Cyberattack... still alive! (retour d'expérience)

Rédigé par Joseph MICACCIA, expert certifié des réseaux informatiques - -
Cyber attack... still alive !

Notre entreprise a subi une violente et terrible attaque informatique, qui aurait pu la détruire. Mais, grâce notamment à l'acharnement de son équipe informatique, elle vit toujours, et sans séquelles. Cet article est un retour d'expérience qui pourrait servir à d'autres entreprises.

 

Ceci est un retour d'expérience contenant aussi l'ambiance du moment :

 

19 mars 2019 : au petit matin, un technicien performant, aspirant-administrateur, m'a annoncé qu'il n'arrivait pas à se connecter à l'un de nos serveurs virtuels en RDP (Remote Desktop Protocole). J'ai interrompu les tâches en cours et je me suis connecté sur la machine concernée, directement, via vSphere (VmWare).

 

En voyant la tête de mort, j'ai su immédiatement qu'on avait été attaqués et, immédiatement, j'ai suspendu tous les serveurs virtuels. Car, en de telles circonstance, il faut figer la situation et récolter des preuves (fichiers horodatés, logiciels utilisés, fichiers injectés).

 

 

 

Le Directeur informatique, un peu trop serein, a voulu savoir tout de suite ce qui avait été touché. Il a été rassuré, un court moment, lorsqu'un technicien aspirant administrateur comme le premier (qui fait souvent des observations pertinentes) a dit que les sauvegardes étaient bonnes puisqu'on avait reçu le mail automatique à la fin de sauvegardes, et c'était tout vert (aucune anomalie).

 

Mais en faisant des vérifications directement sur les serveurs de sauvegardes, je me suis aperçu rapidement que, apparemment, il ne restait plus grand chose car de nombreux fichiers étaient absents et les fichiers présents paraissaient tous cryptés. Ainsi, on n'avait plus rien : aucune sauvegarde locale, aucune sauvegarde sur le site déporté, aucun réplica des serveurs virtuels... nada ! Apparemment, il ne restait rien d'autre que des cendres fumantes. Les machines physiques des sauvegardes semblaient inexploitables, en apparence, mais on a gardé l'espoir de récupérer quelque chose, suffisamment pour relancer l'entreprise. Et aussi, il nous restait à voir ce qu'il était possible de récupérer sur la machine physique qui se trouvait sur le site PRA (Plan de Reprise d'Activités) en région parisienne, qu'il nous fallait ramener au siège de l'entreprise, dans le Var, au plus vite.

 

Ainsi, selon les premières constatations, les pirates avaient tout détruit, immédiatement après l'envoi automatique "compte-rendu des sauvegardes automatiques". Le DSI était soudainement devenu pâle et ne cessait de blasphémer.

 

A ce moment-là, je me suis dit que la journée allait être longue, très longue. Et ce fut le cas ! Les salariés de l'entreprise étaient inquiets, à juste titre. Et de nombreuses personnes sont venues aux nouvelles. Il nous a fallu nous isoler un peu, le temps de récupérer les données pour sauver l'entreprise et, par conséquent, tous les emplois (3000 personnes).

 

 

Et la Direction a fait une communication dans ce sens :

 

 

Ce soir-là, je suis rentré très tard. Et même si elle sait que je ne divulgue jamais les informations confidentielles, mon épouse voulait au moins savoir si c'était grave : " - Toi qui trouves toujours plein de solutions informatiques, tu ne peux rien faire ? - Oui, je fais le maximum... je verrai bien ce que je pourrai faire... je vais dormir un peu et j'y retourne". Comme tout le monde, elle a su que l'attaque avait été très violente et bien préparée, par des pirates qui savaient ce qu'ils faisaient. Il nous fallait d'abord remettre l'entreprise en état de marche puis, dans un deuxième temps, analyser les traces pour identifier l'origine de l'attaque : il y avait un trou béant dans le firewall, occasionné par la faute d'un responsable informatique.

 

Le lendemain, je suis retourné à la "guerre", avec les encouragements de mon épouse qui m'a demandé de faire tout le possible, et même l'impossible. Les journées étaient longues : elles commençaient tôt le matin et se terminaient tard, souvent en pleine nuit.
 

Sur le trajet du retour à la maison : "balade" dans la ville, en pleine nuit... que les journées ont été longues !

 

Pour compenser un peu la fatigue, il fallait plusieurs bonnes doses de café ou thé...

