Cyberattack... still alive! (retour d'expérience)

Rédigé par Joseph MICACCIA - -
Cyber attack... still alive !

Notre entreprise a subi une violente et terrible attaque informatique, qui aurait pu la détruire. Mais, grâce notamment à l'acharnement de son équipe informatique, elle vit toujours, et sans séquelles. Cet article est un retour d'expérience qui pourrait servir à d'autres entreprises.

 

19 mars : Saint Joseph

 

07h55 : un technicien (aspirant-administrateur) m'a annoncé qu'il n'arrivait pas à se connecter à l'un de nos serveurs virtuels en RDP (Remote Desktop Protocole). Immédiatement, j'ai interrompu ce que j'étais en train de faire et je me suis connecté sur cette machine, directement, via vSphere (VmWare).

 

En voyant la tête de mort, j'ai su qu'on avait été attaqués et, immédiatement, j'ai suspendu tous les serveurs virtuels. Car, en de telles circonstance, il faut figer la situation et récolter des preuves (fichiers horodatés, logiciels utilisés, fichiers injectés).

 

 

 

Le Directeur informatique a voulu avoir une estimation rapide de l'étendue des dégâts. Les sauvegardes semblaient correctes. En effet, un autre technicien, aspirant administrateur comme le premier, qui fait souvent des observations pertinentes, lui aussi, a dit que les sauvegardes étaient bonnes car on a reçu le mail automatique à la fin de sauvegardes et que c'était tout vert (aucune anomalie).

 

Mais en faisant des vérifications directement sur les serveurs de sauvegardes, je me suis aperçu rapidement que, apparemment, il ne restait plus grand chose car de nombreux fichiers étaient absents et les fichiers présents paraissaient tous cryptés. Ainsi, il semblait qu'on n'avait plus rien : aucune sauvegarde locale, aucune sauvegarde sur le site déporté, aucun réplicas des serveurs virtuels... nada ! Apparement, il ne restait rien d'autre que des cendres fumantes. Cette machine physique semblait inexploitable, en apparence, mais on a gardé l'espoir de récupérer quelque chose, suffisament pour relancer l'entreprise. Et aussi, il nous restait à voir ce qu'il était possible de récupérer sur l'autre machine physique, le serveur des sauvegardes du site PRA (Plan de reprise d'activités), qu'il nous fallait ramener au siège de l'entreprise au plus vite.

 

Ainsi, selon les premières constatations, les pirates avaient tout détruit, immédiatement après l'envoi automatique de l'email "compte-rendu des sauvegardes automatiques".

 

A ce moment-là, je me suis dit que la journée allait être longue, très longue. Ce fut le cas. Les salariés de l'entreprise étaient inquiets, à juste titre, et plusieurs personnes sont venues aux nouvelles. Il nous a fallu nous isoler un peu, le temps de récupérer les données pour sauver l'entreprise et, par conséquent, tous les emplois.

 

 

Et il y a eu une communication dans ce sens :

 

 

 

Nota Bene : Souvent, à la télé ou dans les journaux, on entend des critiques sur les employeurs. Mais, ici, on notera que la première préoccupation des dirigeants de notre belle entreprise familiale a été de s'inquiéter du paiement des salaires de ses employés.

 

Ce soir-là, je suis rentré très tard. Et même si elle sait que je ne divulgue jamais les informations confidentielles, mon épouse voulait au moins savoir si c'était grave : " - Toi qui trouves toujours plein de solutions informatiques, tu ne peux rien faire ? - Oui, je fais le maximum... je verrai bien ce que je pourrai faire... je vais dormir un peu et j'y retourne". Comme tout le monde, elle a su que l'attaque avait été très violente et bien préparée, par des pirates qui savaient ce qu'ils faisaient. Il nous fallait d'abord remettre l'entreprise en état de marche puis, dans un deuxième temps, analyser les traces pour identifier l'origine de l'attaque.

 

Le lendemain, je suis retourné à la "guerre", avec les encouragements de mon épouse qui m'a demandé de faire tout le possible, et même l'impossible. Les journées étaient longues : elles commençaient tôt le matin et se terminaient tard, souvent en pleine nuit.
 

Sur le trajet du retour à la maison : "balade" dans la ville, en pleine nuit... que les journées ont été longues !

 

Pour compenser un peu la fatigue, il fallait plusieurs bonnes doses de café ou thé...

