Suite aux dégâts causés par l’attaque au ransonware WannaCry, qui a touché une énorme quantité d’ordinateurs – 200 000 machines infectées dans 150 pays – Microsoft s’est fendu d’un billet inhabituellement frontal pour accuser les gouvernements, et spécifiquement la NSA et la CIA, agences gouvernementales américaines en charge des questions de cyberdéfense/attaque, de « collecter les failles » pour leur usage personnel, sans jamais les divulguer aux éditeurs de logiciels. Ces failles « zero day » (car jamais divulguées) constituent les moyens privilégiés d’attaque et d’infiltration utilisés par les agences pour le besoin de leurs missions. Parfois achetées fort cher, celles-ci font évidemment courrir un risque majeur aux particuliers, mais aussi aux services Étatiques et publics, comme l’a montré la mise à mal du système de soin anglais pendant le week-end, suite à l’attaque de vendredi.

« Cette attaque fournit un nouvel exemple de l’ampleur du problème que constitue la collecte des failles par les agences gouvernementales », explique Rad Smith, President et Chief Legal Officer de Microsoft. « C’est une question qui prend une grande importance en 2017. Nous avons vu les failles collectées par la CIA mises au jour par WikiLeaks, et maintenant c’est au tour de cette vulnérabilité utilisée par la NSA d’affecter les utilisateurs dans le monde entier. De manière répétée, les exploits détenus par les gouvernements ont fuité dans le domaine public et causé des dommages généralisés », estime-t-il. « Un équivalent dans le monde physique serait que les militaires américains se fassent voler des missiles Tomahawk. Et cette récente attaque témoigne, de manière involontaire mais déconcertante, du lien qui existe entre les deux principales formes de menaces sur la cybersécurité, les actions conduites par des gouvernements et celles des organisations criminelles ».

L’attaque montre aussi la posture délicate de Microsoft, quand l’éditeur a annoncé la fin des mises à jour, y compris de sécurité, concernant ses anciens systèmes d’exploitation, Windows XP en l’occurence. Redmond a d’ailleurs, samedi, proposé une mise à jour de sécurité pour ces anciens systèmes, « vu l’ampleur de la menace ». C’est quasiment une première pour Microsoft, depuis la fin du support de XP en 2014, même si l’éditeur avait, quelques semaines après cette fin proposé une ultime mise à jour de sécurité.

//platform.twitter.com/widgets.js

Du côté des autorités publiques, mais aussi des entreprises et des particuliers, l’attaque WannaCry témoigne de l’importance de l’information et de la vigilance, de même que celle du maintien à jour des systèmes d’exploitation. Le cas de la NHS, le système de soin britannique, illustre la chose à merveille : « en 2014, le renouvellement des protections des systèmes informatiques du NHS n’a pas été effectué. Voilà pourquoi nous avons cette terrible situation », a ainsi expliqué Jeremy Corbin, le leader des travaillistes britanniques. Le NHS posséderait encore des dizaines de milliers d’ordinateurs utilisant Windows XP. Ne pas les mettre à jour ouvre la porte à des attaques de ce type, tandis que les mettre à jour, ou changer de matériels, impacte directement les budgets tendus de l’institution. Le choix est évidemment cornélien.

AUCUN COMMENTAIRE

À vous la parole !

Fermer
*
*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.