Depuis quelques jours, de nombreux sites français ont été defacés suite à des cyberattaques dont le point d'orgue devrait avoir lieu aujourd'hui même. De son côté, l'ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) publie des fiches d'informations afin de permettre à chacun de savoir comment mieux se protéger.
#OPFrance : de nombreux sites français défacés
Suite aux attentats perpétrés contre Charlie Hebdo, un groupe revendiquant son appartenance au mouvement « anonymous » avait lancé une opération #OpCharlieHebdo dont le but est de s'attaquer à des sites affiliés à la mouvance radicale. Réponse du berger à la bergère, via Pastebin, un autre groupe du nom d'Anon Ghost annonçait la mise en place d'une action #OpFrance dont le but est de viser des sites français.
Depuis le début de la semaine, les attaques se multiplient, notamment sur les sites de tailles modestes, souvent moins bien protégés contre ce genre d'actions. L'ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) confirme et évoque « un accroissement significatif du nombre d’attaques informatiques visant des sites Internet français ». Il est généralement question de remplacer la page d'accueil du site par un message de propagande (défaçage), qui peut varier suivant le groupe qui revendique l'attaque. Selon plusieurs experts en sécurité et des pirates, le point d'orgue de cette opération devrait avoir lieu aujourd'hui même.
Le but ici n'est pas spécialement de récupérer des données personnelles, mais d'occuper le terrain médiatique en multipliant les attaques et les défacement, et ce, quel que soit le site. Mais, au second plan, pourrait également se cacher une manœuvre d'un genre différent, sur des sites institutionnels français cette fois-ci. Nous aurons l'occasion d'y revenir si cela devait se confirmer.
L'ANSSI met en ligne deux guides pour protéger son site d'une cyberattaque
Afin de permettre à chacun de se protéger, l'ANSSI a mis en ligne deux fiches pratiques. La première prend la forme d'un guide de bonne conduite pour les internautes et commence par rappeler l'importance d'utiliser un mot de passe robuste. L'agence recommande 12 caractères minimum, avec un mélange de minuscules, de majuscules et de caractères spéciaux. Mais elle précise également qu'il ne faut pas le réutiliser sur d'autres services. En effet, comme nous avons déjà eu l'occasion de l'évoquer à de nombreuses reprises lors du vol de données personnelles, cela pourrait conduire à un piratage en chaine via plusieurs de vos comptes.
Mais l'ANSSI va plus loin et précise également que toute « mise à jour de contenu doit être effectuée exclusivement depuis un poste informatique maîtrisé par votre service informatique (DSI) et dédié à cette activité. Elle ne doit en aucun cas s’effectuer à distance depuis le domicile, une tablette ou un smartphone ». Encore faut-il disposer d'un DSI...
De l'importance de toujours être à jour...
Bien évidemment, il est important de tenir à jour son site (notamment les CMS comme Drupal, Wordpress, Joomla, SPIP, etc.), son système d'exploitation et ses logiciels. En effet, c'est certainement l'un des principaux vecteurs d'infection : exploiter des failles publiques, certes corrigées, mais dont les patchs ne sont malheureument pas toujours appliqués par les administrateurs. Une histoire qui n'est pas sans rappeler l'épisode Synolocker par exemple.
@MuSylvain Sur Drupal aussi :)
— Khanon (@Castex_T) 15 Janvier 2015
La seconde fiche pratique s'adresse, elle, aux administrateurs des sites. Dans la partie prévention, on retrouve à peu près les mêmes recommandations : mot de passe fort et composants à jour. L'ANSSI en profite pour rappeler qu'« il est important de garder à l’esprit qu’un site ayant été compromis contient a minima une vulnérabilité qui doit être identifiée et corrigée. L’ensemble des actions ayant pu être réalisées par les attaquants doit être analysé. En aucun cas la restauration d’une sauvegarde ou la suppression de l’élément ajouté/modifié ne pourra être considérée comme étant une réponse adaptée ». Une seconde partie se penche sur le cas d'une attaque par Déni de Service (DoS, voire DDoS si elle est distribuée).