 

 

Quasiment toute l'équipe informatique a participé à la bataille... même le DSI (Directeur du Système d'Information). On a tellement travaillé, lui et moi, jours et nuits, que, pendant cette période, j'ai passé plus de temps avec lui qu'avec ma femme ;-)

 

Pendant que je m'occupais des serveurs virtuels avec le DSI (du matin au soir et du soir au matin), en journée les techniciens s'occupaient des machines physiques des utilisateurs avec une clé USB contenant SOPHOS, un logiciels capable de détecter l'un des programmes parasites identifiés (ZEUS) et chacun d'eux s'occupait de ce qu'il pouvait. Désespéré et sous l'impulsion des techniciens des bases de données, le DSI a même acheté des logiciels de récupération de fichiers, inutilement puisque cela n'a servi à rien. Désespéré, il l'était, le Chef, au point de m'envoyer des SMS à répétition, même quand, enfin, je regagnais ma maison pour dormir quelques heures.

 

 

 

On a rapporté au siège de l'entreprise le serveur de sauvegarde qui se trouvait sur le site du PRA et on l'a déposé dans la salle des serveurs pour récupérer tout ce qu'on pouvait. Car les pirates avaient bien préparé leur coup. Et ils ont attendu la fin des opérations automatiques de sauvegarde pour, ensuite, presque tout détruire : les sauvegardes locales, les sauvegardes déportées, et même les réplicas des serveurs virtuels. C'était effarant, surtout que d'autres entreprises ont été attaquées la même nuit, et nous savons aujourd'hui que certaines d'entre elles ne se sont pas relevées. Saint-Joseph n'est pas partout...

 

Par mesure de sécurité, je ne peux pas entrer trop dans les détails et divulguer des informations sensibles. Cependant, je peux communiquer quelques informations qui pourraient être utiles à d'autres entreprises.

Les pirates sont entrés par un trou béant qu'un responsable informatique a fait dans le Firewall en suite à une demande hasardeuse d'un prestataire informatique qui voulait se connecter à distance sur un serveur : Il en a résulté une règle "open bar" permettant à n'importe quelle machine d'internet d'entrer dans l'entreprise via le protocole RDP de Microsoft ! A minima, il aurait fallu limiter l'accès en autorisant uniquement l'IP publique du prestataire en question ! N'hésitez pas à refuser les demandes farfelues de vos prestataires, pour le bien de votre entreprise.

 

 

Puis, il a suffit aux pirates d'utiliser quelques programmes largement diffusés sur internent, notamment mimikatz, un programme que Benjamin Delpy (alias Gentil Kiwi), Responsable du Centre de Recherche & Développement en Sécurité de la Banque de France (selon les différents articles à son sujet), aurait créé "pour apprendre le langage C et faire quelques expérimentations avec la sécurité de Windows". Et ce programme, qui aurait été fait "par hasard", exploite des failles de sécurités de Windows ! Amaaazing !

 

Ainsi donc, un développeur soit-disant "amateur" aurait trouvé plusieurs grosse failles de sécurité dans Windows, le système d'exploitation le plus utilisé au monde ! Rien que ça, c'est déjà remarquable ! De surcroît, le gentil programmeur amateur ("Gentil Kiwi") aurait eu "la gentillesse" de partager ses trouvailles en diffusant librement les codes sources de ses programmes sur Internet... depuis 2007 ! Et lesdits programmes seraient encore virulents aujourd'hui, en 2019, sur les systèmes récents de Windows, compromettant potentiellement, à l'échelle mondiale, le bon fonctionnement de nombreuses entreprises ou organismes publics dont, par exemple, des hôpitaux (voir liste non exhaustive en fin d'article). C'est une blague ? Mais non... Ce n'est pas une "fake news", s'il faut croire ce qui est mentionné sur le site de l'auteur, qui expose lesdites failles de sécurité et indique, même, le mode d'emploi de ses programmes :

 

Plus on partage, plus on possède. Voilà le miracle ! (Leonard Nimoy)

 

Le blog de Gentil Kiwi

 

"Rendu public en 2007"... et toujours fonctionnel en 2019, sur les version récentes de Windows !... Please, Micro$oft... Wake up !

