Home > L’exploit EternalBlue : Qu’est-ce que c’est et pourquoi est-il encore d’actualité ?

Prévention des menaces

L’exploit EternalBlue : Qu’est-ce que c’est et pourquoi est-il encore d’actualité ?

22 views

En 2017, l’exploit EternalBlue a soudainement mis en lumière une faille discrète de Windows à l’échelle mondiale. L’outil avait été développé à l’origine par l’Agence…

Panda SecurityMai 27, 202610 min de lecture

In this article

En 2017, l’exploit EternalBlue a soudainement mis en lumière une faille discrète de Windows à l’échelle mondiale. L’outil avait été développé à l’origine par l’Agence nationale de sécurité américaine (NSA) à des fins d’opérations de renseignement et de lutte contre le terrorisme. Mais après sa divulgation en ligne, des pirates informatiques ont utilisé EternalBlue pour pénétrer dans des ordinateurs vulnérables.

Près d’une décennie plus tard, l’exploit EternalBlue est toujours d’actualité. De nombreux systèmes plus anciens n’ont jamais reçu les mises à jour appropriées. Et certaines organisations utilisent encore des équipements obsolètes qui reposent sur la même technologie. Cela laisse une opportunité aux pirates qui scrutent internet à la recherche de machines restées vulnérables.

Apprenez-en davantage sur l’exploit EternalBlue, son fonctionnement et la façon dont vous pouvez protéger vos appareils des regards indiscrets.

Qu’est-ce qu’EternalBlue ?

Che cos'è EternalBlue?

EternalBlue est un exploit — un morceau de code conçu pour tirer parti d’une faille dans Microsoft Windows. Il cible la vulnérabilité EternalBlue, officiellement référencée sous le nom CVE-2017-0144, dans le protocole de partage de fichiers Windows appelé Server Message Block version 1 (SMBv1).

La faille affecte les versions plus anciennes de Windows, notamment Windows XP ou Windows 7. Et plusieurs éditions de Windows Server qui reposaient sur SMBv1 pour le partage de fichiers en réseau. L’exploit a été développé à l’origine par la NSA à des fins d’opérations de renseignement. C’est pourquoi on le désigne souvent sous le nom d’« EternalBlue NSA ».

L’exploit EternalBlue lui-même n’est pas un logiciel malveillant et ne constitue pas une cyberattaque à part entière. C’est un exploit — un morceau de code qui utilise une vulnérabilité pour s’introduire dans des systèmes. Une fois que les attaquants ont obtenu un accès, ils peuvent installer des ransomwares, des logiciels voleurs d’informations. Ou d’autres programmes malveillants sur votre appareil.

La vulnérabilité est restée cachée pendant des années. Jusqu’à ce qu’un groupe de pirates mystérieux appelé les Shadow Brokers vole et divulgue plusieurs outils informatiques de la NSA en 2017. Une fois l’exploit rendu public, les cybercriminels ont rapidement commencé à l’utiliser dans des attaques à grande échelle.

EternalBlue est-il encore dangereux aujourd’hui ?

Oui, l’exploit EternalBlue est encore dangereux aujourd’hui, mais principalement pour ceux qui utilisent encore des systèmes anciens. De nombreux secteurs utilisent des appareils spécialisés fonctionnant sous d’anciennes versions de Windows et difficiles à mettre à jour. Les équipements médicaux en sont un exemple courant. Certains fonctionnent sur des systèmes obsolètes car leur remplacement ou leur mise à niveau est coûteux.

Microsoft a publié la mise à jour de sécurité MS17-010 comme correctif officiel de l’exploit EternalBlue, et les systèmes modernes comme Windows 11 ne sont pas affectés. Windows 10 peut également être protégé avec des mises à jour logicielles appropriées, mais les machines non corrigées avec SMB exposé sur le port 445 restent vulnérables.

L’installation des dernières mises à jour Windows et la désactivation de SMBv1 permettent de fermer la porte à cette vulnérabilité.

Comment fonctionne EternalBlue ?

