Il existe un protocole, activé par défaut sur Windows, qui a plus de 30 ans et qui est extrêmement sensible aux attaques. Une de ses vulnérabilités a permis aux attaques de WannaCry et Petya d’infecter des milliers d’ordinateurs dans le monde entier.
Il s’agit de SMB v1 (Server Message Block version 1), une ancienne technologie utilisée pour partager des fichiers sur un réseau. Et récemment, des chercheurs ont montré qu’une défaillance de ce protocole permettait de faire tomber une machine Windows par une attaque par déni de service.
Les chercheurs de RiskSense ont fait une démonstration lors de la conférence DefCon en utilisant un Raspberry Pi ? et il pourrait “faire tomber le serveur le plus robuste”, dit Sean Dillon, membre de l’équipe, à Threatpost.
La vulnérabilité, appelée “SMBloris”, ne nécessite pas un ordinateur puissant pour être exploitée. Il existe depuis vingt ans et est présent dans les systèmes d’exploitation depuis Windows 2000, y compris Windows 10.
La réponse de Microsoft ? It ne résoudra pas ce bug. La société affirme que les ports SMB v1 ne doivent pas être exposés sur Internet et doivent être protégés par un pare-feu.
Par ailleurs, Microsoft commence enfin à désactiver SMB v1, qui sera désinstallé par défaut dans Windows 10 Fall Creators Update et Windows Server 2016 RS3 dans la plupart des cas.
Les employés de Microsoft eux-mêmes recommandent publiquement que vous désactiviez ce protocole. Dans le blog officiel de l’entreprise, le responsable de la programmation Ned Pyle a écrit l’année dernière : “Arrêtez d’utiliser SMB1. Arrêtez d’utiliser SMB1. ARRÊTEZ D’UTILISER SMB1 !”.
Les raisons ne manquent pas : le SMB v1 n’est pas sécurisé (il ne supporte pas le cryptage !); il n’est pas efficace pour la communication en réseau ; et il n’est même pas nécessaire dans la plupart des cas. Les versions plus récentes, telles que SMB v2 et v3, sont plus recommandables.
La première version du protocole est encore utilisée dans de rares cas :
Désactivation de SMB v1
En d’autres termes, la désactivation de SMB v1 ne vous affectera probablement pas, et pourrait rendre votre ordinateur un peu plus sûr. C’est une méthode recommandée par Ned Pyle, par Microsoft lui-même et par Ed Bott, un journaliste qui a couvert l’entreprise pendant des décennies.
Et cela est simple. Tout d’abord, ouvrez le menu Démarrer, tapez “Panneau de configuration” et appuyez sur Entrée :
Cliquez sur Programmes :
Cliquez sur “Activer ou désactiver les fonctionnalités de Windows” :
Faites défiler la liste pour trouver l’option “SMB 1.0/CIFS File Sharing Support” et cliquez sur la case à côté pour la désactiver. Cliquez sur OK.
Enfin, choisissez si vous voulez redémarrer votre ordinateur maintenant ou plus tard pour appliquer les changements.
Si vous gérez un réseau d’entreprise, utilisez cette commande pour voir si un ordinateur nécessite SMB v1 :
Set-SmbServerConfiguration -AuditSmb1Access €true
Sinon, utilisez ce module PowerShell pour détecter quels ordinateurs ont SMB v1 activé ; et désactivez-le via une directive de groupe en suivant ces instructions.
Oui, Microsoft désactivera SMB v1 dans la plupart des cas avec Windows 10 Fall Creators Update. Mais si vous voulez le faire maintenant, ou si vous êtes dans des versions antérieures de Windows, vous savez déjà comment procéder.