 

"mimikatz is a tool I've made to learn C and make somes experiments with Windows security." (gentilkiwi)

 

En fait, initialement, avec Mimikatz, Benjamin Delpy aurait voulu démontrer la vulnérabilité des protocoles d’authentification de Microsoft. Puis, il a étoffé son "package"... qui a été récupéré par les pirates. Les révélations de "Gentil Kiwi" sont sidérantes et son travail est remarquable. Toutefois, on pourrait s'interroger sur l'opportunité de diffuser ce genre de logiciels sur Internet, de surcroît librement accessibles, donc à la merci de personnes peu scrupuleuses qui, tels les pirates du numérique, les utilisent pour tenter de soutirer de l'argent en faisant du "kidnapping" de données. Mimikatz est surtout intéressant sur le plan didactique et, s'il faut croire M. Delpy lui-même, Microsoft aurait sécurisé son système entre temps. C'est difficile à croire lorsqu'on sait que nos serveurs ont été vulnérables, récemment, alors même qu'ils bénéficient des dernières mises-à-jours de Microsoft.

 

Et, chez nous, les pirates ont pris soin d'effacer la plupart de leurs traces dans les logs de nos serveurs Windows. Et ils ont eu le temps de faire ce qu'ils voulaient car nous avons trouvé quelques indices démontrant qu'ils sont venus plusieurs fois, la nuit, avant de tout casser :

 

une trace mimikatz

 

quelques programmes utilisés par les pirates (mimilove fait partie du package "mimikatz")

 

les mots de passe décodés par les pirates : ils ne sont plus d'actualité dans notre entreprise ;-)

 

 

Mimikats permet notamment de révéler tous les mots de passe. Et, avec un mot de passe "administrateur", les pirates ont fait ce qu'ils voulaient, sans être inquiétés, pas même par notre serveur antivirus qu'ils ont neutralisé. Les "forces obscures" ont fait beaucoup de dégâts cette nuit-là. Mais nous avons fait face.

 

A toutes fins utiles, je précise que ces mots de passe ne sont plus utilisés dans notre entreprise (dont je ne citerai pas le nom, par excès de sécurité). De plus, le DSI m'a chargé de contrôler toutes les règles de nos firewalls, y compris celles faites par mes chefs... dont lui ! Les sécurités ont été renforcées : certaines règles anciennes (qui étaient là avant même mon arrivée dans l'entreprise) ont été modifiées ou supprimées. Le nouveau Responsable, qui prendra ses fonctions en juin, sera probablement plus réceptif lorsque je signalerai une faille de sécurité dorénavant (meilleure gestion des fichiers de mots de passe, droits d'accès plus restreints, etc...). Update : le nouveau responsable n'est pas resté longtemps. Il a compris de lui-même qu'il ne tenait pas la route. Il a mis un terme à sa période d'essai. Il ne reste plus qu'à remettre l'annonce pour recruter un nouveau responsable, qui acceptera de travailler pour un salaire plutôt bas. Il n'y a pas foule.

 

Pendant la période "cyberattaque", notre salle des serveurs, qui d'habitude est très bien rangée, était devenue un champ de bataille. On récupérait tout ce qu'il était possible de récupérer dans les disques durs, afin de reconstruire nos serveurs (data, compta, paie, etc.) à partir des quelques éléments restants, y compris les "snapshots" (genre de sauvegarde pour les machines virtuelles) qui peuvent permettre de reconstruire les serveurs. Et, petit à petit, on a récupéré beaucoup, notamment le serveur de données principal (DATA) qui avait été déclaré "complètement irrécupérable" par les prestataires spécialistes car il avait été détruit et, même en payant la rançon, on n'aurait rien récupéré.. Pourtant, j'avais remarqué une incohérence dans vSphere (gestionnaire de VmWare) : pour ce serveur "DATA", le gestionnaire indiquait qu''il n'y avait pas de snapshot. Mais, curieusement, il proposait de "supprimer tous les snapshots" de "DATA". Alors, pour lever les doutes, nous avons fait une connexion de bas niveau (SSH, connexion directe au serveur, sans passer par vSphere) sur le serveur physique Veeam qui contenait les sauvegardes supprimées par les pirates. Et nous avons trouvé un snapshot de ce serveur... le Saint Graal, presque...  Alléluia !

 

 

Il a été heureux de faire cette vérification qui a permis de récupérer cet important serveur virtuel DATA car, après la nécessaire remise à neuf du serveur physique "Veeam" (réinstallation complète de la machine et du système de sauvegarde), on n'aurait rien pu récupérer. Pour bien comprendre ce qui s'est passé, il faut savoir que Veeam fait automatiquement, avant la sauvegarde, un snapshot de chacune des machines virtuelles à sauvegarder. Ce snapshot est supprimé automatiquement par Veeam à la fin de la sauvegarde. Comme les pirates ont détruit le serveur Veeam immédiatement après la sauvegarde, le snapshot n'a pas pu être supprimé par Veeam. Et nous l'avons récupéré. Si votre entreprise est attaquée, pensez à faire ce contrôle qui pourrait vous permettre de récupérer quelques éléments.

