Actu: L’hôpital de Dax paralysé par un ransomware

[Bounoume]

réflexion très naîve:
https://www.futura-sciences.com/tech...somware-85677/
Une fois en cours d' exécution par le système, le ransomware a progressivement crypté des fichiers appartenant à un/des (groupe) user(s) déterminé(s).

Bien sûr, ce ransomware n' aurait pas dû disposer des droits d' écriture afférents à ce groupe (ou de niveau supérieur, bien sûr.....), mais hélas il les a obtenus..... et il en profite.....
Même si le verrou des droits a été inactivé, il persiste quand même quelque chose d' évident (pour les modules de gestion des mémoires de masse): un trafic anormal de lectures-écriture ! Dans le cas de Dax, de surplus, c' est la nuit.....

Le système surveille-t-il cet aspect de ces processus? En bloquant dès anomalie du ou des processus en train d' agir?, ou de trafic anormal compte tenu des tâches prévues et donc parfaitement définies??*

qu' est-ce qui protège l' utilisateur
remarque: sur un vulgaire PC ordinaire.... si un gentil machin téléchargé sur e net, avec les droits de l'utilisateur de base, commence à ré-écrire en crypté tous les fichiers user (sauf ceux en cours d' écriture, probablement ? ) qu' est-ce qui protège l' utilisateur contre ce ransomware?

*ou alors le ransomware a réussi à compromettre les niveaux le + élevés du système ? qu' est-ce qui protège l' utilisateur
-----

[Merlin95]

Je pense qu'un outil comme sophos permet d'éviter efficacement les ransomware.
https://www.sophos.com/fr-fr/product...caAgoZEALw_wcB
Mais ne sais pas ce que ça vaut en pratique.

[pm42]

D'un coté, tu as raison : mettre en place une bonne sécurité protège. Mais c'est parfois plus compliqué que ça :

https://www.phonandroid.com/thanos-r...antivirus.html

Comme on ne sait pas de quel ransomware on parle, de comment l'attaque s'est faite (email, clé USB, site web, pénétration directe du réseau, soft corrompu...), il est difficile de dire quelque chose de pertinent.

[pm42]

Bien sûr, ce ransomware n' aurait pas dû disposer des droits d' écriture afférents à ce groupe (ou de niveau supérieur, bien sûr.....), mais hélas il les a obtenus..... et il en profite.....
Même si le verrou des droits a été inactivé, il persiste quand même quelque chose d' évident

Il y a un principe en sécurité : un accès à un ordinateur se transformera toujours avec le temps en accès avec un niveau de sécurité plus élevé et des droits administrateurs.
On essaie de rendre cela le plus difficile possible, le plus lent possible de façon à détecter l'intrusion et à la contenir avant mais beaucoup de systèmes d'information sont faibles, pas à jour, sous-administré et la compétence en cyber-sécurité des équipes pas forcément au top. Pour les hôpitaux, cela doit être catastrophique compte tenu de ce que j'ai vu ailleurs.

(pour les modules de gestion des mémoires de masse): un trafic anormal de lectures-écriture ! Dans le cas de Dax, de surplus, c' est la nuit.....

Le système surveille-t-il cet aspect de ces processus? En bloquant dès anomalie du ou des processus en train d' agir?, ou de trafic anormal compte tenu des tâches prévues et donc parfaitement définies??*

*ou alors le ransomware a réussi à compromettre les niveaux le + élevés du système ? qu' est-ce qui protège l' utilisateur

Le système fait ce qu'il peut mais il y a toujours des failles.
Cela va de MS-DOS (pas de sécurité du tout), des vieux Windows (des passoires), des Windows actuels (correct si bien gérés) à iOS (il faut les ressources d'un Etat ou presque) à des trucs qui ne sont pas grand public et qui sont vraiment sécurisés.

Mais il y a une blague sur le sujet : "un ordinateur sécurisé est éteint, dans un bunker rempli de gaz innervant, gardé par des troupes d'élites très bien payées et même comme ça, je ne parierai pas dessus".
C'est un peu excessif et un peu daté mais cela donne une idée.

Blague à part, ce qui te protège toi, c'est d'être à jour, d'avoir les outils qu'il faut (antivirus, firewall), de respecter les règles de sécurité de base (ne pas installer n'importe quoi, ne pas cliquer sur les liens qui t'annoncent que tu as gagné un iPhone ou un Samsung, etc).
Et surtout le fait qu'en tant que particulier, tu n'es pas une cible.

