5. Quelques chiffres
0% 5% 10% 15% 20% 25% 30% 35%
Email : URL
Email : Pièce jointe
Site web infecté
Réseaux sociaux
Clé USB
Application interne
Source inconnue
Source des attaques
0
10000
20000
30000
40000
50000
60000
70000
Russie USA Canada France Ukraine
Attaques de WannaCry
6. Comment fonctionne un ransomware ?
Le payload chiffre les
fichiers ou le disque
.locky
Le payload envoie la
clé de chiffrement
aux serveurs
AES-128
Se propage par
phishing ou par un
site web infecté
SMTP
Le payload affiche la
demande de rançon
@BitCoins
Récupère un code
malicieux sur Internet
payload.dll
7. Pourquoi votre antivirus ne peut pas tous les détecter ?
Démarrage
de la campagne
d’attaque
du ransomware
Fin de la 1ère
campagne
d’attaque
Publication des
définitions antivirus
Analyse de la campagne du ransomware WannaCry
12 mai
14H30
15h00 15h30 16h00 17h00
8. Le cas spécifique de WannaCry
Le payload chiffre et
renomme les fichiers
.WNRY
Le payload affiche la
demande de rançon
@WannaDecryptor@.exe
Le payload est éxécuté
par l’exploit
mssecsvc.exe
Utilise une vulnérabilité
Microsoft SMB
EternalBlue
Cherche d’autres cibles
sur le réseau
Exploite la même
vulnérabilité
10. WannaCry n’était que la première vague
Publication massive d’outils de hack utilisé par la
CIA (DarkMatter)
Athena : exécution persistante de code à distance
dans Windows (de XP à Win10)
SonicScrewdriver : exécution de code au démarrage
DarkSeaSkies : code ciblant le boot EFI, le noyau
Windows et l’espace utilisateur
Triton : code ciblant MacOS et pouvant s’installer en
tant que service
Marbled Framework : injection d’exploit dans un
programme pour masquer son identité
GrassHopper : utilise Windows Update pour exécuter
du code persistant ou non-persistant
Margarita, l’outil de conception
de launcher de la CIA
14. En terme de sécurité,
l’utilisateur reste
toujours la principale
faiblesse…
15. Comment bien se protéger ?
85%
permet de
limiter au
moins
Mettre en place ces 4 stratégies
des intrusions
malveillantes
1
Appliquez les
correctifs systèmes
2
Appliquez les
correctifs applicatifs
4
Gérez les privilèges
utilisateurs
3
Contrôlez les
applications
16. Appliquez les correctifs systèmes et applicatifs
Ivanti Patch supporte les 60
applications les plus
vulnérables
Ivanti Patch supporte les
systèmes d’exploitation
suivants
18. WHITELISTING
ADAPTATIF INTELLIGENT
Gestion de l’utilisateur
Gestion du contexte
Intégration des nouveaux logiciels et
correctifs de sécurité
Approbation les éditeurs de confiance
Autorisation des applications existantes
Evolution automatique du patrimoine
applicatif
20. GESTION DES DROITS
UTILISATEUR
ADAPTATIF EFFICACE
Adapté au contexte
Adapté à l’application et à l’utilisateur
Autorisation à la volée des applications
Intégration avec le HelpDesk
Gestion des applications nécessitant
les droits d’administration