Cyberattaques : les braqueurs de l’ombre
Ce jeudi 14 décembre 2017, Ludovic de Carcouët, dirigeant de Digitemis, est intervenu dans le magazine d’information « Envoyé Spécial », diffusé sur France 2 et dédié à la cybersécurité. Il a évoqué une intervention de sauvetage d’une PME industrielle, l’entreprise Robin, située dans l’ouest de la France (Vendée), illustrée par le témoignage de son dirigeant. Digitemis a accompagné l’entreprise Robin pour identifier l’origine du sinistre, expliquer les premiers gestes de secours à adopter, puis lister les différentes options de remédiation.
L’entreprise Robin, située en Vendée, est spécialisée en découpe laser pour tous types de pièces alu, inox, acier (petites, moyennes, grandes séries) et intervient sur toute la France. Au cœur des projets industriels de ses clients, la PME familiale est le partenaire et sous-traitant de nombreux projets dans divers secteurs d’activités : véhicules industriels, ascenseurs, machinisme agricole, agroalimentaire, équipement auto, matériel vinicole, équipements silos, manutention, pharmaceutique, bâtiment, nucléaire, PLV, pesage, mobilier urbain, funéraire, pétrolier.
A son retour de congés, fin août 2016, Etienne Robin découvre que les données de l’ensemble du Système d’Information de son entreprise sont inaccessibles. Il a été victime des agissements d’un « braqueur de l’ombre ». Celui-ci agit en diffusant un ransomware, c’est-à-dire un programme malveillant reçu par courriel ou mis à disposition sur un site Internet, qui provoque le chiffrement de tous les fichiers d’un ordinateur (et des fichiers accessibles en écriture sur les dossiers partagés, si l’ordinateur est connecté à un réseau informatique) puis réclame de l’argent. Une rançon de plusieurs bitcoins, c’est-à-dire 3200 euros, est demandée pour récupérer les fichiers. Etienne Robin commente : « C’est l’équivalent virtuel d’un braquage, d’une prise d’otage, d’un cambriolage. C’est traumatisant. ».
Le responsable informatique de l’entreprise Robin parvient à restaurer seulement une partie des sauvegardes. Il découvre malheureusement que plusieurs fichiers n’ont pas été sauvegardés correctement, puisque le mécanisme de sauvegarde, configuré par un prestataire, n’incluait plus les fichiers de l’ERP depuis plusieurs mois… La situation devient vite dramatique : dans les archives, le plus ancien fichier non corrompu, de la base de données de l’ERP, date de janvier 2016. Les conséquences sont immédiates : plus de bons de livraisons, plus de factures, plus de commandes… L’usine est à l’arrêt pendant cette semaine de reprise, après 4 semaines de fermeture annuelle : la plupart des 60 salariés ne peut plus rien produire…
Devant une telle catastrophe, Etienne Robin est désemparé : « Il y avait des clients à livrer, il fallait trouver une solution. Digitemis m’a été d’une grande aide. ». Plusieurs options sont envisageables pour le chef d’entreprise :
1/ faire ressaisir toutes les factures, tous les achats et toutes les commandes. En effet, la plupart des informations n’ont pas complètement disparu car elles ont été imprimées sur papier ou peuvent être récupérées auprès des clients, fournisseurs et partenaires. Ce chantier nécessiterait la mobilisation de pas moins de 5 personnes pendant 3 mois, au détriment des projets qui ont été planifiés pour la reprise pour les mois d’août et septembre.
2/ prendre le risque de payer pour récupérer rapidement les fichiers de l’ERP et relancer l’usine. La probabilité de payer d’abord mais de ne finalement pas récupérer les données n’étant pas nulle…
Digitemis a accompagné l’entreprise Robin pour identifier l’origine du sinistre, expliquer les premiers gestes de secours à adopter, puis lister les différentes options de remédiation. Ensuite, c’est le chef d’entreprise qui seul décide, assume ses choix et les risques induits, éclairé par les explications des experts. Etienne Robin a choisi de payer la rançon : « Jusqu’au dénouement final, je n’ai rien maitrisé. ». Il a récupéré son fichier, l’ERP et l’usine ont pu redémarrer. Cette fin heureuse ne doit pas faire oublier, qu’en France, une entreprise sur deux a déjà été rançonnée. Pour éviter d’avoir à vivre ces situations d’urgence, Digitemis recommande de suivre toute une série de bonnes pratiques pour sécuriser les informations.
Je partage
Derniers articles
Renforcer la sécurité WordPress, du développement des plugins à la configuration serveur
Il y a peu, dans le cadre de recherches sur des plugins WordPress, notre pentester Vincent Fourcade a découvert une injection de code, côté client, dans un module du célèbre CMS. Celle-ci fut vérifiée et validée par les équipes de WPScan. Aujourd’hui, une CVE lui a été attribuée. L’occasion de revenir aujourd’hui sur la sécurité, au sens large, dans le CMS WordPress, que ce soit au niveau de la couche applicative, de la configuration du serveur ou du bureau. C’est parti !
Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client
Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?