Et que si tu es sécurisé, les robots qui écument le Net à la recherche de machines à craquer pour faire des botnets ou installer un ransomware passeront à la suivante moins protégée que la tienne.

[A voir en vidéo sur Futura]

[Merlin95]

Et surtout le fait qu'en tant que particulier, tu n'es pas une cible.

Mon père a été piraté par un ransomware et il n'a pas eu d'autre choix que de payer.

[pm42]

Mon père a été piraté par un ransomware et il n'a pas eu d'autre choix que de payer.

Tu as oublié le reste de l'explication : tu n'es pas une cible privilégiée et si tu te protèges, c'est la personne d'à coté, dans le cas présent ton père qui a plus de chances de se faire avoir.
Si tu es une cible privilégiée, tu ne peux pas vraiment te protéger en tant qu'amateur.

[invite7a0a8d2e]

001 : Si un hôpital entier est corrompu par un ransomware (d'autant que si c'est un bête virus...), c'est que la protection était défaillante et donc que le Service Informatique n'a pas fait ou n'a pas pu faire son boulot.
Il n'y a aucune raison, en standard si je puis dire, qu'un machin puisse s'exécuter sur un PC pour mettre en péril l'ensemble de l'infrastructure.
Celui qui dit ça, c'est qu'il se cherche des excuses...
Tout a été pensé pour être sécurisé, jusqu'à l'inactivation de la clé USB.

Après, ça peut arriver, mais dans ce cas c'est ciblé, fait de l'intérieur, fait à la mano par un bon hacker, ou fait appel à un programme faisant appel à une faille, non encore détecté par le pourvoyeur d'antivirus (là, c'est pas de bol).
Et autant dire si c'est des hackers, ils ne vont pas se casser la binette et ils vont chercher la proie facile, GOTO 001 .

[Gwinver]

Bonsoir.

Petite question naïve.

Sur un PC, il est possible de sauvegarder périodiquement données et système. En cas de perte de disque, on peut reconstruire le système tel qu'il était avant.
Est-ce que ce genre de protection pourrait être efficace et mis en oeuvre sur un grand ensemble informatique?

[invite7a0a8d2e]

Le système surveille-t-il cet aspect de ces processus? En bloquant dès anomalie du ou des processus en train d' agir?, ou de trafic anormal compte tenu des tâches prévues et donc parfaitement définies??*

Ça dépend où tournent les "programmes".
Par exemple si l'utilisateur n'est pas censé être là, on bloque son compte aux heures où il n'a rien à faire en entreprise et son PC est éteint bien sûr (sinon ... sanction mais encore faut-il que le laxisme ne soit pas généralisé).
Évidemment, ça demande de l'organisation, et c'est aussi ce que doit faire le Service Informatique, aider à l'organisation et être force de proposition avec les autres services, par exemple le service du personnel pour gérer la présence des individus sur le site.

Après pour ce qui est de bloquer des tâches inconnues sur un serveur, si on en arrive là... c'est qu'il y a un gros problème en amont.
Pour crypter les données il faut pouvoir les écraser, donc il faut un compte qui possède les droits.
Et puis si le cryptage se fait sur la durée (quelques jours, c'est le moyen efficace pour bloquer le système, sinon il suffit de reprendre la sauvegarde précédente) et que personne ne s'en est rendu compte... que dire ?

[invite7a0a8d2e]

Est-ce que ce genre de protection pourrait être efficace et mis en oeuvre sur un grand ensemble informatique?

Bien sûr, sauf si comme indiqué plus haut le cryptage "pourri" les données.
C'est la même technique employée pour détruire une base de données sans retour en arrière possible (enfin c'est tellement compliqué...), "on la pourri", on ne corrompt pas brutalement puisque sinon il suffit de reprendre la bande de la veille.

Tous les jours, une sauvegarde de tous les dossiers qui se trouvent bien entendu sur les serveurs dédiés, avec un roulement par semaine (on garde les 4 semaines) et tous les mois on transfert la dernière bande dans les bandes du mois, conservée en coffre ignifugé, avec transfert hors site pour augmenter le niveau de sécurité si les données sont vitales à l'entreprise.

Après ce qui se trouve sur un PC.... on peut aussi sauvegarder, mais ce n'est pas dans les normes et on peut le faire une fois par semaine.

[invite7a0a8d2e]

Le système surveille-t-il cet aspect de ces processus?

