Piratage de serveurs/sites/ ... suite aux récents évènements

L'auteur de ce sujet a trouvé une solution à son problème.
Auteur du sujet

Bonsoir,

Y a t il réellement une raison de s'alarmer des attaques annoncées pour ces prochains jours ?

Autour de moi ça s'affole un peu. On se fait inonder de mail nous recommandant la vigilance etc …

Des retours de votre côté sur cela ?

Dans le doute, reboot.

+0 -0

Il faut toujours être vigilant sur le sujet, des emmerdeurs ça a toujours existé surtout pour les sites ayant une grande visibilité ou gérant de l'argent comme les banques.

Je pense honnêtement que ce ne sera pas pire que d'habitude, ce n'est pas la première fois que des gens s'y mettront à plusieurs pour faire tomber des sites. Ils y arriveront très certainement pour un certain nombre.

EDIT : bref, je pense que le mieux à faire à part sécuriser son site et en mettant à jour ses logiciels c'est de respecter la règle essentielle d'un mot de passe compliqué par site Web qui doit être toujours appliquée même en temps normal. Ce n'est pas comme si que depuis 5 ans ont avait des fuites de BDD avec des mots de passe en clair associés à des adresses ou des noms de compte sur différents services…

Édité par Renault

Amateur de Logiciel Libre et de la distribution GNU/Linux Fedora.

+0 -0

Comment tu fais pour retenir un mot de passe par site ?

Tu as des logiciels pour t'aider dans cette tâche, notamment ton navigateur mais aussi des logiciels spécialisés.

Après ça dépend, pour les sites où mon compte n'a aucune importance (usage unique du dit compte, site poubelle…) le mot de passe peut être identique car un éventuel vol et divulgation du mot de passe ne me fera ni chaud ni froid.

Quand on voit la quantité de mots de passes qui se baladent dans la nature car des BDD fuitent de partout, c'est je pense une mesure à prendre de manière générale à moins que l'on soit fan de changer de mots de passes souvent en cas de divulgation (ce qui nécessite de faire de la veille sur le sujet pour connaître les fuites éventuelles).

Amateur de Logiciel Libre et de la distribution GNU/Linux Fedora.

+0 -0
Staff

Il existe des algos pas mal pour ça.

Par exemple, à un moment (en 2013 donc c'est fini tout ça), j'utilisais celui là :

soit 5 noms de la suite office de microsoft : word excel visio publisher powerppt

pour déterminer quel mot sera utilisé, il suffit de faire le nombre de lettre mod 5 et de prendre le logiciel qui est à l'indice trouvé.

ensuite on découpe 2013 en deux parties et on y addition leur chiffres donc ça fait 2 4

enfin, je prends les 4 lettres du site sur lequel je suis. puis je remplis de @ jusqu'à ce que j'ai 15 caractères.

Donc pour zeste de savoir, en 2013, j'aurai eu comme mot de passe : visio24zest@@@@.

Bien sûr je mets à jour mes algorithmes chaque premier de l'an.

Édité par artragis

+0 -0

Renault: le problème, c'est que tu n'emporte pas les softs qui contiennent les mots de passe d'un PC à un autre.

artragis: en plus de faire un mot de passe qui dépend de sa date de création, ce qui n'est pas simple à mémoriser, tu crées finalement des mots de passe faibles. A partir d'un mot de passe, on peut attaquer les autres par dictionnaire en reprenant la même structure pour combiner les mots.

Je préfère utiliser un nombre restreint de mots de passe, n'avoir de mot de passe unique que pour les mails (les mots de passe oubliés tombent dedans, c'est le point le plus critique niveau sécurité)

+0 -0

@Natalya: J'ai toujours un keepass sur mon mobile pour retrouver mes différents mots de passe.

EDIT :

Tu as des logiciels pour t'aider dans cette tâche, notamment ton navigateur mais aussi des logiciels spécialisés.

Hmmm, si tu stockes tes mots de passe via le "retenir" de ton navigateur, tout est accessible plus ou moins en clair par la suite. De nombreux tools (usb entre autre) permettent ensuite de récupérer ces infos pour quelqu'un de mal intentionné.

Édité par Xalfen

+0 -0

Hmmm, si tu stockes tes mots de passe via le "retenir" de ton navigateur, tout est accessible plus ou moins en clair par la suite. De nombreux tools (usb entre autre) permettent ensuite de récupérer ces infos pour quelqu'un de mal intentionné.

