L’épidémie du cheval de Troie ransomware WannaCry a déjà provoqué un tas de problèmes pour toutes sortes d’entreprises. Cependant, nous nous attendons à ce que les entreprises dont les infrastructures emploient des systèmes embarqués se sentent particulièrement mécontentes des auteurs de ce malware.
En théorie, les systèmes embarqués ne devraient pas être intéressants pour les acteurs de ransomwares. Il est suspect que quelqu’un puisse payer une rançon pour un système purement utilitaire qui ne détient aucune donnée de valeur et dont le disque dur est régulièrement reformaté de toute façon. Mais WannaCry ne choisit pas ses cibles. En raison de la nature particulière qu’il exploite, WannaCry s’est répandu largement à travers des réseaux locaux et a infecté toutes les machines non corrigées et non protégées.
De nulle part
Il serait injuste de dire que ce fléau a été une révélation : Le problème de la sécurité insuffisante des systèmes embarqués n’est pas nouveau, et on sait depuis longtemps qu’ils sont moins protégés (le cas échéant) que les postes de travail et les serveurs. Cependant WannaCry a mis l’accent sur la question.
Lorsqu’on parle de systèmes embarqués, les distributeurs automatiques, et les terminaux de points de vente nous viennent à l’esprit. Et en effet, certains d’entre eux ont été infectés, Bien qu’ils aient tendance à être protégés en raison de la réglementation et parce qu’ils sont fréquemment victimes de menaces. L’infection de tels systèmes comme les panneaux d’information, l’équipement médical, et les distributeurs automatiques est un problème plus important, c’est le moins qu’on puisse dire.
Wow, even in my building lobby! #WannaCry #ransomware pic.twitter.com/ilPqHBmiB5
— Andrew Tinits (@amtinits) May 12, 2017
//platform.twitter.com/widgets.js
Ceux qui possèdent des systèmes embarqués infectés ne se sentent pas mieux en sachant qu’ils n’ont pas payé de rançon aux cybercriminels ; ils ont toujours subi des dommages notables.
Les distributeurs automatiques inopérables, les guichets, ou les kiosques automatiques de tickets impliquent des déficits de trésorerie.
Une demande de rançon sur un écran accessible au public indique aux clients « Notre sécurité est mauvaise ». Il est difficile d’évaluer les dommages causés par ce message quant à la réputation d’une entreprise. Un client verra-t-il de nouveau ce message ?
Les terminaux infectés nécessitent des réparations. Si vous utilisez des centaines de terminaux, vous pouvez compter l’argent que vous allez dépenser, surtout étant donné la distribution géographique et l’urgence à laquelle votre personnel doit réinstaller des systèmes d’exploitation et faire des changements sur les paramètres de sécurité. Et certains périphériques peuvent utiliser des logiciels obsolètes qui sont difficiles voire impossibles à réinstaller.
Ces écrans ne sont pas passés inaperçus.
Don’t worry boss, no-one outside the company will ever know we were hit by #WannaCry pic.twitter.com/ciI2gdBVSR
— Graham Cluley (@gcluley) May 14, 2017
//platform.twitter.com/widgets.js
Comment résoudre le problème
Pourquoi les systèmes embarqués manquent-ils de protection ? Il y a deux raisons à ça. Tout d’abord, jusqu’à présent leur sécurité était souvent négligée. Deuxièmement, ils avaient tendance à exécuter un vieux hardware et à utiliser des canaux Internet à faible bande passante et des systèmes d’exploitation désuets. Ils semblent tout simplement inaptes à exécuter des solutions de sécurité au-dessus de leurs ressources hardware.
Nous devons admettre que dans un sens, WannaCry a aidé le monde à mettre en lumière le premier problème. Et il est vrai que protéger des systèmes embarqués avec des solutions antimalwares traditionnelles n’est sans doute pas l’approche la plus efficace. C’est la raison pour laquelle nous avons développé Kaspersky Embedded Systems Security, plus particulièrement sur une vaste gamme de systèmes embarqués. Il nécessite moins de ressources qu’une solution de sécurité de bureau, mais il prévient l’infection en employant un certain nombre de fonctions de sécurité de bureau.
Dans le cas d’attaques de cryptomalwares (y compris WannaCry), la solution fonctionne comme ceci :
Le mode de Refus par défaut est la technologie de base du produit. Il s’oppose à l’exécution de tout code, y compris les scripts, s’ils n’ont pas été inscrits sur la liste blanche. Par conséquent même si un cryptomalware a pu s’infiltrer dans un système, par exemple, en se cachant dans un progiciel légitime, il ne pourra pas s’exécuter.
Le composant de protection de la mémoire de processus analyse l’intégralité des processus en mémoire et prévient les tentatives d’exploiter des vulnérabilités à la fois connues et inconnues.
Kaspersky Embedded Systems Security comprend un pare-feu à commande centralisée, qui permet une désactivation rapide du port utilisé par une vulnérabilité une fois qu’elle est découverte.
La technologie qui contrôle les dispositifs USB lorsqu’ils sont connectés favorise davantage la solution. Cela prévient les infections des dispositifs USB non sécurisés, par exemple, quelque chose qui pourrait se produire pendant la maintenance.
Le module antimalware, disponible en tant qu’option, nettoie le système de n’importe quel fichier infecté.
Selon nos enregistrements, aucun des appareils protégés par Kaspersky Embedded Systems Security n’a été affecté par le fléau WannaCry. Cette solution protège actuellement des centaines de milliers de systèmes embarqués à travers le monde, il est donc juste de dire qu’elle a passé ce test avec brio dans la vie réelle. Ainsi, si votre infrastructure de réseaux comprend des systèmes embarqués tournant sous Windows Embedded, nous vous recommandons fortement d’essayer notre solution.
Source: Kaspersky
WannaCry : Partout sur les écrans !