 

Alors que j'étais encore dans le feu de l'action, j'ai été demandé par la PDG et la Responsable financière (accessoirement aussi Responsable de la branche informatique) qui avaient improvisé une réunion avec tout le personnel du siège et attendaient des explications de la part de la Responsable "informatique applicatif" (gestionnaire des bases de données)... qui a demandé aux membres de son équipe... qui ont répondu "Nous on ne sait rien. C'est Joseph qui gère !". Alors, la PDG a demandé à me voir et j'ai communiqué toutes les infos connues à ce moment-là en soulignant qu'on ferait tout le possible pour relancer l'entreprise au plus vite... tout le monde a applaudit et j'ai pu retourner au travail.

 

Quelques jours plus tard, comme convenu, j'ai annoncé la bonne nouvelle que tout le monde espérait, c'est-à-dire que le serveur DATA était sauvé et que toutes les données étaient récupérables (non cryptées) :

 

 

En apprenant cette bonne nouvelle, tout le monde a été soulagé et nous avons reçu plusieurs messages. Ca fait toujours plaisir, surtout quand on ne l'attend pas :

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Et, en plus, un "apéro dinatoire" a été organisé par les salariés, en l'honneur de l'équipe informatique, qui a triomphé des vilains pirates.

 

 

Et, même, la Direction a invité le département informatique à déjeuner dans un restaurant gastronomique, en plus d'une petite prime pour tous les informaticiens et surtout les trois membres de l'équipe réseau qui ont eu, en plus, une petite revalorisation de leur salaire, mais pas de progression pour les techniciens. Ainsi, après de longs mois d'attente, ces derniers ont décidé de postuler ailleurs. Et, déjà, l'un des deux techniciens vient de passer "administrateur"... dans une autre entreprise (update 2020.02.20). Il a décroché un très bon poste dans l'antenne Fréjussoise d'une entreprise monegasque, à proximité de sa maison. Le deuxième technicien, tout autant capable, envisage de le suivre. Ainsi, la soi-disant "reconnaissance" ayant été trop ridicule, l'entreprise a perdu un formidable équipe, qui était très soudée et qui a eu la grande satisfaction de sauver le bébé du fondateur (décédé il y a peu) et, par la même occasion, les 3000 emplois de l'entreprise. Déjà, un an auparavant, peu avant l'attaque, le responsable systèmes et réseaux avait jeté l'éponge en rejoignant une grosse entreprise Toulonnaise, fatigué d'attendre une hypothétique évolution, comme une autre responsable informatique qui est partie, elle aussi, il y a un mois.

 

 

 

Lettre de remerciements de la part de la Direction

 

En conclusion : si votre entreprise est attaquée, ne baissez pas les bras. Laissez faire vos informaticiens capables... que vous aurez rigoureusement sélectionnés. Et sachez les garder !
 

Je saisis l'occasion pour saluer, une fois encore, la réactivité des deux techniciens, aspirant-administrateurs (au moment de l'attaque), qui, par leur autonomie et leur disponibilité, m'ont permis de me concentrer sur les opérations les plus délicates, à chaque fois que c'était nécessaire, notamment lors de cette violente et terrible cyberattaque que l'entreprise a essuyée, pourtant sans séquelles.

 

Joseph + Mathias + Thierry = Semper fidelis, Semper paratus

 

Update 2020.02.20 : Ce soir, Mathias (l'un des techniciens) m'a envoyé un SMS pour m'informer qu'il vient de recevoir la réponse positive pour le poste qu'il voulait. YES !

 

Update 2020.02.21 : Mathias a posé sa démission aujourd'hui. Immédiatement, le DSI a convoqué Thierry (l'autre technicien) pour lui dire qu'il va le faire évoluer vers un poste d'administrateur, s'il accepte de rester dans l'entreprise. Mais Thierry ne se contentera plus de belles paroles et veut voir si cela bouge rapidement, surtout qu'il a d'autres ambitions. C'est pour cela qu'il laisse son CV en ligne, motivé par la réussite de Mathias qui a trouvé le job qu'il voulait, en quelques semaines.