Le but est ici d'éviter qu'une attaque sur un site important dévoile des mots de passes communs à d'autres comptes à toi sur d'autres sites importants, je ne parle pas des attaques locales où tu as une plus grande maitrise de la sécurité de tes données (typiquement sur mon Linux, les mots de passes Firefox ne sont lisibles que par le processus Firefox ce qui limite grandement les possibilités).

Amateur de Logiciel Libre et de la distribution GNU/Linux Fedora.

+0 -0
Staff

artragis: en plus de faire un mot de passe qui dépend de sa date de création, ce qui n'est pas simple à mémoriser, tu crées finalement des mots de passe faibles. A partir d'un mot de passe, on peut attaquer les autres par dictionnaire en reprenant la même structure pour combiner les mots.

Oui et non. En fait ici c'est un exemple simple (que je n'utilise plus). J'ai pris les "logiciels de la suite office" pour faire simple. L'idée serait plutôt de choisir des mots "faciles à retenir" mais suffisamment long.

C'est le même principe que la "correct horse stable". Ici j'ai "simplifié" dans le sens où le "chiffre" est fixe et toujours à la même place. Le principe c'est de réduire le nombre de secret. Plutôt que 50 mdp secrets, j'ai 10 secrets + 1 algorithme. Ce qui est plus facile à retenir et aussi plus facile à garder secret. Car pour m'attaquer en mode dictionnaire il faut connaître le dictionnaire de base, donc avoir vaincu le secret. Donc en gros il faut connaître le mot de passe pour connaître le mot de passe. Entre un mot de passe ezfhiDFfre'8fez65d2 et un batterie50%zest@@com, c'est tout aussi long à devnier pour un bot mais c'est 100 fois plus rapide à retenir pour moi

+0 -0

Je pense que le genre d'algos d'artragis adapté à chaque utilisateur (certains "salent" leur mdp en écrivant le nom du site, une lettre sur deux, …) est une solution envisageable.

Perso je concatène.

J'ai 3 mots de passes, chacun d'entre eux assez "fort" et ne signifiant rien (suite de chiffres et de lettres "aléatoires" que je connais par coeur).

Sur les sites poubelles j'utilise toujours le même. Sur les sites "pas importants mais pas de grande confiance" j'en utilise un autre, etc. Et je concatène suivant le niveau de sécurité souhaité.

Du coup, parfois je ne retrouve pas mon mdp "du premier coup", mais j'ai un nombre fini de possibilités. Si un de mes mdp est compromis, il y a de fortes chances que les autres soient safe.

C'est pas la panacée mais c'est la meilleure solution que j'ai trouvée.

Happiness is a warm puppy

+0 -0

Personnellement j'ai une base auquel j'ajoute un sel unique pour chaque site/application/logiciel ce qui fait que les hashs sont différents. Par contre, si quelqu'un connaît deux de mes mots de passe, il peut trouver la base, puis le sel en devinant.

Médicament flemmard aux pul(p)sions imprécises. “Don’t wait for the perfect moment. Take the moment and make it perfect.”

+0 -0

Pour retenir les mots de passe de façon synchronisée, il existe LastPass, que j'utilise maintenant au quotidien depuis plusieurs mois.

Alors oui c'est sur un serveur qui ne m'appartient pas, oui c'est à une entreprise, etc. Je suis conscient de tout ça mais je leur fais confiance (et ça c'est à la discretion de chacun).

Lastpass se presente sous la forme d'une extension pour navigateurs (PC et smartphones/tablettes), qui synchronise les mots de passe et permet d'en générer automatiquement.

La version Premium est nécessaire pour avoir LastPass sur mobile, elle coûte 12 € par an.

+0 -0

Même si le container qui regroupe les MDP sur Lastpass, la clé est stockée localement et eux ne la possède pas. Donc même si ils se font péter leurs bases un jour, (normalement) ça devrait avoir aucune incidence sur la sécurité des mots de passe (hormis le fait que tu puisses pas accéder aux infos, mais bon c'est un autre problème).

Après je préfère quand même l'utilisation d'un Keepass, mais c'est surtout une question d'habitude.

EDIT : @Renault: Au temps pour moi, je n'avais pas compris ça comme ça ;) .

Édité par Xalfen

+0 -0

Même si le container qui regroupe les MDP sur Lastpass, la clé est stockée localement et eux ne la possède pas. Donc même si ils se font péter leurs bases un jour, (normalement) ça devrait avoir aucune incidence sur la sécurité des mots de passe (hormis le fait que tu puisses pas accéder aux infos, mais bon c'est un autre problème).

