Qu'est-ce qu'EternalBlue ?

"EternalBlue" est le nom d'un exploit développé par la NSA pour une vulnérabilité dans SMBv1 qui était présente dans tous les systèmes d'exploitation Windows entre Windows 95 et Windows 10. Server Message Block version 1, ou SMBv1, est un protocole de communication utilisé pour partager l'accès aux fichiers, aux imprimantes et aux ports série sur le réseau.

Conseil: La NSA était auparavant identifiée comme un acteur de menace du « groupe d'équations » avant que cela et d'autres exploits et activités ne lui soient liés.

La NSA a identifié la vulnérabilité dans le protocole SMB au moins dès 2011. Dans le cadre de sa stratégie de stockage des vulnérabilités pour son propre usage, a choisi de ne pas les divulguer à Microsoft afin que le problème puisse être corrigé. La NSA a ensuite développé un exploit pour le problème qu'elle a appelé EternalBlue. EternalBlue est capable d'accorder un contrôle complet sur un ordinateur vulnérable car il autorise l'exécution de code arbitraire au niveau de l'administrateur sans nécessiter l'intervention de l'utilisateur.

Les courtiers de l'ombre

À un moment donné, avant août 2016, la NSA a été piratée par un groupe se faisant appeler « The Shadow Brokers », qui serait un groupe de piratage parrainé par l'État russe. Les Shadow Brokers ont eu accès à une grande quantité de données et d'outils de piratage. Ils ont d'abord essayé de les vendre aux enchères et de les vendre pour de l'argent, mais n'ont reçu que peu d'intérêt.

Astuce: Un « groupe de piratage parrainé par l'État » est un ou plusieurs pirates informatiques opérant soit avec le consentement explicite, le soutien et la direction d'un gouvernement, soit pour des cyber-groupes offensifs officiels du gouvernement. L'une ou l'autre option indique que les groupes sont très bien qualifiés, ciblés et délibérés dans leurs actions.

Après avoir compris que leurs outils étaient compromis, la NSA a informé Microsoft des détails des vulnérabilités afin qu'un correctif puisse être développé. Initialement prévu pour une sortie en février 2017, le correctif a été repoussé à mars pour garantir que les problèmes étaient correctement résolus. Le 14e de mars 2017, Microsoft a publié les mises à jour, la vulnérabilité EternalBlue étant détaillée par le bulletin de sécurité MS17-010, pour Windows Vista, 7, 8.1, 10, Server 2008, Server 2012 et Server 2016.

Un mois plus tard, le 14e d'avril, The Shadow Brokers a publié l'exploit, ainsi que des dizaines d'autres exploits et détails. Malheureusement, bien que les correctifs aient été disponibles pendant un mois avant la publication des exploits, de nombreux systèmes n'ont pas installé les correctifs et sont restés vulnérables.

Utilisation de l'EternalBlue

Un peu moins d'un mois après la publication des exploits, le 12e En mai 2017, le ver ransomware "Wannacry" a été lancé en utilisant l'exploit EternalBlue pour se propager sur autant de systèmes que possible. Le lendemain, Microsoft a publié des correctifs de sécurité d'urgence pour les versions de Windows non prises en charge: XP, 8 et Server 2003.

Conseil: « Ransomware » est une classe de logiciels malveillants qui crypte les appareils infectés, puis détient la clé de décryptage pour demander une rançon, généralement pour Bitcoin ou d'autres crypto-monnaies. Un « ver » est une classe de malware qui se propage automatiquement à d'autres ordinateurs, plutôt que d'exiger que les ordinateurs soient infectés individuellement.

Selon IBM X-Force le ver ransomware « Wannacry » a été responsable de plus de 8 milliards de dollars de dommages dans 150 pays, même si l'exploit n'a fonctionné de manière fiable que sur Windows 7 et Server 2008. En février 2018, les chercheurs en sécurité ont réussi à modifier l'exploit pour pouvoir fonctionner de manière fiable sur toutes les versions de Windows depuis Windows 2000.

En mai 2019, la ville américaine de Baltimore a été touchée par une cyberattaque utilisant l'exploit EternalBlue. Un certain nombre d'experts en cybersécurité ont souligné que cette situation était entièrement évitable car les correctifs étaient disponibles depuis plus de deux ans à ce moment-là, une période au cours de laquelle, au moins « Critical Security Patches » avec « Public Exploits » auraient dû être installée.