Depuis quelques jours, de nombreux sites français ont été defacés suite à des cyberattaques dont le point d'orgue devrait avoir lieu aujourd'hui même. De son côté, l'ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) publie des fiches d'informations afin de permettre à chacun de savoir comment mieux se protéger.
#OPFrance : de nombreux sites français défacés
Suite aux attentats perpétrés contre Charlie Hebdo, un groupe revendiquant son appartenance au mouvement « anonymous » avait lancé une opération #OpCharlieHebdo dont le but est de s'attaquer à des sites affiliés à la mouvance radicale. Réponse du berger à la bergère, via Pastebin, un autre groupe du nom d'Anon Ghost annonçait la mise en place d'une action #OpFrance dont le but est de viser des sites français.
Depuis le début de la semaine, les attaques se multiplient, notamment sur les sites de tailles modestes, souvent moins bien protégés contre ce genre d'actions. L'ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) confirme et évoque « un accroissement significatif du nombre d’attaques informatiques visant des sites Internet français ». Il est généralement question de remplacer la page d'accueil du site par un message de propagande (défaçage), qui peut varier suivant le groupe qui revendique l'attaque. Selon plusieurs experts en sécurité et des pirates, le point d'orgue de cette opération devrait avoir lieu aujourd'hui même.
Le but ici n'est pas spécialement de récupérer des données personnelles, mais d'occuper le terrain médiatique en multipliant les attaques et les défacement, et ce, quel que soit le site. Mais, au second plan, pourrait également se cacher une manœuvre d'un genre différent, sur des sites institutionnels français cette fois-ci. Nous aurons l'occasion d'y revenir si cela devait se confirmer.
L'ANSSI met en ligne deux guides pour protéger son site d'une cyberattaque
Afin de permettre à chacun de se protéger, l'ANSSI a mis en ligne deux fiches pratiques. La première prend la forme d'un guide de bonne conduite pour les internautes et commence par rappeler l'importance d'utiliser un mot de passe robuste. L'agence recommande 12 caractères minimum, avec un mélange de minuscules, de majuscules et de caractères spéciaux. Mais elle précise également qu'il ne faut pas le réutiliser sur d'autres services. En effet, comme nous avons déjà eu l'occasion de l'évoquer à de nombreuses reprises lors du vol de données personnelles, cela pourrait conduire à un piratage en chaine via plusieurs de vos comptes.
Mais l'ANSSI va plus loin et précise également que toute « mise à jour de contenu doit être effectuée exclusivement depuis un poste informatique maîtrisé par votre service informatique (DSI) et dédié à cette activité. Elle ne doit en aucun cas s’effectuer à distance depuis le domicile, une tablette ou un smartphone ». Encore faut-il disposer d'un DSI...
De l'importance de toujours être à jour...
Bien évidemment, il est important de tenir à jour son site (notamment les CMS comme Drupal, Wordpress, Joomla, SPIP, etc.), son système d'exploitation et ses logiciels. En effet, c'est certainement l'un des principaux vecteurs d'infection : exploiter des failles publiques, certes corrigées, mais dont les patchs ne sont malheureument pas toujours appliqués par les administrateurs. Une histoire qui n'est pas sans rappeler l'épisode Synolocker par exemple.
@MuSylvain Sur Drupal aussi :)
— Khanon (@Castex_T) 15 Janvier 2015
La seconde fiche pratique s'adresse, elle, aux administrateurs des sites. Dans la partie prévention, on retrouve à peu près les mêmes recommandations : mot de passe fort et composants à jour. L'ANSSI en profite pour rappeler qu'« il est important de garder à l’esprit qu’un site ayant été compromis contient a minima une vulnérabilité qui doit être identifiée et corrigée. L’ensemble des actions ayant pu être réalisées par les attaquants doit être analysé. En aucun cas la restauration d’une sauvegarde ou la suppression de l’élément ajouté/modifié ne pourra être considérée comme étant une réponse adaptée ». Une seconde partie se penche sur le cas d'une attaque par Déni de Service (DoS, voire DDoS si elle est distribuée).
Quoi qu'il en soit, si vous ne respectez pas ces quelques consignes de bases, notamment au niveau des mots de passe et des mises à jour logicielles, il est plus que temps d'y remédier.