Ah je savais pas ça ? Comment ça se passe quand on a plusieurs appareils du coup ? La clé est générée en fonction du MDP rentré ?

Après je préfère quand même l'utilisation d'un Keepass, mais c'est surtout une question d'habitude.

J'avais utilisé KeePassX pendant un moment également, mais ce qui m'a fait adopter LastPass, sa killer feature, ça a été pour moi l'intégration transparente aux navigateurs.

+0 -0

Ah je savais pas ça ? Comment ça se passe quand on a plusieurs appareils du coup ? La clé est générée en fonction du MDP rentré ?

Me semble que c'est quelque chose dans ce style oui. Faudrait que j'aille retrouver un peu plus comment ça fonctionne.

+0 -0
Auteur du sujet

Juste pour info voila une copie d'un mail reçu il y a quelques jours : (si vous êtes courageux et qu'un pavé n'est pas effrayant pour vous bonne lecture)

Objet : Vigilance sur les sites informatiques - annonce d'attaque

Mesdames, Messieurs,

Il a été porté à ma connaissance que différents groupes de pirates informatiques envisageaient de lancer une action de malveillance d’envergure pour le 15 janvier 2015.

En conséquence, il vous est demandé d’ores et déjà d’être vigilant en cette période de forte tension.

A cet effet, il conviendra de surveiller plus particulièrement la sécurité de vos systèmes d’information dont ceux de vos sites Internet.

Vous trouverez ci-dessous le message de consignes techniques à mettre en œuvre immédiatement.

Vous voudrez bien me tenir informer des éventuels incidents de sécurité rencontrés.

Je vous remercie.


Différents groupes de pirates informatiques ont décidé de protéger l’image de l’Islam sur Internet (MECA, AnonGhost, Felaga team, Votr3x, Prodigy TN, Makers Hacker Team, Virus003…).

Plusieurs milliers de sites français ont été piratés en moins de 10 heures. Les pirates expliquent en avoir assez de l’islamophobie en France. Par exemple, AnonGhost a annoncé dimanche soir plus de 1.000 sites français piratés à son actif. Concernant le périmètre des ministères chargés des affaires sociales, différents sites ont fait l'objet d'un défacement ces derniers jours :

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
1 GCS,

3 hôpitaux,

3 cliniques,

1 organisme de formation de santé,

1 société paramédicale,

1 centre régional d'éducation physique et sportive,

CAF,

...

Il est demandé de porter une attention toute particulière à une annonce sur une importante action de piratage le 15 janvier.

MECA et plusieurs autres collectifs de pirates informatiques parlent d’une attaque massive à cette date : "Nous avons déjà piraté des milliers de sites, mais ce qui est va venir le 15 janvier sera beaucoup, beaucoup plus important".

Il convient donc de surveiller vos sites Internet. En effet, ces attaques sont souvent rendues possibles par un défaut de sécurité. Plusieurs vecteurs sont exploités par des attaquants pour modifier de manière illégitime le contenu d’un site Web. La trop grande vulnérabilité des outils de «CMS» (Content Management System, en français Gestion de contenu), site web disposant de fonctionnalités de publication et offrant en particulier une interface d'administration (back-office) permettant à un administrateur de site de créer ou organiser les différentes rubriques. Les versions des outils utilisés sont souvent obsolètes, non mis à jour des correctifs de sécurité et ou les accès d'administrateur sont mal protégés.

La défiguration d’un site Web est donc rendue possible par :

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
défaut de sécurisation d’accès à une interface de gestion du site, ou BackOffice ;

défaut de suivi de la procédure d’installation d’un site ;

vulnérabilités de type « injection SQL » qui permettent à un attaquant de modifier les informations stockées en base de données ;

vulnérabilités connues et non corrigées dans les différentes briques utilisées pour la construction du site (Framework, serveur Web, système d’exploitation, etc.) ;

vulnérabilités non connues dans ces différentes briques (zero-day) ;

compromission d’un site tiers hébergé sur la même plateforme ;

politiques de gestion de mots de passe et de droits d’accès laxistes ;

etc.