 

 

Toute l'équipe informatique s'est mobilisée, spontanément : les administrateurs l'administrateur (c'est-à-dire moi, car l'autre administrateur avait démissionné quelques semaines avant), les techniciens, les développeurs, ainsi que les collègues de la cartographie, et même un prestataire informatique externe... Tout le monde a participé à la bataille... même le DSI (Directeur du Système d'Information). On a tellement travaillé ensemble, lui et moi, jours et nuits, que, pendant cette période, j'ai passé plus de temps avec lui qu'avec ma femme ;-)

 

Pendant que je m'occupais des serveurs virtuels avec le DSI, les collègues ont scanné toutes les machines physiques des utilisateurs avec une clé USB contenant SOPHOS, un logiciels capable de détecter l'un des programmes parasites identifiés (ZEUS).

 

 

 

On a rapporté au siège de l'entreprise le serveur de sauvegarde qui se trouvait sur le site du PRA et on l'a déposé dans la salle des serveurs pour récupérer tout ce qu'on pouvait. Car les pirates avaient bien préparé leur coup. Et ils ont attendu la fin des opérations automatiques de sauvegarde pour, ensuite, presque tout détruire : les sauvegardes locales, les sauvegardes déportées, et même les réplicas des serveurs virtuels. C'était effarant, surtout que d'autres entreprises ont été attaquées la même nuit, et nous savons aujourd'hui que certaines d'entre elles ne se sont pas relevées.

 

Par mesure de sécurité, je ne peux pas entrer trop dans les détails et divulguer des informations sensibles. Cependant, je peux communiquer quelques informations qui pourraient être utiles à d'autres entreprises.

 

Ainsi, sans détailler comment les pirates sont entrés (même si je ne suis pas concerné), je peux dire qu'ils ont utilisé plusieurs programmes et notamment mimikatz, un programme que Benjamin Delpy (alias Gentil Kiwi), Responsable du Centre de Recherche & Développement en Sécurité de la Banque de France (selon les différents articles à son sujet), aurait créé "pour apprendre le langage C et faire quelques expérimentations avec la sécurité de Windows".

 

Ainsi donc, un développeur soit-disant "amateur" aurait trouvé plusieurs grosse failles de sécurité dans Windows, le système d'exploitation le plus utilisé au monde ! Rien que ça, c'est déjà remarquable ! De surcroît, le gentil programmeur amateur ("Gentil Kiwi") aurait eu "la gentillesse" de partager ses trouvailles en diffusant librement les codes sources de ses programmes sur Internet... depuis 2007 ! Et lesdits programmes seraient encore virulents aujourd'hui, en 2019, sur les systèmes récents de Windows, compromettant potentiellement, à l'échelle mondiale, le bon fonctionnement de nombreuses entreprises ou organismes publics dont, par exemple, des hôpitaux (voir liste non exhaustive en fin d'article). C'est une blague ? Mais non... Ce n'est pas une "fake news", s'il faut croire ce qui est mentionné sur le site de l'auteur, qui expose lesdites failles de sécurité et indique, même, le mode d'emploi de ses programmes :

 

Plus on partage, plus on possède. Voilà le miracle ! (Leonard Nimoy)

 

Le blog de Gentil Kiwi

 

"Rendu public en 2007"... et toujours fonctionnel en 2019, sur les version récentes de Windows !... Please, Micro$oft... Wake up !

 

"mimikatz is a tool I've made to learn C and make somes experiments with Windows security." (gentilkiwi)

 

En fait, initialement, avec Mimikatz, Benjamin Delpy aurait voulu démontrer la vulénarabilité des protocoles d’authentification de Microsoft. Puis, il a étoffé son "package"... qui a été récupéré par les pirates. Les révélations de "Gentil Kiwi" sont sidérantes et son travail est remarquable. Toutefois, on pourrait s'interroger sur l'opportunité de diffuser ce genre de logiciels sur Internet, de surcroît librement accessibles, donc à la merci de personnes peu scrupuleuses qui, tels les pirates du numérique, les utilisent pour tenter de soutirer de l'argent en faisant du "kidnapping" de données. Mimikatz est surtout intéressant sur le plan didactique et, s'il faut croire M. Delpy lui-même, Microsoft aurait sécurisé son système entre temps. C'est difficle à croire lorsqu'on sait que nos serveurs ont été vulnérables, récemment, alors même qu'ils bénéficient des dernières mises-à-jours de Microsoft.

 

Et, chez nous, les pirates ont pris soin d'effacer la plupart de leurs traces dans les logs de nos serveurs Windows. Mais non avons quand même trouvé de nombreux indices lors des analyses :

 

une trace mimikatz

 

quelques programmes utilisés par les pirates (mimilove fait partie du package "mimikatz")

 

les mots de passe décodés par les pirates : ils ne sont plus d'actualité dans notre entreprise ;-)

 

 

Mimikats permet notamment de révéler tous les mots de passe. Et, avec un mot de passe "administrateur", les pirates ont fait ce qu'ils voulaient, sans être inquiétés, pas même par notre serveur antivirus qu'ils ont neutralisé. Les "forces obscures" ont fait beaucoup de dégâts cette nuit-là. Mais nous avons fait face.