L’exploit EternalBlue fonctionne en ciblant SMB, un protocole Windows utilisé pour partager des fichiers et des imprimantes sur un réseau. Lorsqu’un ordinateur vulnérable reçoit des données spécialement conçues, une série de bugs dans le système SMBv1 peut l’amener à mal traiter ces données.

Les attaquants profitent de cette erreur. L’exploit EternalBlue envoie du trafic réseau malveillant qui trompe le système en lui faisant exécuter du code contrôlé par l’attaquant. Une fois à l’intérieur, les pirates peuvent installer différents types de logiciels malveillants, se déplacer dans le réseau ou déployer des ransomwares.

Voici comment l’attaque se déroule :

  • Un cybercriminel envoie un paquet malveillant à une machine Windows via le protocole SMB.
  • Le système traite incorrectement le paquet en raison d’un bug dans SMBv1.
  • Des erreurs de mémoire se produisent, permettant à l’attaquant de prendre le contrôle d’une partie du système.
  • L’attaquant exécute du code malveillant à distance sans se connecter.
  • Le logiciel malveillant infecte la machine puis se propage à d’autres systèmes vulnérables du réseau.

Les principales cyberattaques ayant utilisé EternalBlue

Après la divulgation de l’exploit EternalBlue en 2017, les cybercriminels ont rapidement commencé à l’utiliser dans des attaques réelles. Certaines ont causé des milliards de dollars de dégâts et perturbé des hôpitaux, des entreprises et des agences gouvernementales dans le monde entier. Voici quelques attaques majeures.

WannaCry

WannaCry

L’attaque WannaCry via EternalBlue a été l’une des plus grandes épidémies de ransomware de l’histoire. En mai 2017, le logiciel malveillant a utilisé l’exploit EternalBlue pour se propager automatiquement entre des machines Windows vulnérables, chiffrant les fichiers et exigeant un paiement en Bitcoin.

En quelques jours, l’attaque a infecté plus de 200 000 ordinateurs dans plus de 150 pays et causé environ 4 milliards de dollars de dégâts à l’échelle mondiale.

NotPetya

NotPetya est apparu quelques semaines seulement après WannaCry, en juin 2017. Il ressemblait à un ransomware, mais était en réalité conçu pour détruire définitivement les données. Le logiciel malveillant a utilisé l’exploit EternalBlue pour se propager à travers les réseaux et paralyser de grandes organisations, notamment en Ukraine, avant de se répandre dans le monde entier.

L’attaque a perturbé des compagnies maritimes, des banques et des fabricants, causant environ 10 milliards de dollars de dégâts à l’échelle mondiale, ce qui en fait l’une des cyberattaques les plus coûteuses de l’histoire.

EternalRocks

EternalRocks est un ver découvert peu après l’épidémie WannaCry. Au lieu d’utiliser un seul exploit, il combinait sept outils de piratage différents de la NSA, dont l’exploit EternalBlue, pour infecter des systèmes Windows vulnérables. Les chercheurs ont averti que le logiciel malveillant pouvait se propager discrètement à travers les réseaux et constituer de grands botnets avant de lancer d’autres attaques.

LemonDuck

LemonDuck est une campagne de logiciels malveillants de longue durée qui cible à la fois les systèmes Windows et Linux. Dans de nombreux cas, il utilise la vulnérabilité EternalBlue pour compromettre des machines Windows non corrigées, puis installe des logiciels malveillants de minage de cryptomonnaies.

La campagne a infecté des milliers de systèmes dans le monde entier. Elle ciblait souvent les entreprises et les environnements cloud pour détourner leur puissance de calcul.

Smominru

Smominru est un grand botnet qui se propage en utilisant la vulnérabilité EternalBlue pour infecter des systèmes Windows obsolètes. Une fois à l’intérieur, il installe des logiciels malveillants de minage de cryptomonnaies qui utilisent secrètement votre ordinateur pour générer de la monnaie numérique.

À son apogée, les chercheurs ont observé le botnet infecter environ 4 700 ordinateurs par jour, compromettant au total des centaines de milliers de machines dans le monde entier.