Comment se prémunir

Il convient, comme rappelé régulièrement, de maintenir à jour et de corriger les vulnérabilités de l’ensemble des éléments entrant en jeu dans la mise en ligne d’un site Web :

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
gestionnaire de contenu (CMS) comme Joomla!, SPIP, Drupal, etc. ;

extensions et modules de tierce partie éventuellement ajoutés à ces CMS ;

langages utilisés et bibliothèques associées, comme PHP ;

logiciels fournissant le service Web comme Apache ou IIS ;

logiciels fournissant d’autres services nécessaires au fonctionnement du site, comme des serveurs SQL ;

logiciels d’administration du site et de son environnement (AWStats, phpMyVisites, etc.) ;

système d’exploitation sur lequel est installé un ou plusieurs de ces services.

Bien qu’il soit tentant d’installer des modules supplémentaires ajoutant des fonctionnalités à un site Web, il est plus raisonnable de ne conserver que les éléments vitaux au fonctionnement du site. Une grande méfiance envers les modules de tierce partie, dont les développeurs négligent parfois la sécurité, est également de mise. Tout module supplémentaire augmente la surface d’attaque, et les vulnérabilités potentielles exploitables par un attaquant.

Pour une petite structure, il est souvent plus simple de faire héberger son site chez un prestataire. La mise à jour des éléments listés ci-dessus devient contraignante (donc nécessite des procédures bien détaillées) et parfois impossible. Dans ce cas, il est recommandé d’interroger le prestataire sur sa politique de sécurité.

De plus, dans le cadre d’un hébergement de type mutualisé, la compromission d’un site hébergé sur une plateforme par un attaquant signifie souvent que celui-ci peut modifier d’autres sites hébergés sur cette même plateforme. Les bonnes pratiques concernant l’hébergement mutualisé sont rappelées dans la note d’information du CERTA http://www.certa.ssi.gouv.fr/site/CERTA-2005-INF-005/

Duand le site Web est développé par un prestataire : il convient de vérifier son engagement sur le suivi de son produit. Appliquera-t-il les corrections de vulnérabilités découvertes dans les briques logicielles utilisées ? Pourra-t-il apporter un soutien pour rechercher et corriger la vulnérabilité utilisée en cas de compromission ?

Conduite à tenir en cas de défacement ou de piratage de votre système d'information

Dès lors que la défiguration d’un site Web est découverte en interne ou signalée par une entité extérieure, plusieurs actions sont à entreprendre.

Conservation des traces

Une copie de l’état compromis du site Web (ou du serveur, si l’environnement n’est pas mutualisé) doit être réalisée. Cette copie sera utile pour l’analyse technique de la compromission, ou pour alimenter un dossier de dépôt de plainte. Il convient également de sauvegarder les journaux d’accès au site Web, et ceux de tous les services permettant de modifier le site à distance (FTP, SSH, etc.). Ces éléments doivent parfois être demandés à l’hébergeur du site Web. Lorsqu’ils existent, les traces des équipements environnants (pare-feux, serveurs mandataires, etc.) doivent également être consignées.

L’analyse de la compromission est nécessaire pour trouver quelle vulnérabilité a été utilisée par l’attaquant pour compromettre le site. Il sera alors possible de combler cette vulnérabilité. La simple restauration du site dans un état « sain » ne bloquera pas la faille utilisée par l’attaquant, qui pourra rapidement compromettre le site à nouveau. Il faut également garder à l’esprit qu’une vulnérabilité trouvée par une personne dont le but est de défigurer un site, a déjà pu être découverte et exploitée par un attaquant souhaitant réaliser d’autres opérations illégitimes de manière plus discrète.

Recherche d’autres intrusions

Comme rappelé ci-dessus, un site défiguré est un site vulnérable. Il faut donc rechercher d’autres traces de compromission et modifications du site. Il se peut que du contenu malveillant ait été déposé comme par exemple :

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
pages d’hameçonnage (phishing) ;

insertion de malware ;

insertion de publicités non légitimes ;

modification de la configuration du site, ou des fichiers .htaccess ;

installation d’un porte dérobée (PHP shell, etc.) permettant d’utiliser le site pour effectuer d’autres actions malveillantes (nouvelles compromissions, déni de service, etc.) ;

stockage de fichiers soumis au droit d’auteur ;

etc.

Il ne suffit pas de vérifier la présence de nouveaux fichiers dans l’arborescence du site. Si le site s’appuie sur une base de données, celle-ci a également pu être modifiée, et devra être restaurée à partir d’une sauvegarde dont le contenu aura été vérifié.