Juste pour terminer sur ce point, il existe probablement des systèmes de surveillance automatisé, mais normalement, le responsable des serveurs passe une partie de sa matinée à parcourir les logs, pour voir comment les tâches de la nuit se sont déroulées etc.
C'est un humain qui fait le job.
Il continue bien entendu à jeter un œil régulièrement sur les files de messages pour savoir ce qui se passe dans la journée.
Normalement, avec l'habitude, il est en mesure d'identifier rapidement les processus inhabituels.

[Merlin95]

Est-ce que ce genre de protection pourrait être efficace et mis en oeuvre sur un grand ensemble informatique?

Qu'est ce que tu appelles un grand ensemble informatique ?

[agitateur]

Et autant dire si c'est des hackers, ils ne vont pas se casser la binette et ils vont chercher la proie facile, GOTO 001 .

Mmmmmmmm.....justement, le hacker ( ou plutôt le groupe de hackers ) met des moyens qui correspondent à la défense. Mais en général, c'est aussi proportionnel à l'espérance du gain final....On parle pas d'armée de bots balancés à la va vite pour chopper les plus fragiles. En visant une entreprise, c'est un groupe organisé qui cible peu de monde, mais cogne fort.
Toujours pour une entreprise, le soucis n'est plus guère celui qui fout une clef USB vérolée au cul de l'ordi. Mais les failles ( citrix notament en 2020 ), l'explosion des utilisations de VPN avec le télétravail, les attaques force brute, etc....là c'est moins simple.

[5t3ph]

Plus une infra est massive, plus elle offre de surfaces d'attaques.
Et si en plus les budgets des départements informatiques se réduisent comme peau de chagrin, ça n'arrange pas les choses.
Parce que la sécurité, ça coûte très cher mine de rien.
Et il n'y a pas vraiment de solution miracle. Ou plutôt la solution la moins pire, c'est un ensemble de mesures.

La chose la plus importante, c'est certainement le backup des données.
Une bonne stratégie de backup, c'est non seulement identifier et sauvegarder ce qui est important/crucial pour le business de l'entreprise mais c'est aussi simuler de temps en temps un PRA (Plan de Reprise d'Activité). Ben oui, déjà, la moindre des choses, c'est de vérifier que la restauration de données fonctionne et que des "processes" manuels peuvent être mis en route pour la survie de la boîte le temps que ça redémarre. J'ai vu 2 ou 3 reportages sur la situation de l'hôpital de Dax et c'est une histoire qui se répétera, c'est certain. D'autant plus que le Ransomware-as-a-Service, ça s'achète sur le Darknet.

La surface d'attaque la plus utilisée par les ransomwares, c'est l'utilisateur et son PC. Les web pourris, les emails aux titres racoleurs avec des attachements notamment. Beaucoup de boîtes commencent à comprendre qu'il faut remettre l'humain dans la checklist pour une meilleure sécurité. Parce que ça va au-delà de l'arsenal technique, c'est aussi une question de posture. Il y a pas longtemps, j'ai trainé dans un endroit où je voyais des post-it bizarres à proximité de certains écrans. Des mots incompréhensibles qui mélangeaient majuscules, minuscules et chiffres. Sans déconner...

Une autre composante importante, c'est la "sécurité périmétrique". Le design autour des firewalls, s'ils sont redondés, comment ils sont configurés. Mais un cluster de firewalls dernière génération qui sait faire du "deep inspection" et envoyer des emails/fichiers douteux dans un bac à sable quelque part en mode SaaS pour en tester le contenu, ça coûte une blinde...

Je voudrais pas être boss de la sécurité informatique d'une grosse boîte en ce moment, c'est pas vraiment le créneau pour s'éclater

[noir_ecaille]

Annecdote vécue : dans ma boîte on a eu un ticket pour une très grosse anomalie qui a paralisé plusieurs services chez un client pendant au moins 48h -- le temps qu'on se rende compte qu'ils avaient clôturé des comptes utilisés par certains modules (les nôtres ou de concurrents/partenaires en interfaçage). Pour dire que "savoir ce qu'il se passe" sur un serveur en charge d'une équipe même compétente, c'est très théorique et parfois source de tirage de balle dans son pied.

La stratégie la plus adaptée reppose finalement sur des relations de confiance et la façon de mettre en place des accès avec un niveau de confiance/sécurité/ciblage suffisamment élevé, mais pas trop non plus : si vous couper tous les accès dont prestataires, ça ne va pas faire votre affaire le jour où tout votre système tombe -- sauf à avoir les gens qui dorment sur place avec des astreintes (prestataires aussi) mais ç'a un prix en conséquence aussi.

