Nous relayons ci-dessous le message de notre FSSI.

Mesdames et Messieurs,

Des attaques informatiques rendant hors service des postes de travail et des serveurs en France et dans le monde sont actuellement en cours. Des analyses techniques sont en cours. Le virus semble être une variante d’un cryptovirus (ransomware) apparu en 2016, baptisé Petya, d’après les premières constatations. Il est possible que le code malveillant se propage via le réseau. En cas d’infection, la machine redémarre et affiche un message demandant un paiement de 300 bitcoins et de contacter l’adresse électronique wowsmith123456@posteo.net.  En attendant d’éventuelles recommandations adaptées à cette nouvelle campagne, les consignes passées lors des précédentes vagues d’attaques restent valables :

Mesures préventives

  • Sensibiliser l’ensemble du personnel sur la vigilance à apporter à tout mail d’origine inconnue, contenant des pièces-jointes ou des liens.
  • Signaler tout incident de ce type à la chaîne SSI du ministère : ssi@sg.social.gouv.fr
  • Appliquer les dernières mises à jour de sécurité (notamment la mise à jour de sécurité Microsoft MS17-010)
  • Mettre à jour les signatures des antivirus et autres équipements de sécurité
  • De limiter l’exposition du service SMB, en particulier sur internet ;
  • Ne pas payer la rançon.
  • s’il n’est pas possible de mettre à jour une machine, il est recommandé de l’isoler logiquement, voire de l’éteindre
  • Appliquer les recommandations indiquées dans le bulletin d’alerte de l’ANSSI/CERT-Fr de ce jour : http://www.cert.ssi.gouv.fr/site/CERTFR-2017-ALE-012/index.html

 Mesures réactives

  • Si le code malveillant est découvert sur un système, il est recommandé de déconnecter immédiatement du réseau les machines identifiées comme compromises. L’objectif est de bloquer la poursuite du chiffrement et la destruction des documents partagés.
  • Alerter le responsable sécurité ou le service informatique au plus tôt et informer la chaîne de cybersécurité : ssi@sg.social.gouv.fr
  • Prendre le temps de sauvegarder les fichiers importants sur des supports de données isolés. Ces fichiers peuvent être altérés ou encore être infectés. Il convient donc de les traiter comme tels. De plus, les sauvegardes antérieures doivent être préservées d’écrasement par des sauvegardes plus récentes. Cela permet également de conserver des preuves.

Le bulletin d’actualité suivant précise les mesures à appliquer :

*       http://www.cert.ssi.gouv.fr/site/CERTFR-2017-ACT-016/index.html <http://www.cert.ssi.gouv.fr/site/CERTFR-2017-ACT-016/index.html>
*       http://www.cert.ssi.gouv.fr/site/CERTFR-2017-AVI-082/index.html <http://www.cert.ssi.gouv.fr/site/CERTFR-2017-AVI-082/index.html>
*       http://www.cert.ssi.gouv.fr/site/CERTFR-2015-ACT-004/index.html <http://www.cert.ssi.gouv.fr/site/CERTFR-2015-ACT-004/index.html>

Nous vous invitons à suivre régulièrement la publication et la mise à jour des alertes sur le site du Cert-Fr : http://www.cert.ssi.gouv.fr/site/index_ale.html

Share on FacebookTweet about this on TwitterShare on LinkedIn