Reconstruction du site

Il est possible, une fois la copie du site compromis (ou de l’intégralité du serveur, si possible) réalisée et sauvegardée, de restaurer le site dans son état normal. Toutefois, avant de le remettre en ligne, il est nécessaire de corriger d’abord les vulnérabilités précédemment identifiées. Si une sauvegarde est utilisée, il est impératif de s’assurer que celle-ci est bien saine et ne date pas d’un moment ultérieur à la défiguration. Si aucune sauvegarde n’est disponible, seuls les éléments de la défiguration pourront être modifiés ou supprimés. La vulnérabilité utilisée doit toujours être corrigée.

Alerter la chaîne de cybersécurité

Pour les établissements publics, il est obligatoire de déclarer les incidents de sécurité sur les systèmes d'information (Politique de sécurité des systèmes d'information de l'Etat). Pour les établissements privés, ils sont invités à le faire.

Cette déclaration est réalisée sur l'adresse : … … .

La plainte déposée a pour but de décrire l'attaque, sa réussite ou son échec, les éventuels dommages qui peuvent en résulter ainsi que toutes les autres conséquences (perte de temps pour vérification de l'intégrité du site ou des données, pertes d'argent, perte de crédibilité auprès des internautes etc…). La police envoie ensuite au parquet votre dossier qui décidera ou non d'instruire le dossier.

Dépôt de plainte

Vous pouvez déposer une plainte pour atteinte à un traitement automatisé de données (appellation juridique du piratage) prévu et puni par les articles 323-1 et suivants du code pénal.

Cette plainte peut-être recueillie par :

1
2
3
votre Service Régional de Police Judiciaire. Votre commissariat de police ou votre gendarmerie devraient vous donner sans difficulté leurs coordonnées. . . Une fois en contact avec votre S.R.P.J. il faut demander à parler à un « Investigateur en cybercriminalité » autrement dit un I.C.C qui pourra enregistrer votre plainte.

où adresser directement un courrier au Procureur de la République du Tribunal de Grande Instance dont relève votre établissement.

Dans le doute, reboot.

+0 -0
Staff

Juste parce qu'apparamment c'est pas un hoax :

Depuis quelques jours, de nombreux sites français ont été defacés suite à des cyberattaques dont le point d'orgue devrait avoir lieu aujourd'hui même. De son côté, l'ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) publie des fiches d'informations afin de permettre à chacun de savoir comment mieux se protéger.

#OPFrance : de nombreux sites français défacés

Suite aux attentats perpétrés contre Charlie Hebdo, un groupe revendiquant son appartenance au mouvement « anonymous » avait lancé une opération #OpCharlieHebdo dont le but est de s'attaquer à des sites affiliés à la mouvance radicale. Réponse du berger à la bergère, via Pastebin, un autre groupe du nom d'Anon Ghost annonçait la mise en place d'une action #OpFrance dont le but est de viser des sites français.

Depuis le début de la semaine, les attaques se multiplient, notamment sur les sites de tailles modestes, souvent moins bien protégés contre ce genre d'actions. L'ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) confirme et évoque « un accroissement significatif du nombre d’attaques informatiques visant des sites Internet français ». Il est généralement question de remplacer la page d'accueil du site par un message de propagande (défaçage), qui peut varier suivant le groupe qui revendique l'attaque. Selon plusieurs experts en sécurité et des pirates, le point d'orgue de cette opération devrait avoir lieu aujourd'hui même.

Le but ici n'est pas spécialement de récupérer des données personnelles, mais d'occuper le terrain médiatique en multipliant les attaques et les défacement, et ce, quel que soit le site. Mais, au second plan, pourrait également se cacher une manœuvre d'un genre différent, sur des sites institutionnels français cette fois-ci. Nous aurons l'occasion d'y revenir si cela devait se confirmer. […]

Édité par artragis

+0 -0

Pesonnellement, j'utilise à peu près le même (des petites variantes) un peu partout. Avec un double auth si les infos sont sensibles (mail, banque, … etc)

Ou deux trois suites de caractères aléatoires que je connais à force

"Meh." Outil de diff PHP : Totem

+0 -0
Auteur du sujet

Petite interrogation, tu as reçu ça d'où ?

Xalfen

J'ai reçu ça de l'Agence Régionale de Santé de ma région qui a envoyée ça à tous les établissements de santé qui sont sous sa tutelle.

Dans le doute, reboot.

+0 -0
Vous devez être connecté pour pouvoir poster un message.
Connexion

Pas encore inscrit ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte