Qu’est-ce qu’EternalBlue et comment fonctionne cet exploit ?

EternalBlue, c’est quoi ?

EternalBlue est un exploit informatique ayant été utilisé par l'Agence nationale de sécurité américaine (NSA) dans le cadre d'opérations de collecte de renseignements. Officiellement baptisé MS17-010 par Microsoft, cet exploit a permis à l'Agence nationale de sécurité américaine (NSA) d'accéder aux systèmes d'exploitation Windows à l’instar de Windows XP et Windows 7.

Après avoir remarqué et exploité pendant cinq ans une faille dans le protocole de partage de fichiers SMBv1 (Server Message Block version 1) de Microsoft, la NSA a finalement informé Microsoft de son existence. Cependant, au moment où elle l'a fait, cette faille avait déjà été divulguée par un groupe notoire de hackers connu sous le nom de Shadow Brokers.

Cette faille de sécurité a mis en danger des millions d'utilisateurs et l'ensemble de l'incident a mis en évidence les menaces que représentent la création et l’exploitation de portes dérobées logicielles (backdoors) par la NSA.

L’histoire d’EternalBlue

EternalBlue aurait été développé par la NSA au début des années 2010 dans le cadre de ses opérations de cyberespionnage. En 2016, le groupe de hackers Shadow Brokers met la main sur plusieurs outils de la NSA, dont EternalBlue, et commence à les divulguer publiquement en 2017.

Peu après, les cybercriminels s’emparent de cette vulnérabilité logicielle pour mener des attaques à grande échelle. Le plus notable est WannaCry, qui utilise EternalBlue pour se propager à grande vitesse dans le monde entier, affectant des hôpitaux, entreprises et administrations. En juin 2017, l’exploit est de nouveau utilisé dans l’attaque NotPetya, encore plus destructrice. Malgré des correctifs publiés dès mars 2017, EternalBlue continue d’être exploité dans des cyberattaques des années plus tard, notamment contre des systèmes Windows mal sécurisés ou obsolètes.

La création et l’utilisation de l’exploit EternalBlue peuvent être résumées ainsi :

1. 1.La NSA trouve une vulnérabilité dans les systèmes d’exploitation Windows.
2. 2.Elle crée l’exploit EternalBlue et s’en sert pour collecter des informations sur les utilisateurs.
3. 3.La NSA se fait pirater et le groupe de hackers Shadow Brokers divulgue l’exploit à l’échelle mondiale.
4. 4.La NSA signale la faille à Microsoft, mais il est déjà trop tard : les hackers utilisent l’exploit pour lancer des attaques de logiciels malveillants à grande échelle.

Qui a créé EternalBlue ?

Selon les déclarations de Microsoft, EternalBlue a été développé par la NSA, au terme de plus d’un an de recherche de vulnérabilités potentielles dans les logiciels Microsoft. Lorsqu’elle a finalement trouvé une faille dans le protocole SMBv1, la NSA a développé EternalBlue afin d'exploiter cette vulnérabilité au lieu de signaler immédiatement celle-ci au fournisseur. La NSA a ainsi utilisé EternalBlue durant cinq ans à des fins de surveillance avant d’informer Microsoft de la faille.

EternalBlue n'est qu'un exemple parmi bien d'autres de la collecte et de l'utilisation par la NSA d'exploits et de portes dérobées logicielles. Lorsque la NSA a finalement décidé d'alerter Microsoft, des mesures ont été prises pour corriger la vulnérabilité, mais il était déjà trop tard pour de nombreux utilisateurs.

Avant qu’il ne soit divulgué, EternalBlue était l’un des exploits les plus utiles de l’arsenal cybernétique de la NSA... utilisé dans d’innombrables missions de collecte de renseignements et de lutte contre le terrorisme.

Comment EternalBlue s’est-il propagé ?

Le désormais célèbre groupe de hackers Shadow Brokers, en recherchant les vulnérabilités et expositions courantes (CVE) du système, a obtenu l’accès à EternalBlue et l’a dévoilé publiquement en 2014 sur Twitter.

Le 12 mai 2017, le ransomware WannaCry a commencé à se propager rapidement via la vulnérabilité EternalBlue, infectant 10 000 appareils par heure. En seulement quelques jours, 230 000 ordinateurs Windows avaient été infectés à travers 150 pays différents. Le malware, qui chiffre les données sur l'appareil infecté, a fini par toucher de grandes organisations telles que FedEx, la Deutsche Bahn et le NHS britannique.

L'attaque de ransomware Petya a également utilisé l'exploit EternalBlue pour se propager rapidement sur les appareils Microsoft en 2017. Le malware s'installait, chiffrait les données sur l'appareil hôte, puis exigeait une rançon de 300 dollars en échange d'une clé de déchiffrement.

La réponse de Microsoft

Suite à la découverte de l’exploit et de ses conséquences, Microsoft s’est empressé de publier une mise à jour visant à protéger les systèmes d’exploitation vulnérables et a désactivé le protocole SMBv1 sur les dernières versions de Windows.

La société a par ailleurs demandé à établir une Convention de Genève du numérique impliquant la NSA et d’autres entités gouvernementales, afin de stopper la collecte et l’utilisation de vulnérabilités logicielles par les gouvernements.

Comment fonctionne EternalBlue ?

L'exploit EternalBlue tirait parti d’une vulnérabilité de sécurité dans le protocole de partage de fichiers SMBv1. Ce protocole permettait aux appareils Microsoft de communiquer entre eux, notamment pour l’accès partagé aux fichiers et aux imprimantes, mais il était vulnérable à la manipulation.

