Aujourd’hui, nous recueillons le témoignage d’un de nos administrateurs système sur un sujet qui nous tient à cœur : la sécurisation des infrastructures d’hébergement et les bonnes pratiques de sécurité. En tant qu’hébergeur et partenaire de vos systèmes d’information, nous sommes au cœur de ces problématiques et devons donc vous apporter les meilleures réponses possibles.
Afin d’illustrer notre propos, nous avons choisi de réaliser cette interview autour de la problématique d’un client victime d’un cryptolockage sur sa plateforme de gestion documentaire (GED). N’étant pas responsable de la sécurisation ni de l’infogérance de celle-ci, nos équipes sont intervenues en urgence, en phase d’audit et de préconisations, afin de la restaurer dans les meilleurs délais.
Oui, un de nos clients a subi une attaque de cryptolocker, cet été, sur sa plateforme de Gestion Electronique Documentaire. Cet espace de centralisation est critique pour lui, car c’est ici que sont compilés tous les documents clients, fournisseurs… Je suis donc intervenu après l’appel de notre client qui m’indiquait que la GED était inaccessible.
Oui, c’est bien ça, le principe du cryptolockage fonctionne sous forme de rançon :
A titre d’exemple, certains groupes étatiques (NSA, …) sont en capacité de déchiffrer ce type de clé. En effet, les chiffrements sont généralement basés sur des algorithmes robustes difficilement contournables par le commun des entreprises.
Tout d’abord, il était nécessaire de délimiter et limiter l’attaque. Nous avons donc tout d’abord couper la GED afin d’éviter toute propagation de l’attaque. Puis, nous avons délimité et analysé l’attaque : comprendre d’où elle venait, quel était son périmètre, s’il y avait d’autres attaques en cours…
Nous avons également réalisé une analyse de l’environnement : analyse des connexions au domaine, lecture des logs, pour connaître précisément la date de lancement de l’attaque. Cette étude nous a permis d’identifier le compte dont provenait l’attaque, nous l’avons donc rapidement désactivé !
Un des comptes administrateurs du domaine a été utilisé pour lancer le cryptolocker. L’attaquant a donc identifié cette adresse mail et a brute-forcé le mot de passe… Vous imaginez bien qu’un compte administrateur a beaucoup d’autorisations sur un domaine…
Préalablement à l’attaque de la GED, une attaque avait déjà eu lieu via une demande de connexion (depuis la Chine). Et donc une des machines du domaine était déjà infectée. C’est depuis cette machine virtuelle que l’application de GED a été infectée…
Selon nous, l’objectif était de cryptolocker la GED. La méthode était assez simple : le compte administrateur disposait d’un mot de passe faible et le hacker a utilisé une technique de brute force pour l’obtenir.
L’attaque par force brute est une technique relativement courante, mais qui nécessite potentiellement beaucoup de temps d’exécution. Le principe est simple : un hacker, avec un script, essaie toutes les combinaisons de mots de passe possibles (notamment en testant les mots de passe par ordre alphabétique : AAB- AAC).
Il existe une autre technique de brute force où l’attaquant se base sur d’énormes dictionnaires contenant des millions de mots de passe régulièrement utilisés et des mots présents dans le dictionnaire. Une technique très efficace, surtout si l’utilisateur s’est inscrit avec un mot de passe simple. La limite de cette technique est le temps et la limitation d’essais. Si, par exemple, le compte se bloque après 3 connexions infructueuses, la technique du brute-force sera inefficace. Si le compte se bloque au bout de 10 minutes d’essai, là encore, cette technique est inefficace.
Il y avait deux options pour nous :
Une fois les failles de sécurité identifiées, la plateforme nettoyée et le rapport d’audit rédigé, nous avons lister les points de sécurité à corriger très rapidement afin d’éviter une nouvelle attaque. La GED refonctionne et des améliorations ont été mises en place de manière à renforcer la sécurité de la plateforme.