 

A toutes fins utiles, je précise que ces mots de passe ne sont plus utilisés dans notre entreprise (dont je ne citerai pas le nom, par excès de sécurité). De plus, le DSI m'a chargé de contrôler toutes les règles de nos firewalls. Les sécurités ont été renforcées : certaines règles anciennes (qui étaient là avant même mon arrivée dans l'entreprise) ont été modifiées ou supprimées. Le nouveau Responsable, qui prendra ses fonction en juin, sera probablement plus réceptif lorsque je signalerai une faille de sécurité dorénavant (meilleure gestion des fichiers de mots de passe, droits d'accès plus restreints, etc...).

 

Pendant cette période, notre salle des serveurs, qui d'habitude est très bien rangée, était devenue un champ de bataille. On récupérait tout ce qu'il était possible de récupérer dans les disques afin de reconstruire nos serveurs (data, compta, paie, etc) à partir des quelques éléments restants, y compris les "snapshots" (genre de sauvegarde pour les machines virtuelles) qui peuvent permettre de reconstruire les serveurs. Et, petit à petit, on a récupéré beaucoup, notamment le serveur de données principal (DATA) qui avait été déclaré "complètement irrécupérable" par les prestataires spécialistes. Pourtant, j'avais remarqué une incohérence dans vSphere (gestionnaire de VmWare) : pour ce serveur, le gestionnaire indiquait qu''il n'y avait pas de snapshot. Mais, curieusement, il proposait de "supprimer tous les snapshots". Alors, pour lever les doutes, nous avons fait une connexion de bas niveau (SSH, connexion directe sans passer par vSphere) sur le serveur physique Veeam qui contenait les sauvegardes supprimées par les pirates. Et nous avons trouvé un snapshot de ce serveur... le Saint Graal, presque...  Alléluia !

 

 

Il a été heureux de faire cette vérification qui a permis de récupérer cet important serveur virtuel DATA car, après la nécessaire remise à neuf du serveur physique "Veeam" (réinstallation complète de la machine et du système de sauvegarde), on n'aurait rien récupéré. Pour bien comprendre ce qui s'est passé, il faut savoir que Veeam fait automatiquement, avant la sauvegarde, un snapshot de chacune des machines virtuelles à sauvegarder. Ce snapshot est supprimé automatiquement par Veeam à la fin de la sauvegarde. Comme les pirates ont détruit le serveur Veeam immédiatement après la sauvegarde, le snapshot n'a pas pu être supprimé par Veeam. Et nous l'avons récupéré. Si votre entreprise est attaquée, pensez à faire ce contrôle qui pourrait vous permettre de récupérer quelques éléments.

 

Et, après avoir vérifié que le serveur DATA était sauvé et que toutes les données étaient récupérables (non cryptées), j'ai pu annoncer la bonne nouvelle aux salariés ainsi qu'aux membres de la Direction, qui m'avaient questionné quelques jours auparavant. :

 

 

 

En apprenant cette bonne nouvelle, tout le monde a été soulagé et nous avons reçu plusieurs messages (ça fait chaud au coeur) :

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Ces témoignages de satisfaction ont été déjà une belle récompense. Et ce n'était pas tout ! Effet, un festin a été préparée en l'honneur de l'équipe informatique, qui a triomphé des vilains pirates. On s'est régalés !

 

 

Et, en plus, la Direction a invité toute l'équipe à déjeuner dans un restaurant gastronomique réputé. Là aussi, c'était délicieux !...

 

 

...Avec une lettre de remerciements de la Direction, en plus de la prime. Ca fait très plaisir de travailler pour des dirigeants reconnaissants.

 

Chaleureux remerciements de la Direction de notre belle entreprise familaile, à dimension internationale

 

Cette expérience a montré qu'on n'est jamais assez prudent : quel que soit le niveau de sécurité, il y a toujours des nuisibles qui tentent de s'introduire dans les systèmes. Mais, s'il est vrai que "ce qui ne tue pas rend plus fort", alors il sortira quelque chose de bon de cette expérience. Et notre entreprise vit toujours... et fait vivre ses nombreux salariés.

 

Donc, si votre entreprise est attaquée, ne baissez pas les bras. Laissez faire vos informaticiens... que vous aurez rigoureusement sélectionnés... proactivement. Et sachez les garder !

 

Je saisis l'occasion pour saluer, une fois encore, la réactivité des deux techniciens, aspirant-administrateurs, qui, par leur autonomie et leur disponibilité, me permettent de me concentrer sur les opérations les plus délicates, à chaque fois que c'est nécessaire. Et cette constante vigilance de l'équipe réseau, ainsi que sa réactivité, permettent à l'entreprise de faire face à n'importe quelle menace informatique, comme cela a été démontré lors de cette violente et terrible cyberattaque que l'entreprise a essuyée, pourtant sans séquelles. Pourvu que cela dure !

