Back to blog
EternalBlueMS17-010WannaCryWindowsSMBransomware

EternalBlue et MS17-010 : la faille derrière WannaCry

MS17-010, la vulnérabilité SMB exploitée par EternalBlue, est à l'origine de WannaCry et NotPetya. Analyse technique, impact mondial et mesures de protection.

April 23, 20264 min read

En mai 2017, le ransomware WannaCry paralysait en quelques heures des centaines de milliers de systèmes dans 150 pays — hôpitaux, usines, banques. Son arme : EternalBlue, un exploit développé par la NSA et divulgué par le groupe Shadow Brokers, ciblant la vulnérabilité MS17-010 dans le protocole SMBv1 de Windows.

Qu'est-ce que MS17-010 ?

MS17-010 est une vulnérabilité critique dans l'implémentation Windows du protocole SMB (Server Message Block) — le protocole de partage de fichiers et d'imprimantes en réseau. Une faille dans le traitement des requêtes SMBv1 permet à un attaquant non authentifié d'exécuter du code arbitraire avec les privilèges SYSTEM.

Score CVSS : 9.3 (Critique)
Publié : 14 mars 2017
Patch : MS17-010 (KB4012212)

Versions affectées

  • Windows XP, Vista, 7, 8, 8.1, 10
  • Windows Server 2003, 2008, 2008 R2, 2012, 2016
  • Toutes versions avec SMBv1 activé

EternalBlue : l'exploit de la NSA

EternalBlue est le nom de l'exploit développé par la NSA pour MS17-010, divulgué publiquement en avril 2017 par les Shadow Brokers. Il exploite un débordement de buffer dans le traitement des transactions SMB, permettant d'injecter et exécuter du shellcode.

L'exploit est particulièrement redoutable car :

  • Aucune authentification requise — il suffit que le port 445 soit accessible
  • Propagation automatique — WannaCry se répliquait sans intervention humaine
  • Fiabilité élevée — taux de succès proche de 100% sur les systèmes non patchés

WannaCry : l'attaque mondiale

Le 12 mai 2017, WannaCry combinait EternalBlue avec DoublePulsar (un backdoor NSA) pour se propager à une vitesse sans précédent :

  • 300 000+ machines infectées en 72 heures
  • 150 pays touchés
  • NHS (Royaume-Uni) : 80 hôpitaux paralysés, opérations annulées
  • Renault : arrêt de plusieurs usines de production
  • Deutsche Bahn : panneaux d'affichage piratés
  • Telefónica : réseau interne compromis

La rançon demandée : 300 à 600 dollars en Bitcoin par machine. Mais le principal dommage était la destruction de données et l'interruption d'activité.

Un chercheur britannique, Marcus Hutchins, a découvert un kill switch dans le code : enregistrer un domaine spécifique stoppait la propagation. Cela a limité l'ampleur de l'attaque.

NotPetya : encore plus destructeur

Un mois plus tard, en juin 2017, NotPetya utilisait le même EternalBlue mais sans kill switch et sans réel mécanisme de récupération — c'était un wiper déguisé en ransomware. Ciblant initialement l'Ukraine, NotPetya a causé environ 10 milliards de dollars de dégâts mondiaux (Maersk, Merck, FedEx, Saint-Gobain…).

Pourquoi des systèmes restaient-ils non patchés ?

Microsoft avait publié MS17-010 en mars 2017, deux mois avant WannaCry. Pourtant, des centaines de milliers de machines n'étaient pas à jour :

  1. Systèmes legacy — Windows XP dans les hôpitaux, les usines (Microsoft a dû publier un patch exceptionnel pour XP)
  2. Complexité des environnements — patcher en production nécessite des tests
  3. SMBv1 activé par défaut — sur Windows jusqu'en 2017
  4. Méconnaissance — beaucoup d'organisations n'avaient pas de processus de patch management

Comment se protéger

1. Appliquer les patches Windows

Le patch MS17-010 est disponible depuis mars 2017 pour toutes les versions supportées, et Microsoft a même publié des patches pour Windows XP et Server 2003 après WannaCry.

2. Désactiver SMBv1

# Désactiver SMBv1 côté serveur
Set-SmbServerConfiguration -EnableSMB1Protocol $false

# Désactiver SMBv1 côté client
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

3. Bloquer le port 445 en entrée

Ne jamais exposer le port 445 (SMB) sur internet. Le filtrer au niveau des pare-feux périmètre et entre segments réseau.

4. Segmentation réseau

La propagation de WannaCry était facilitée par l'absence de segmentation. Des VLANs avec filtrage inter-segments auraient considérablement réduit la surface.

5. Sauvegardes hors ligne

WannaCry chiffrait les lecteurs réseau montés. Des sauvegardes déconnectées (3-2-1) restent la dernière ligne de défense.

EternalBlue en 2024-2025 : toujours actif

Malgré 8 ans d'existence, EternalBlue est encore massivement utilisé dans les cyberattaques. Des scanners automatisés cherchent en permanence des machines vulnérables sur internet. Des botnets intègrent l'exploit pour se propager en réseau interne une fois qu'un premier accès est obtenu.

Si vous avez encore des Windows non patchés ou SMBv1 activé sur votre réseau, vous êtes toujours en danger.

Vérifiez vos systèmes Windows sur cveo.tech — recherchez MS17-010 ou SMB pour voir toutes les CVE associées et comparez avec vos versions.

Monitor CVEs with AI

AI-powered search, CVSS scoring, asset monitoring and automatic alerts.

Try AI search →Create free account

Related articles

Patch Management Guide: How to Handle CVEs Quickly and Effectively

Learn how to build a robust CVE patch management process: SLAs by severity, key steps, tools, and common mistakes to avoid to protect your infrastructure.

How to Monitor CVE Vulnerabilities Across Your IT Assets

A complete guide to tracking and managing CVEs affecting your IT infrastructure: methods, tools, and best practices for IT teams and security managers.

How to Conduct a CVE Security Audit of Your IT Infrastructure

Complete guide to conducting a CVE security audit: asset inventory, vulnerability scanning, CVSS scoring, remediation planning, and CISO best practices.