cette technologie vous protège contre les cyberattaques et détecte les comportements suspects et les menaces potentielles sur les appareils afin de les combattre avant qu’ils ne causent des dommages.

    Protégez-vous contre les menaces en ligne avec AVG.

    Le monde numérique est parsemé de menaces, et les attaques de cybersécurité font constamment des ravages dans les entreprises et chez les particuliers. Mais en prenant les bonnes précautions, vous pouvez vous protéger contre les cyberattaques et les malwares.

    AVG AntiVirus permet de bloquer les liens dangereux, de prévenir les virus informatiques et d’identifier les vulnérabilités telles que l’exploit EternalBlue, afin de protéger votre vie numérique. Bénéficiez dès aujourd’hui d’une protection en ligne de premier plan.

    Protégez votre téléphone contre le piratage avec AVG AntiVirus

    Installation gratuite

    Protégez votre iPhone contre les menaces avec AVG Mobile Security

    Installation gratuite
    Menaces
    Sécurité
    Ben Gorman
    22-09-2023