Comment se protéger d’EternalBlue

Les systèmes modernes fonctionnant sous Windows 11 sont largement protégés, mais les systèmes plus anciens nécessitent davantage d’attention. De nombreuses attaques analysent encore aujourd’hui les réseaux à la recherche de machines non corrigées. Et des outils comme les modules EternalBlue Metasploit permettent aux chercheurs en sécurité — et aux attaquants — de tester rapidement si un système est exposé.

Moyens de réduire le risque :

  • Remplacez l’appareil (passez à Windows 11) : les systèmes fonctionnant sous Windows 11 ne sont pas vulnérables à la faille EternalBlue. Si vous utilisez encore Windows 7 ou d’autres versions obsolètes, la mise à niveau supprime le risque et apporte des protections de sécurité modernes.

Remplacez l'appareil (Windows 11)

  • Corrigez les systèmes anciens : si des systèmes plus anciens doivent rester en ligne, installez la mise à jour de sécurité MS17-010 de Microsoft. Ce correctif ferme la vulnérabilité exploitée par EternalBlue.

Installa le patch sui sistemi obsoleti

  • Désactivez le protocole SMBv1 : l’exploit EternalBlue cible le protocole de partage de fichiers SMBv1. La désactivation de SMBv1 sur les systèmes Windows supprime le composant vulnérable sur lequel s’appuient les attaquants.

Désactivez le protocole SMBv1

  • Ouvrez la boîte de dialogue « Activer ou désactiver des fonctionnalités Windows » : faites défiler vers le bas et développez « Prise en charge du partage de fichiers SMB 1.0/CIFS ». Assurez-vous que la case principale est décochée.
  • Bloquez le port 445 (Windows 10) : les attaques via l’exploit EternalBlue transitent généralement par le port 445, qui gère le trafic SMB. Bloquer le port 445 au niveau du périmètre réseau peut empêcher des attaquants externes d’atteindre les systèmes vulnérables.
  • Activez la protection par pare-feu : un pare-feu correctement configuré peut bloquer le trafic réseau suspect avant qu’il n’atteigne les services vulnérables. Cela ajoute une barrière supplémentaire entre les attaquants et votre système.

Attiva il firewall

  • Segmentez les réseaux : la segmentation du réseau limite la propagation des logiciels malveillants. Si un logiciel malveillant infecte une machine, des zones réseau plus petites limitent les dégâts.

Les enjeux sont élevés. Les statistiques sur les ransomwares révèlent que la demande de rançon médiane en 2025 dépassait 1,3 million de dollars. Maintenir les systèmes à jour et limiter l’exposition au réseau contribue grandement à fermer cette porte.

Bloquez le prochain exploit Windows avec Panda Security

La vulnérabilité EternalBlue n’affecte peut-être plus la plupart des systèmes modernes aujourd’hui. Mais elle rappelle à quel point une faille cachée peut rapidement se transformer en cyberattaque mondiale. Lorsque des vulnérabilités passent inaperçues, les attaquants agissent vite, les utilisant pour propager des ransomwares et d’autres menaces à travers les réseaux avant que vous ayez le temps de réagir.

Panda Dome aide à combler ce manque. Il utilise l’analyse comportementale pour repérer les activités suspectes. Ce qui permet de détecter les menaces zero-day avant même que des signatures traditionnelles n’existent. Notre logiciel surveille également le trafic réseau et bloque les attaques qui tentent d’exploiter les vulnérabilités Windows. Il stoppe les menaces avant qu’elles ne se propagent sur vos appareils.

Protégez vos appareils dès aujourd’hui avec Panda Dome et gardez une longueur d’avance sur le prochain exploit Windows.

Author

Panda Security

Panda Security est spécialisé dans le développement de produits de sécurité des points d'accès et fait partie du portefeuille WatchGuard de solutions de sécurité informatique. Initialement axée sur le développement de logiciels antivirus, l'entreprise a depuis élargi son champ d'activité à des services de cybersécurité avancés avec une technologie de prévention de la cybercriminalité.

Related Articles