Quoi qu'il en soit, si vous ne respectez pas ces quelques consignes de bases, notamment au niveau des mots de passe et des mises à jour logicielles, il est plus que temps d'y remédier.
Commentaires (49)
#1
Vous avez bien sécurisé Next Inpact ?!?!
" />
#2
#3
#4
Entre les complots, les récupérations, les lois liberticides, les OP des deux bords…
Faudrait lancer un autre mot d’ordre : #jesuisfatigué
#5
#6
#7
A mon boulot, on utilise Typo3 version 4. On en est à la 7. Sur plusieurs sites, qui font des dizaines de milliers de visiteurs par jour.
" />
Dans ces conditions ce n’est pas difficile de trouver la faille pour défacer un site
#8
#9
#10
En cliquant sur tout ces liens je risque pas d’être fiché quelque part ?
#11
#12
Bon tout va bien j’ai pas encore un méchant djihadiste en page d’accueil de mon site.
Faut dire que j’ai mis wordpress à jour récemment et je fais confiance à OVH pour le reste.
Mais il est vrai que c’est fatiguant à force toute cette phobie ambiante.
La nuit dernière 4 jeunes renverse une flic dans une rue à sens unique immédiatement premier commentaire des journaliste il n’avait pas de lien avec le terrorisme.
Demain Robert va prendre un coup de rouge de trop et va écraser Marcelle sur la place du village en rentrant voir Simone en voiture et on lancera une enquête par les services anti terroriste.
#13
Vu le lieux de l’accident vaut mieux mettre les points sur les i rapidement.
#14
#15
C’est intéressant ces attaques informatiques, ça fait évoluer le débat.
#16
« toute mise à jour de contenu doit être effectuée exclusivement depuis un poste informatique maîtrisé par votre service informatique (DSI) et dédié à cette activité
" />
" />
Vu l’immense compétence de certains DSI je suis pas sur que le conseil soit forcément des plus judicieux
p.s. toujours pas de balise “quote” dans la fenêtre de rédaction
#17
#18
#19
J’adore l’info de l’ANSSI, l’avant-veille.
“Bon si vous avez des trous béants de sécurité dans votre SI, veillez bien à les corriger d’ici après-demain”.
Parce que bien sûr, si on a des trous béants, c’est pas parce qu’on n’a ni les moyens ni les compétences pour les boucher, et il suffit de nous le rappeler pour qu’on le fasse d’un claquement de doigt…
#20
T’es pas au courant qu’un serveur web ça se monte et met à jour sans interruption de travail en 20 min ?
" />
#21
Les consignes de l’ANSSI sont connues depuis longtemps. Ceux qui savent le faire l’ont déjà fait, ceux qui ne l’ont pas fait, c’est parce qu’ils ne savent pas le faire. Je ne vois pas l’intérêt de dire “au fait, ce que vous n’avez pas réussi à faire dans les 3 derniers ans, faites-le vite d’ici demain soir”.
La partie information et conduite à tenir en cas d’attaque, elle, est utile.
Sinon tes 20 minutes c’est vrais chez les bisounours. Dans la vraie vie, une MAJ, ça se qualifie, et ça prend bien plus de 20 minutes. Surtout que tu as toujours des trucs qui passent pas dans la nouvelle version et qui nécessitent des adaptations, voire une reprise complète du site.
#22
L’agence recommande 12 caractères minimum, avec un mélange de minuscules, de majuscules et de caractères spéciaux.
Raaaaah, toujours la même erreur… Au moins, ils demandent plus de 6 caractères !
La meilleure solution reste celle-ci : http://xkcd.com/936/
Sinon, la page actualité de mon école doctorale a été “hacké”, j’ai un screen du message laissé par Anon Ghost si ça intéresse, je ne l’ai personnellement pas lu (juste la première ligne qui ne donne pas envie de continuer).
