PME - NotPetya, l'histoire des dommages collatéraux
17 septembre 2025
Parce que... c'est l'épisode 0x653!
Parce que… c’est l’épisode 0x653!
Shameless plug
- 4 et 5 novembre 2025 - FAIRCON 2025
- 8 et 9 novembre 2025 - DEATHcon
- 17 au 20 novembre 2025 - European Cyber Week
- 25 et 26 février 2026 - SéQCure 2026
- 14 au 17 avril 2026 - Botconf 2026
- 28 et 29 avril 2026 - Cybereco Cyberconférence 2026
- 9 au 17 mai 2026 - NorthSec 2026
- 3 au 5 juin 2025 - SSTIC 2026
Description
Introduction et contexte
Dans cet épisode du podcast, l’équipe composée de Nicolas, Cyndie et Dominique explore l’histoire de NotPetya, une cyberattaque majeure qui, bien qu’elle ait principalement visé de grandes entreprises, offre des enseignements cruciaux pour les petites et moyennes entreprises. L’objectif est de démontrer que même les incidents qui semblent éloignés des PME peuvent les affecter directement ou indirectement, et qu’il existe des mesures préventives essentielles à mettre en place.
Le témoignage de l’intérieur
Dominique partage son expérience vécue du jour de l’attaque NotPetya. Travaillant pour un fournisseur de services gérés (MSP), il se trouvait en séminaire avec son équipe lorsque l’incident s’est produit. L’équipe de surveillance a commencé à remarquer des anomalies : des machines s’arrêtaient progressivement, puis des dizaines, puis des centaines de serveurs cessaient de fonctionner. Lorsque 200 à 300 machines sont tombées, il est devenu évident qu’il s’agissait d’un problème majeur nécessitant une intervention immédiate, malgré le contexte festif du séminaire.
Le fonctionnement de NotPetya
NotPetya est un malware qui s’est initialement propagé via un logiciel de comptabilité ukrainien compromis. Un client disposant de bureaux en Ukraine a effectué une mise à jour routinière et a involontairement téléchargé le virus. Le malware s’est ensuite comporté comme un ver informatique, se propageant à travers les réseaux de manière particulièrement vicieuse. Nicolas explique que NotPetya exploitait EternalBlue, une vulnérabilité découverte par la NSA et divulguée par le groupe Shadow Brokers. Cette faille affectait le protocole SMB, permettant une exécution de code à distance sans authentification, nécessitant simplement d’être sur le même réseau.
La technique de propagation était sophistiquée : le virus se diffusait pendant environ vingt minutes, infectant d’autres machines, avant de redémarrer le serveur sur un écran de demande de rançon. Cette temporisation permettait une propagation massive avant que les dommages ne deviennent visibles. Le malware était capable de détecter les contrôleurs de domaine et d’abuser de leurs privilèges pour maximiser la destruction. Bien qu’une rançon de 300 dollars soit demandée, le paiement ne permettait pas de récupérer les données, révélant que l’objectif principal était la destruction pure et simple.
Les failles de sécurité révélées
L’incident a mis en lumière plusieurs problèmes de sécurité fondamentaux. Premièrement, malgré la taille et les ressources de l’entreprise touchée, la segmentation réseau était insuffisante. Le responsable de la sécurité (CISO) était convaincu que tout était correctement segmenté et que la propagation était impossible. La réalité a prouvé le contraire : environ 50 000 serveurs ont été affectés en raison de partages réseau non sécurisés et d’interconnexions excessives.
Deuxièmement, le laxisme concernant les mises à jour de sécurité a joué un rôle crucial. EternalBlue était déjà connu au moment de l’attaque NotPetya, mais de nombreux serveurs n’avaient pas été corrigés. Troisièmement, une pratique dangereuse a été identifiée : certains clients avaient joint leurs systèmes de sauvegarde au domaine Active Directory. Nicolas insiste fortement sur ce point : il ne faut jamais joindre les serveurs de backup au domaine, un conseil tellement important que l’équipe envisage d’en faire des t-shirts promotionnels.
Les conséquences économiques
Les chiffres sont éloquents : NotPetya a causé environ 10 milliards de dollars de dommages économiques mondiaux. Des entreprises majeures ont été lourdement touchées, notamment Maersk, l’un des plus grands transporteurs maritimes au monde, avec 870 millions de dollars de coûts en 2017, et FedEx avec 300 millions de dollars. Ces entreprises n’ont pas été directement piratées mais ont été victimes collatérales via leur chaîne d’approvisionnement. L’arrêt de production s’est étendu sur plusieurs semaines, période pendant laquelle les employés ne pouvaient rien faire.
Les leçons pour les PME
Le podcast souligne plusieurs points essentiels pour les petites et moyennes entreprises. Premièrement, aucune organisation n’est à l’abri, quelle que soit sa taille. Des incidents récents comme les packages NPM compromis ou l’incident CrowdStrike démontrent que ces menaces persistent. Les PME peuvent devenir des points d’entrée pour attaquer de plus grandes entreprises, ce qui explique pourquoi les grandes organisations exigent de plus en plus de certifications de sécurité de leurs partenaires, même petits.
L’exemple récent de Salesforce, attaqué via un petit fournisseur, illustre parfaitement ce risque. Les attaquants privilégient le maillon le plus faible, et un petit fournisseur ayant accès au réseau d’une grande entreprise devient une cible attractive.
Les mesures de protection essentielles
L’équipe recommande plusieurs mesures concrètes et accessibles. Il faut segmenter correctement les réseaux, s’assurer que les sauvegardes sont fonctionnelles et isolées du domaine, et maintenir les systèmes à jour. Les scans de vulnérabilité permettent d’identifier les problèmes invisibles. Des outils comme Shodan révèlent souvent des éléments inquiétants : caméras de surveillance, systèmes HVAC et autres équipements accessibles depuis Internet.
Concernant les accès des fournisseurs, il faut se demander s’ils ont réellement besoin d’un accès administrateur permanent ou si un accès temporaire, limité au moment de l’intervention, suffirait. Le principe directeur doit être le besoin réel plutôt que la facilité. Fermer les accès extérieurs non essentiels et se protéger derrière un pare-feu constituent des bases fondamentales.
Conclusion
Les PME disposent d’un avantage par rapport aux grandes entreprises : leur périmètre est plus restreint et donc plus facile à sécuriser. Elles doivent éviter toute entreprise promettant une sécurité à 100%, car celle-ci n’existe pas. L’important est d’implémenter les mesures de base correctement. Les PME peuvent devenir des dommages collatéraux d’incidents qui ne les visent pas directement, mais elles devront néanmoins en assumer les coûts de nettoyage. NotPetya et d’autres incidents récents rappellent l’importance d’une vigilance constante et de pratiques de sécurité solides, accessibles à toutes les organisations.
Collaborateurs
Crédits
- Montage par Intrasecure inc
- Locaux virtuels par Riverside.fm
Tags: resilience, virus
Tweet
