Nous vous informons que le terrorisme qui nous a tous frappé la semaine passée trouve un relais dans le monde de l’internet via des actions de cyber-terrorisme. Ces attaques ont déjà commencé et trouveraient un point d’orgue le 15 janvier 2015.
Plusieurs milliers de sites français ont été piratés en moins de 10 heures. Concernant le périmètre des ministères chargés des affaires sociales, différents sites ont fait l’objet d’un défacement ces derniers jours.
Nous vous conseillons de :
- Relayer ce message auprès de vos directions informatiques et des responsables de la sécurité des SI,
- Réaliser une sauvegarde complète de l’ensemble des systèmes exposés (données, paramétrages et système d’exploitation),
- S’assurer d’une organisation de crise informatique (informations et décisions),
- Prévoir la capacité de déconnecter du réseau internet en cas d’urgence avérée les serveurs et services non vitaux,
- Organiser une surveillance active des flux réseaux et de la disponibilité des services exposés sur l’internet,
- Transmettre à votre responsable informatique ces instructions.
Il convient de surveiller vos sites Internet et vos applications ayant un accès externe. En effet, ces attaques sont souvent rendues possible par un défaut de sécurité. Plusieurs vecteurs sont exploités par des attaquants pour modifier de manière illégitime le contenu d’un site Web. La trop grande vulnérabilité des outils de « CMS » (Content Management System, en français Gestion de contenu), site web disposant de fonctionnalités de publication et offrant en particulier une interface d’administration (back-office) permettant à un administrateur de site de créer ou organiser les différentes rubriques. Les versions des outils utilisés sont souvent obsolètes, non mis à jour des correctifs de sécurité et ou les accès d’administrateur sont mal protégés.
La défiguration d’un site Web est donc rendue possible par :
- défaut de sécurisation d’accès à une interface de gestion du site, ou BackOffice ;
- défaut de suivi de la procédure d’installation d’un site ;
- vulnérabilités de type « injection SQL » qui permettent à un attaquant de modifier les informations stockées en base de données ;
- vulnérabilités connues et non corrigées dans les différentes briques utilisées pour la construction du site (Framework, serveur Web, système d’exploitation, etc.) ;
- vulnérabilités non connues dans ces différentes briques ( zero-day) ;
- compromission d’un site tiers hébergé sur la même plateforme ;
- politiques de gestion de mots de passe et de droits d’accès laxistes ;
- etc.
Comment se prémunir :
Il convient, comme rappelé régulièrement, de maintenir à jour et de corriger les vulnérabilités de l’ensemble des éléments entrant en jeu dans la mise en ligne d’un site Web :
- gestionnaire de contenu (CMS) comme Joomla!, SPIP, Drupal, etc. ;
- extensions et modules de tierce partie éventuellement ajoutés à ces CMS ;
- langages utilisés et bibliothèques associées, comme PHP ;
- logiciels fournissant le service Web comme Apache ou IIS ;
- logiciels fournissant d’autres services nécessaires au fonctionnement du site, comme des serveurs SQL ;
- logiciels d’administration du site et de son environnement (AWStats, phpMyVisites, etc.) ;
- système d’exploitation sur lequel est installé un ou plusieurs de ces services.
Bien qu’il soit tentant d’installer des modules supplémentaires ajoutant des fonctionnalités à un site Web, il est plus raisonnable de ne conserver que les éléments vitaux au fonctionnement du site. Une grande méfiance envers les modules de tierce partie, dont les développeurs négligent parfois la sécurité, est également de mise. Tout module supplémentaire augmente la surface d’attaque, et les vulnérabilités potentielles exploitables par un attaquant.
Pour une petite structure, il est souvent plus simple de faire héberger son site chez un prestataire. La mise à jour des éléments listés ci-dessus devient contraignante (donc nécessite des procédures bien détaillées) et parfois impossible. Dans ce cas, il est recommandé d’interroger le prestataire sur sa politique de sécurité.
De plus, dans le cadre d’un hébergement de type mutualisé, la compromission d’un site hébergé sur une plateforme par un attaquant signifie souvent que celui-ci peut modifier d’autres sites hébergés sur cette même plateforme. Les bonnes pratiques concernant l’hébergement mutualisé sont rappelées dans la note d’information du CERTA http://www.certa.ssi.