#23
Argh, pas possible d’éditer, j’ai un bug avec l’affichage des bon plans, l’un d’eux est e ndessous des autres du coup lorsque je vais vers le bouton éditer celui ci disparait et je peux scroller sur le coté pour faire bouger les bon plans…
Bref, le lien ne marche pas si vous cliquez dessus, faut le copier coller
#24
#25
A l’usage, la méthode xkcd est médiocre, je trouve. Certes, le mot de passe est plus facile à retenir, mais comme il est nettement plus long, on fait beaucoup plus souvent des fautes de frappe.
#26
Faut taper moins vite
" /> Pas trop de soucis de mon coté, je dois perdre 2sec par rapport à mes anciens mots de passe !
#27
#28
C’est bien connu, pour éviter de se faire hacker, se débrancher est une méthode infaillible (je parle bien sûr d’EDF, se débrancher seulement d’internet laisse une grosse vulnérabilité vis-à-vis des clés USB).
#29
Vous croyez qu’ils viseront Désir d’avenir et Pôle Emploi.fr, ces modèles de sites?
" />
Je leur donnerait presque raison dans ce cas , mais à cause de l’anti ergonomie et du mauvais goût
#30
#31
#32
#33
Partons d’un dictionnaire de 50 000 mots. Mon vieux Larousse papier en fait 70 000. Et ce ne sont que des mots communs français. Autant dire que tu peux l’étendre si tu utilises le nom de ton chat et des insultes en portugais.
Donc, avec ton dictionnaire de 50000 mots, si tu as 4 des ces mots dans le mot de passe, il te faut 6,25 * 10^18 (6,25 milliards de milliards) entrées pour ton attaque par dictionnaire. Ça commence à faire.
#34
faut espérer qu’ils vont pas s’en prendre à un de ces sites industriels ou l’informatique datant de 30 ans est interconnecté sur du tcp/ip…
#35
Rajoute des majuscules et caractères spéciaux :-*
#36
C’est du vent, les “mots de passe robustes”
" />
" />
https://fr.wikipedia.org/wiki/Fonction_de_hachage#Salage
Dans mes DB, même avec un mot de passe de 3 caractères, j’ai 145$rr155554g4r5g4g1f4f5k de stocké…
Mais c’est sûr que si on s’en balance de ses utilisateurs et qu’on fait pas de recherches
Y’en a bien qu’on (con?) des mots de passe en clair de toute façon
#37
Lol..
#38
Bonjour,
" />
“commence par rappeler l’importance d’utiliser un mot de passe robuste.
L’agence recommande 12 caractères minimum, avec un mélange de
minuscules, de majuscules et de caractères spéciaux” …
… ma banque limite à 8 caractères …. arf
Y’a du souci à se faire, non ?
#39
“Lord Casque Noir :
En résumé, la combinaison est : 1, 2, 3, 4, 5. Mais c’est la
combinaison la plus stupide qu’on m’ait révélé ! N’importe quel idiot
s’en sert pour ses bagages.”
#40
#41
10^18 combinaisons à essayer, même sans autre sécurité et à la carte graphique, je te souhaites beaucoup de courage. A un milliard de combinaisons par secondes, ça fait 30 ans.
" />
Et via internet, un milliard de tentative par seconde, ça s’appelle un DDOS, pas un bruteforce.
#42
#43
“Mais l’ANSSI va plus loin et précise également que toute « mise à jour de contenu doit être effectuée exclusivement depuis un poste informatique maîtrisé par votre service informatique (DSI) et dédié à cette activité. Elle ne doit en aucun cas s’effectuer à distance depuis le domicile, une tablette ou un smartphone ». Encore faut-il disposer d’un DSI…”
" />
Ca ne va empecher de pendre une xss ou une injection SQL dans la face ça… La france encore à la pointe de sécurité informatique
Il va falloir aussi que les entreprises se mettent à embaucher des gens compétents en la matière et à les payer HONNETEMENT !
#44
Je faisais référence à la première partie de ton message, qui était lui-même une réponse au 10^18 :
#45
#46
#47