[khurnous]

Bonjour,

L'un des premiers axes de réflexion sur une "bonne" sécurité et de multiplier les couches pour ralentir une intrusion. Plus on passe de temps à essayer de pénétrer un système, plus le risque de se faire prendre est élevé. Le but n'est pas forcément d'empêcher l'intrusion mais d'impliquer un ratio coût/avantage suffisement dissuasif.

L'autre axe est situé entre la chaise et le clavier..et ça s'est le GROS maillon faible...

Ensuite, un bon mot de passe ne mélange pas nécessairement des caractères spéciaux, des chiffres, des lettres un exemple simple :
Si mon mot de passe est "123A456" ou "100Alph@200" le second est plus difficile...mais en faisant de l'ingénierie sociale ces deux mots de passe sont trouvables. Par contre "LejourdaprésjaiMangédesPommes " et plus simple en terme de caractères mais aussi beaucoup plus difficile à craquer, pourquoi ? Simplement sa longueur. Il y a un rapport direct entre le nombre de caractère utilisé et la sécurité apportée. De plus il faut régulièrement en changer..

enfin, les sauvegardes c'est bien (indispensable même) mais quelle certitude ai-je qu'elles ne comportent pas le fameux ramsonware en mode dormant ? C'est une des grosses difficultés.

Donc la sécurité a un coût, qu'il faut intégrer soit dans un budget de fonctionnement soit dans le projet. et si jamais un comptable vous dit que c'est trop cher, soit vous le balancez par la fenêtre, soit vous lui envoyez la facture de remise en état du système avec ce qui a été payé par l'organisme pour récupérer les données.

[invite7a0a8d2e]

L'un des premiers axes de réflexion sur une "bonne" sécurité et de multiplier les couches pour ralentir une intrusion. Plus on passe de temps à essayer de pénétrer un système, plus le risque de se faire prendre est élevé. Le but n'est pas forcément d'empêcher l'intrusion mais d'impliquer un ratio coût/avantage suffisement dissuasif.

Oui, et même parfois "pondre des solutions spécifiques" peut dérouter les attaquants.

L'autre axe est situé entre la chaise et le clavier..et ça s'est le GROS maillon faible...

Justement, on évite de placer n'importe qui sur la chaise de l'administrateur.

Ensuite, un bon mot de passe ne mélange pas nécessairement des caractères spéciaux, des chiffres, des lettres un exemple simple :
Si mon mot de passe est "123A456" ou "100Alph@200" le second est plus difficile...mais en faisant de l'ingénierie sociale ces deux mots de passe sont trouvables. Par contre "LejourdaprésjaiMangédesPommes " et plus simple en terme de caractères mais aussi beaucoup plus difficile à craquer, pourquoi ? Simplement sa longueur. Il y a un rapport direct entre le nombre de caractère utilisé et la sécurité apportée. De plus il faut régulièrement en changer..

L'important c'est surtout que l'utilisateur de base n'ai que des droits de base.
S'il veut se faire flinguer ses données en mettant en mot de passe bidon... il ne le fera pas deux fois.

enfin, les sauvegardes c'est bien (indispensable même) mais quelle certitude ai-je qu'elles ne comportent pas le fameux ramsonware en mode dormant ? C'est une des grosses difficultés.

Ca dépend si le ransomware est du "sur mesure" ou un povre machin qui circule et attaque au hasard.
Normalement, au moment de la sauvegarde, si on veut faire du travail sérieux, on fait passer les données à l'antivirus.

Donc la sécurité a un coût, qu'il faut intégrer soit dans un budget de fonctionnement soit dans le projet. et si jamais un comptable vous dit que c'est trop cher, soit vous le balancez par la fenêtre, soit vous lui envoyez la facture de remise en état du système avec ce qui a été payé par l'organisme pour récupérer les données.

Oui tout à fait.
Vous constatez le problème (une faille), vous trouvez les solutions possibles en présentant le cout/bénéfice de chaque solution, vous remontez le tout à la hiérarchie.
La hiérarchie décide et donc prend la responsabilité du niveau de risque (c'est leur boulot).
Fin de l'histoire.

[mood8moody]

Plus une infra est massive, plus elle offre de surfaces d'attaques.
Et si en plus les budgets des départements informatiques se réduisent comme peau de chagrin, ça n'arrange pas les choses.
Parce que la sécurité, ça coûte très cher mine de rien.
Et il n'y a pas vraiment de solution miracle. Ou plutôt la solution la moins pire, c'est un ensemble de mesures.