Quelle coïncidence ! Mathias sortira des effectifs le 20 mars prochain... pile-poil un an après la cyberattaque ! Il a été très patient mais va finalement quitter cette belle entreprise familiale. Cet après-midi, alors qu'on partageait un café avec le Responsable juridique (un "geek" qui programme en Delphi pendant ses loisirs), Mathias a dit qu'il a appris beaucoup au sein de l'entreprise. Et moi, je confirme qu'il a beaucoup donné, attentif à toujours faire pour le mieux, même les travaux d'administrateurs pour lesquels il s'est beaucoup investi, avide d'apprendre. Un grand merci à lui, aussi pour sa bonne humeur, constante... qui profitera à d'autres.

 

 

Voici quelques articles de presse relatant les attaques informatiques subies par d'autres entreprises :

 

Quelques citations amusantes :

  • Règle informatique n°1 : Si tout va bien, ne touchez à rien !
  • L'urgent est fait, l'impossible est en cours, pour les miracles prévoir un délai...
  • Article 1 : Le chef a toujours raison. Article 2 : Si le chef a tort, appliquer l'article 1.
  • Nos clients sont nos meilleurs beta testeur. (Microsoft ?)
  • Si les ouvriers construisaient les bâtiments comme les développeurs écrivent leurs programmes, le premier pivert venu aurait détruit toute civilisation (Gerald Weinberg)
  • Aujourd’hui, la programmation est devenue une course entre le développeur, qui s’efforce de produire de meilleures applications à l’épreuve des imbéciles et l’univers, qui s’efforce de produire de meilleurs imbéciles. Pour l’instant, l’univers a une bonne longueur d’avance (Rich Cook)
  • Si on peut utiliser l'Iphone 5 d'une seule main, c'est parce qu'il coûte déjà l'autre bras.
  • To do : Créer un navigateur et l’appeler Christophe Colomb.
  • No keyboard present, press F1 to resume...
  • Computers are like air conditioners - They stop working properly when you open Windows.
  •  A bus station is where bus stops... a train station is where train stops... My computer is a workstation...
  • Un PC devient lent et difficile à utiliser dès que celui d’un des autres employés du service a été remplacé par un neuf.
  • Grâce à l’ordinateur, on peut faire plus rapidement des choses qu’on n’aurait pas eu besoin de faire sans ordinateur.
  • Un disque dur qui foire, ça n’arrive jamais, sauf quand ça arrive...
  • La probabilité d’un crash du disque dur augmente de manière exponentielle avec l’âge de la dernière sauvegarde complète.
  • Le bug se trouve parfois entre la chaise et le clavier.
  • L'homme est toujours l'ordinateur le plus extraordinaire de tous. (John F. Kennedy)
  • Une entreprise dans laquelle il n'y a pas d'ordre est incapable de survivre ; mais une entreprise sans désordre est incapable d'évoluer. (Bernard Nadoulek)
  • Le vrai courage ne se laisse jamais abattre. (Fénelon/Télémaque)
  • L’intégrité est une composante essentielle de la sécurité. Et pas seulement en informatique ! (Didier Hallépée)
  • En informatique, la miniaturisation augmente la puissance de calcul. On peut être plus petit et plus intelligent. (Bernard Werber)
  • Avec une montre, on connaît l'heure. Avec deux, on est jamais sûr (Murphy)
  • Dans toute organisation, il y a toujours une personne qui sait ce qui se passe. Elle doit être virée. (Murphy)
  • Celui qui sourit lorsque les choses vont mal, a déjà pensé à celui qui portera le chapeau. (Murphy)
  • Quel que soit le nombre de preuves démontrant la fausseté d'une chose, il se trouve toujours quelqu'un pour croire qu'elle est vraie. (Murphy)

 

 

Nota Bene : Aucun de nos serveurs Linux n'a été impacté par le cryptovirus, bien sûr ;-)

 

Esprit de corps

 

Je dédie cet article à toutes celles et tous ceux qui partagent les belles valeurs et, en particulier, à l'adjudant qui commandait le troisième peloton du troisième escadron du troisième régiment de Hussards lorsque j'étais sous les drapeaux, un homme droit et généreux.

Le troisième hussard, "il en vaut plus d'un" (devise du 3e RH) et "rien ne l'effraie" (devise du troisième escadron).

 

 

Les pirates ?... même pas peur ! Avec un AMX ou avec un clavier... Semper paratus, Semper fidelis

 

 

 

Les commentaires sont fermés.