Quand le site Web est développé par un prestataire, il convient de vérifier son engagement sur le suivi de son produit. Appliquera-t-il les corrections de vulnérabilités découvertes dans les briques logicielles utilisées ? Pourra-t-il apporter un soutien pour rechercher et corriger la vulnérabilité utilisée en cas de compromission ?
Conduite à tenir en cas de défacement ou de piratage de votre système d’information :
Dès lors que la défiguration d’un site Web est découverte en interne ou signalée par une entité extérieure, plusieurs actions sont à entreprendre.
Conservation des traces
Une copie de l’état compromis du site Web (ou du serveur, si l’environnement n’est pas mutualisé) doit être réalisée. Cette copie sera utile pour l’analyse technique de la compromission, ou pour alimenter un dossier de dépôt de plainte. Il convient également de sauvegarder les journaux d’accès au site Web, et ceux de tous les services permettant de modifier le site à distance (FTP, SSH, etc.). Ces éléments doivent parfois être demandés à l’hébergeur du site Web. Lorsqu’ils existent, les traces des équipements environnants (pare-feux, serveurs mandataires, etc.) doivent également être consignés.L’analyse de la compromission est nécessaire pour trouver quelle vulnérabilité a été utilisée par l’attaquant pour compromettre le site. Il sera alors possible de combler cette vulnérabilité. La simple restauration du site dans un état « sain » ne bloquera pas la faille utilisée par l’attaquant, qui pourra rapidement compromettre le site à nouveau. Il faut également garder à l’esprit qu’une vulnérabilité trouvée par une personne dont le but est de défigurer un site, a déjà pu être découverte et exploitée par un attaquant souhaitant réaliser d’autres opérations illégitimes de manière plus discrète.
Recherche d’autres intrusions
Comme rappelé ci-dessus, un site défiguré est un site vulnérable. Il faut donc rechercher d’autres traces de compromission et modifications du site. Il se peut que du contenu malveillant ait été déposé comme par exemple :
- pages d’hameçonnage (phishing) ;
- insertion de malware ;
- insertion de publicités non légitimes ;
- modification de la configuration du site, ou des fichiers .htaccess ;
- installation d’un porte dérobée (PHP shell, etc.) permettant d’utiliser le site pour effectuer d’autres actions malveillantes (nouvelles compromissions, déni de service, etc.) ;
- stockage de fichiers soumis au droit d’auteur ;
- etc.
Il ne suffit pas de vérifier la présence de nouveaux fichiers dans l’arborescence du site. Si le site s’appuie sur une base de données, celle-ci a également pu être modifiée, et devra être restaurée à partir d’une sauvegarde dont le contenu aura été vérifié.
Reconstruction du site
Il est possible, une fois la copie du site compromis (ou de l’intégralité du serveur, si possible) réalisée et sauvegardée, de restaurer le site dans son état normal. Toutefois, avant de le remettre en ligne, il est nécessaire de corriger d’abord les vulnérabilités précédemment identifiées. Si une sauvegarde est utilisée, il est impératif de s’assurer que celle-ci est bien saine et ne date pas d’un moment ultérieur à la défiguration. Si aucune sauvegarde n’est disponible, seuls les éléments de la défiguration pourront être modifiés ou supprimés. La vulnérabilité utilisée doit toujours être corrigée.
Dépôt de plainte
Vous pouvez déposer une plainte pour atteinte à un traitement automatisé de données (appellation juridique du piratage) prévu et puni par les articles 323-1 et suivants du code pénal.
La plainte déposée a pour but de décrire l’attaque, sa réussite ou son échec, les éventuels dommages qui peuvent en résulter ainsi que toutes les autres conséquences (perte de temps pour vérification de l’intégrité du site ou des données, pertes d’argent, perte de crédibilité auprès des internautes etc…). La police envoie ensuite au parquet votre dossier qui décidera ou non d’instruire le dossier. Cette plainte peut-être recueillie par :
- votre Service Régional de Police Judiciaire. Votre commissariat de police ou votre gendarmerie devraient vous donner sans difficulté leurs coordonnées. . . Une fois en contact avec votre S.R.P.J. il faut demander à parler à un « Investigateur en cybercriminalité » autrement dit un I.C.C qui pourra enregistrer votre plainte.
- où adresser directement un courrier au Procureur de la République du Tribunal de Grande Instance dont relève votre établissement
Nous vous rappelons que notre équipe se tient à votre disposition pour vous accompagner sur la sécurisation de votre système d’information et vous aidez en cas de compromission de ce dernier.