La chose la plus importante, c'est certainement le backup des données.
Une bonne stratégie de backup, c'est non seulement identifier et sauvegarder ce qui est important/crucial pour le business de l'entreprise mais c'est aussi simuler de temps en temps un PRA (Plan de Reprise d'Activité). Ben oui, déjà, la moindre des choses, c'est de vérifier que la restauration de données fonctionne et que des "processes" manuels peuvent être mis en route pour la survie de la boîte le temps que ça redémarre. J'ai vu 2 ou 3 reportages sur la situation de l'hôpital de Dax et c'est une histoire qui se répétera, c'est certain. D'autant plus que le Ransomware-as-a-Service, ça s'achète sur le Darknet.

La surface d'attaque la plus utilisée par les ransomwares, c'est l'utilisateur et son PC. Les web pourris, les emails aux titres racoleurs avec des attachements notamment. Beaucoup de boîtes commencent à comprendre qu'il faut remettre l'humain dans la checklist pour une meilleure sécurité. Parce que ça va au-delà de l'arsenal technique, c'est aussi une question de posture. Il y a pas longtemps, j'ai trainé dans un endroit où je voyais des post-it bizarres à proximité de certains écrans. Des mots incompréhensibles qui mélangeaient majuscules, minuscules et chiffres. Sans déconner...

Une autre composante importante, c'est la "sécurité périmétrique". Le design autour des firewalls, s'ils sont redondés, comment ils sont configurés. Mais un cluster de firewalls dernière génération qui sait faire du "deep inspection" et envoyer des emails/fichiers douteux dans un bac à sable quelque part en mode SaaS pour en tester le contenu, ça coûte une blinde...

Je voudrais pas être boss de la sécurité informatique d'une grosse boîte en ce moment, c'est pas vraiment le créneau pour s'éclater

C'est surtout que des boss ou même des employés dédiés à faire seulement de la sécurité informatique, c'est très rare, personnellement, j'ai fait pas mal d'entreprise et je n'en ai jamais vu. Au pire tu fais appel à une société externe pour faire un audit de sécurité. Après j'imagine que les très grosse boites dans des domaines critiques en ont.

La sécurité c'est les administrateurs systèmes qui s'en chargent, entre deux ajouts d'utilisateurs dans l'AD, l'ouverture d'un port dans le firewall voir la réparation d'un imprimante. Personnels bien souvent déjà sous l'eau niveau boulot. C'est encore bien pire dans le public qui ont peu de moyen, des machines datées, des failles de tous les cotés. Les informaticiens n'ont tout simplement pas le temps de faire de la sécurité informatique au-dela de gerer les sauvegardes et quelques basics.

Sans parler des logiciels développés en interne mais pas que qui demande tous une configuration spécifique pour s'executer correctement et laisser des passes droits donc des failles ou demande une version de java daté... ne peuvent tourner que sous windows xp. Les machines que ce soit Linux ou Windows qui font tourner des traitements maisons bricolés par des gars partis en retraites, sensibles à la moindre mise à jour qui sont pourtant là pour tenir le système sur pieds.

Pendant ce temps, le pirates ou un groupe de pirates eux peuvent prendre tout le temps nécessaire pour trouver la faille humaine, matériel ou logiciel pour t'envoyer un petit cadeau et obtenir une belle rançon. En plus de ne faire que ça, ils sont rarement aux 35h.

Donc un jour ca tombe que ce soit une une pme avec trois ordis et un serveur ou un grand groupe censé être au top dans la sécurité comme on a pu le voir dernièrement avec solarwind qui a impacté même FireEye un consultant en sécurité mondial ou l'affaire Centreon chez nous...

[pm42]

Pour ceux que ça intéresse : https://www.lemonde.fr/pixels/live/2...3_4408996.html
C'est très clair.
Pour aller plus loin, il donne ce lien : https://www.cert.ssi.gouv.fr/cti/CERTFR-2021-CTI-001/

[GBo]

Pour ceux que ça intéresse : https://www.lemonde.fr/pixels/live/2...3_4408996.html
C'est très clair.
Pour aller plus loin, il donne ce lien : https://www.cert.ssi.gouv.fr/cti/CERTFR-2021-CTI-001/

Merci pour ces excellents liens pm42, le petit reportage du Monde avec le gars de l'ANSSI réussit en effet à être est accessible à tous sans pour autant dire de bêtises, le revoici en lien direct:
"Logiciels pirates contre rançon : comment les hackeurs piratent les ordinateurs"
https://youtu.be/U0fSWq6Zuu0
cdlt,
GBo