 

JM + MP + TS = Semper fidelis, Semper paratus

 

Voici quelques articles de presse reletant les attaques informatiques subies par d'autres entreprises :

 

Quelques citations amusantes :

  • Règle informatique n°1 : Si tout va bien, ne touchez à rien !
  • L'urgent est fait, l'impossible est en cours, pour les miracles prévoir un délai...
  • Article 1 : Le chef a toujours raison. Article 2 : Si le chef a tort, appliquer l'article 1.
  • Nos clients sont nos meilleurs beta testeur. (Microsoft ?)
  • Si les ouvriers construisaient les bâtiments comme les développeurs écrivent leurs programmes, le premier pivert venu aurait détruit toute civilisation (Gerald Weinberg)
  • Aujourd’hui, la programmation est devenue une course entre le développeur, qui s’efforce de produire de meilleures applications à l’épreuve des imbéciles et l’univers, qui s’efforce de produire de meilleurs imbéciles. Pour l’instant, l’univers a une bonne longueur d’avance (Rich Cook)
  • Si on peut utiliser l'Iphone 5 d'une seule main, c'est parce qu'il coûte déjà l'autre bras.
  • To do : Créer un navigateur et l’appeler Christophe Colomb.
  • No keyboard present, press F1 to resume...
  • Computers are like air conditioners - They stop working properly when you open Windows.
  •  A bus station is where bus stops... a train station is where train stops... My computer is a workstation...
  • Un PC devient lent et difficile à utiliser dès que celui d’un des autres employés du service a été remplacé par un neuf.
  • Grâce à l’ordinateur, on peut faire plus rapidement des choses qu’on n’aurait pas eu besoin de faire sans ordinateur.
  • Un disque dur qui foire, ça n’arrive jamais, sauf quand ça arrive...
  • La probabilité d’un crash du disque dur augmente de manière exponentielle avec l’âge de la dernière sauvegarde complète.
  • Le bug se trouve parfois entre la chaise et le clavier.
  • L'homme est toujours l'ordinateur le plus extraordinaire de tous. (John F. Kennedy)
  • Une entreprise dans laquelle il n'y a pas d'ordre est incapable de survivre ; mais une entreprise sans désordre est incapable d'évoluer. (Bernard Nadoulek)
  • Le vrai courage ne se laisse jamais abattre. (Fénelon/Télémaque)
  • L’intégrité est une composante essentielle de la sécurité. Et pas seulement en informatique ! (Didier Hallépée)
  • En informatique, la miniaturisation augmente la puissance de calcul. On peut être plus petit et plus intelligent. (Bernard Werber)
  • Avec une montre, on connaît l'heure. Avec deux, on est jamais sûr (Murphy)
  • Dans toute organisation, il y a toujours une personne qui sait ce qui se passe. Elle doit être virée. (Murphy)
  • Celui qui sourit lorsque les choses vont mal, a déjà pensé à celui qui portera le chapeau. (Murphy)
  • Quel que soit le nombre de preuves démontrant la fausseté d'une chose, il se trouve toujours quelqu'un pour croire qu'elle est vraie. (Murphy)
  • Faire du mal me serait trop pénible, j'aime bien mieux le supporter. (Jean Frain du Tremblay)
  • Spéciale dédicace à Molon/Gioria/Klein : La justice de Dieu est sans appel. Les forces du mal n'ont pas d'avenir. La vérité triomphe toujours.
  • Dieu récompensera la vertu et punira le vice, dans ce monde ou dans l'autre. (Benjamin Franklin)
  • Quand on fait le mal, c'est en vain que l'on brûle de l'encens et qu'on offre des sacrifices. (Kao-Tong-Kia)
  • En un mot, contrairement à bien des humains qui sont malfaisants, si les bêtes tuent, c'est pour se nourrir, et non pour le plaisir, comme le font certains hommes. (Edgar Fruitier)

 

Nota Bene : Aucun de nos serveurs Linux n'a été impacté par le cryptovirus, bien sûr ;-)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Esprit de corps

 

Je dédie cet article à toutes celles et tous ceux qui partagent les belles valeurs et, en particulier, à l'adjudant qui commandait le troisième peloton du troisième escadron du troisième régiment de Hussards lorsque j'étais sous les drapeaux, un homme droit et généreux.

Le troisième hussard, "il en vaut plus d'un" (devise du 3e RH) et "rien ne l'effraie" (devise du troisième escadron).

 

 

Les pirates ?... même pas peur ! Avec un AMX ou avec un clavier... Semper paratus, Semper fidelis

 

 

 

Les commentaires sont fermés.