L’impact en interne peut être dévastateur : plus de Ged, plus d’accès aux documents partagés. C’est une plateforme utilisée en internet et externe… Plus personne ne pouvait se connecter à la GED, plus rien ne fonctionnait, les fichiers étaient tous chiffrés, les applications aussi. La question d’après est de savoir s’il y a un système de sauvegarde mis en place. Il faut absolument avoir des sauvegardes différentes pour éviter ce genre d’écueil qui peut paralyser une entreprise.
Dans le cas présent, c’est bien notre système de sauvegarde qui a permis d’éviter la catastrophe car nous avons réutilisé une version antérieure de la plateforme pour permettre la ré-exploitation de celle-ci.
Deux possibilités sont envisageables :
Il y a trois éléments essentiels : il faut définir un plan de prévention avec la marche à suivre pour les sauvegardes de fichiers, il faut également rédiger un plan de sécurité et enfin créer un plan de formation pour les utilisateurs. Sans ces trois principes, l’entreprise sera potentiellement plus attaquable et plus fragilisée après une attaque.
Si nous regardons les grands principes, voici ce que je dirai qu’en premier lieu, le plan de prévention de sauvegarde doit comporter un certain nombre d’informations, comme par exemple :
Cela fait partie d’un plan de sauvegarde de données : c’est une récupération de données via le filet de sécurité du backup… La sauvegarde est une partie du PRA : aujourd’hui, c’est compliqué de monter un PRA sans backup. Mais il faut déterminer les besoins de l’entreprise…
Le deuxième enjeu est la politique de sécurité des données :
Enfin la formation des utilisateurs est le dernier pilier mais pas des moindres !
Ce cas client nous a permis d’aborder une problématique qui se généralise dans les entreprises françaises. L’informatique doit donc être extrêmement contrôlée afin de limiter les risques. Malgré toutes ces précautions, la sécurité n’est pas un domaine facile.
Elle réside en un ensemble d’analyses et de croisements de données… Les attaques sont bien souvent dues à une accumulation de dysfonctionnements. Et malheureusement, les équipes en internes sont dans l’incapacité de faire des audits poussés, pour détecter les soucis potentiels. Mais le jeu en vaut la chandelle et il ne faut pas négliger cet enjeu qui peut être fatal à une structure.
Aujourd’hui, les entreprises doivent mettre en place des dispositifs de sécurisation et des plans de prévention ! Anticiper le risque pour mieux le prévenir demain, c’est ça la règle. Réfléchir à un plan de sauvegarde est essentiel (via notamment un système de backup externalisé), tout comme définir des droits adaptés à vos utilisateurs, tout en les formant : voilà trois règles à suivre, sans modération !
Nos équipes l’ont bien compris et c’est pour cela que nous proposons des infrastructures hautement disponibles à nos clients et ce, afin qu’ils bénéficient d’un dispositif de sauvegarde en cas de souci. Et en parallèle de nos offres, nous travaillons activement au passage de la certification ISO 27001 afin de garantir des dispositifs d’hébergement hautement sécurisés.
Annoncé depuis Octobre 2016, les régions Azure France sont désormais accessibles pour certains hébergeurs dont Openhost ! Les Datacenters Azure Microsoft sont répartis sur 2 sites (Paris et Marseille). Le nombre de régions Azure est donc désormais de 42 dans le monde entier. En tant que partenaire Cloud, nous avons eu accès aux premières informations sur […]
Lire la suiteAvez-vous déjà imaginé recevoir un ordinateur, le sortir de son emballage et que celui-ci se configure automatiquement sans aucune intervention de l’équipe technique ? Grâce à Windows Autopilot c’est possible ! Afin de simplifier la gestion de parc informatique et le quotidien des administrateurs systèmes, Microsoft a développé son service Autopilot. Windows Autopilot : Déployer automatiquement un environnement […]
Lire la suiteVos expériences passées ou les retours d’expérience de certains collaborateurs avec le bureau distant ne vous ont peut être pas entièrement séduit mais depuis quelques années cette technologie a fortement évolué. Dans le cadre du développement de sa « Modern Workplace » avec Office 365 et Windows, Microsoft a su renouveler ce concept pour le […]
Lire la suite