Pour exploiter EternalBlue, les pirates envoyaient un paquet de données SMBv1 malveillant à un serveur Windows présentant la vulnérabilité. Le logiciel malveillant contenu dans le paquet pouvait ensuite se propager rapidement vers d'autres appareils équipés du logiciel Microsoft vulnérable.

Suite à la révélation de cette faille de sécurité en 2017, les pirates ont profité de la vulnérabilité pour mener des attaques dévastatrices et diffuser massivement des virus informatiques et autres fichiers malveillants sur les appareils Windows des victimes. Mais si la vulnérabilité a été corrigée en 2017 par Microsoft, faut-il encore craindre EternalBlue aujourd’hui ?

EternalBlue existe-t-il toujours ?

La vulnérabilité exploitée par EternalBlue a été corrigée par Microsoft en 2017 suite à la révélation de son existence par la NSA. Par conséquent, les appareils Windows équipés d'un logiciel à jour sont à l'abri de cette menace spécifique. 

Néanmoins, malgré la publication d’un correctif de sécurité, les attaques EternalBlue continuent de se produire régulièrement. La société de sécurité Avast estime qu'elle bloque chaque mois environ 20 attaques liées à l’exploit EternalBlue.

Exemples d’attaques liées à l’exploit EternalBlue

L’exploitation d’EternalBlue a entraîné des cyberattaques notables ayant causé des dommages à grande échelle :

• La société de logistique FedEx a été lourdement impactée par l’attaque NotPetya, qui exploitait EternalBlue pour se propager. Sa filiale européenne, TNT Express, a vu ses systèmes informatiques totalement paralysés, provoquant des retards massifs dans les livraisons et des pertes opérationnelles majeures. FedEx a estimé le coût total de l’incident à plus de 300 millions de dollars.
• La même année, le géant danois du transport maritime Maersk a été frappé par la même cyberattaque. Tous ses systèmes IT mondiaux ont été mis à l’arrêt, des ports aux terminaux, bloquant les chaînes logistiques dans plusieurs pays. Il a fallu reconstruire 4 000 serveurs et 45 000 ordinateurs, entraînant des pertes estimées à plus de 300 millions de dollars.
• Le groupe pharmaceutique américain Merck a lui aussi été victime d’une attaque exploitant EternalBlue. La production de certains vaccins et médicaments a été interrompue, affectant directement l’approvisionnement en soins. Merck a déclaré des pertes supérieures à 870 millions de dollars.
• En 2017, des cybercriminels ont utilisé EternalBlue pour infiltrer les systèmes du ministère russe de l’Intérieur. Plus de 1 000 ordinateurs ont été compromis, illustrant à quel point le manque de mise à jour des systèmes pouvait également fragiliser les institutions étatiques.

Mon appareil risque-t-il d’être ciblé par EternalBlue ?

Si vous utilisez une ancienne version de Windows ou si vous n'avez pas mis à jour vos appareils depuis 2017, vous risquez très certainement d’être exposé à EternalBlue. En revanche, si vous utilisez une version à jour de Windows et que vous installez régulièrement les nouvelles mises à jour, vous n'avez pas à vous soucier de la faille EternalBlue.

Cependant, cela ne signifie pas que vous êtes à l'abri des attaques de logiciels malveillants et de ransomware, tels que WannaCry et Petya. Ces programmes malveillants peuvent se propager par d'autres moyens, tels que des pièces jointes infectées dans le cadre d'attaques de phishing. Il est donc important de rester vigilant, même si l'exploit EternalBlue ne représente pas une menace pour vous.

La bonne nouvelle, c'est que vous pouvez dès maintenant prendre des mesures pour vous protéger contre les logiciels malveillants et autres menaces en ligne.

Comment se protéger contre l’exploit EternalBlue

Pour vous protéger contre les risques en ligne tels que les ransomwares, il est important d’appliquer des mesures de sécurité solides. Que vous soyez utilisateur de Windows ou non, suivez nos conseils pour rester en sécurité lorsque vous naviguez :

• Maintenez vos logiciels à jour. S’il faut retenir une leçon du cas EternalBlue, c'est l'importance de mettre à jour ses logiciels. Dès que des mises à jour sont disponibles pour vos applications et vos systèmes d'exploitation, installez-les rapidement afin de bénéficier des derniers correctifs de sécurité.
• Utilisez un VPN et des fonctions anti-malware. Chiffrer vos données avec un VPN chaque fois que vous êtes en ligne est un réflexe essentiel pour éviter l’interception de vos informations par des tiers, notamment via une attaque de l’homme du milieu. Certains VPN premium comme NordVPN disposent de fonctionnalités supplémentaires capables de protéger votre appareil contre les logiciels malveillants, les traqueurs et autres menaces en ligne.
• Méfiez-vous des liens suspects. Même si vous n'êtes plus exposé à EternalBlue, vous pouvez toujours télécharger des logiciels malveillants via des liens douteux. Les e-mails de phishing utilisent des techniques de manipulation parfois sophistiquées pour vous emmener vers des sites web hébergeant des logiciels malveillants. Avant de cliquer sur un lien ou une pièce jointe, vérifiez toujours minutieusement la légitimité de l’expéditeur.
• Activez la fonctionnalité Protection Anti-menaces Pro de NordVPN. Protection Anti-menaces Pro est un outil anti-malware puissant conçu pour vous protéger contre les menaces courantes en ligne. Il comprend un bloqueur de publicités, de traqueurs et de sites dangereux, ainsi que l’analyse de vos téléchargements à la recherche de fichiers infectés.