Je passe au broyeur mes vieux dossiers. Il n’est pas toujours facile pour un expert judiciaire de savoir quand détruire définitivement ses dossiers, car les textes sur le sujet évoluent et à la durée minimale de conservation s’ajoutent les délais générés par les différents appels éventuels des parties, qui sont rarement transmis à l’expert, celui-ci étant dessaisi dès la remise de son rapport.
Continuer la lectureArchives de l’auteur : Zythom
Sécuriser son serveur WordPress
Il existe de nombreux tutoriels consacrés à ce sujet, je ne vais donc faire que survoler le sujet. Mon objectif est surtout de rappeler des règles simples.
Le serveur
Si vous faites de l’autohébergement complet, le serveur est chez vous. Il faut donc sécuriser la machine d’un point de vue physique et logiciel. J’ai fait le choix d’une machine virtuelle dédiée uniquement au fonctionnement du service WordPress. Elle est située sur un NAS Synology permettant de faire fonctionner des machines virtuelles. Ce NAS est en hauteur (pour échapper aux coups de balais ou de serpillières) et branché sur un onduleur électrique pour l’isoler des micro-coupures, des variations de tension et des coupures électriques de moins d’une demi heure.
Continuer la lectureRetour à l’anormale
J’ai définitivement quitté mon hébergeur, qui persiste à nier le problème survenu le 2 avril dernier. J’ai pourtant contacté le service support, signalé les heure et date, décrit la nature du problème, exploré les logs qui me sont accessibles, demandé l’escalade dans le suivi de ma demande, pour me permettre de reprendre confiance, rien n’y a fait.
Le plus drôle est que le support s’est plusieurs fois étonné que je signale un problème alors que le blog fonctionne parfaitement. A chaque fois, j’ai du leur expliquer que si ce blog fonctionne de nouveau, c’est qu’il est hébergé ailleurs que sur leur plateforme…
Continuer la lectureRestauration d’un serveur WordPress
Voici en partage ma fiche de procédure en cas de crash de mon serveur WordPress et que je viens d’utiliser pour le remettre en service.
Le contexte :
Je loue un serveur WordPress « clef en main » chez un hébergeur. Comme tout serveur WordPress, j’ai un compte administrateur qui me permet de le paramétrer et de choisir des extensions. Parmi les extensions que j’ai choisies, celle qui gère la sauvegarde de mon site s’appelle UpdraftPlus. Elle est paramétrée pour faire une sauvegarde complète (base de données WordPress, extensions, thèmes, etc.) régulièrement. Je transfère manuellement les fichiers de sauvegarde par ftp chez moi pour disposer de sauvegardes externalisées et respecter la règle 3-2-1.
Blog en PRA
Mon hébergeur rencontre des difficultés actuellement. J’ai donc basculé le blog sur mon PRA, c’est-à-dire un simple WordPress sur Yunohost sur un Raspberry Pi dans mon bureau derrière ma ligne fibre…
Si vous rencontrez des problèmes ou des lenteurs, c’est donc « normal ».
Ce billet sert d’ailleurs de test de charge ^^
Un petit Retex d’ici peu…
Le creux de la vague
J’ai été opéré récemment, ce qui explique (en partie) mon silence relatif sur ce blog. J’avais déjà essayé la souffrance mentale, mais là, j’ai testé la souffrance physique.
Jusqu’à prendre de la morphine pendant plusieurs jours… C’est bien la morphine, ça joue comme un interrupteur sur le ressentie de la douleur par le cerveau. Mais le corps continue de souffrir et la fatigue s’installe. Une semaine allongé à se tordre de douleur, puis une semaine allongé à somnoler dans le brouillard.
Continuer la lectureMiner des cryptos en 2022
J’ai d’abord envisagé d’écrire un billet complet sur les crypto-monnaies, en partant de la définition des blockchains jusqu’à la description des équipes de mineurs, mais finalement, vous trouverez beaucoup d’informations sur ces sujets dans des billets écrits par des personnes bien plus expertes que moi. Ceux qui voudraient des informations vraiment utiles peuvent aller par exemple parfaire leurs connaissances sur https://www.bortzmeyer.org/search?pattern=blockchain, ou sinon, j’ai trouvé l’ouvrage du CIGREF clair, même si je n’ai pas la prétention d’en juger le contenu (pdf gratuit) Blockchain : passer de la théorie à la pratique dans les grandes entreprises
Continuer la lectureVPN Wireguard site to site EdgeRouter X
Je suis l’heureux propriétaire de plusieurs routeurs EdgeRouter ER-X de la marque Ubiquiti, robustes et peu chers (environ 60 euros). Je me sers de ce routeur pour isoler mon réseau personnel de la box fournie par mon fournisseur d’accès à internet.
D’autre part, il se trouve que j’habite à 450 km de mon lieu de travail, et donc que je loue un studio près de mon entreprise où je suis en présentiel 3 jours par semaine. J’ai donc un deuxième abonnement internet fibre dans ce studio où j’héberge une partie de mon matériel informatique (mon « PC dans le Cloud« , mon serveur de sauvegardes externalisées et un serveur FreshRSS).
Continuer la lectureCréer une porte dérobée chez soi
Pour accéder à mon réseau domestique depuis l’extérieur, j’ai mis en place un serveur VPN privé. C’est pratique, cela me permet d’accéder depuis l’extérieur à mes ressources autohébergées (serveur de flux RSS, serveurs de sauvegarde, partages familiaux, etc.) mais aussi de me protéger quand j’utilise un réseau Wifi, lorsque je me déplace avec mon matériel personnel (téléphone, tablette ou ordinateur portable).
Continuer la lectureRetex sur une alerte cyber ratée
Dans mon univers professionnel, Retex signifie « Retour d’expérience » (on dit aussi Rex). Je vais donc vous faire le retour d’expérience d’une alerte cyber ratée. Ce blog me permet en effet de partager mes expériences, et en particulier mes peines.
A 12h22 ce jour là, je reçois une alerte curieuse en provenance de ma supervision « Microsoft Defender for Cloud Apps » : une adresse IP suspecte détourne du trafic de mes utilisateurs.
Aussitôt, je procède à quelques vérifications : cette adresse IP est repérée par Microsoft comme utilisée par un « Serveur C&C pour la propagation de programmes malveillants ».
Pour le lecteur profane en la matière, il faut comprendre qu’aujourd’hui les pirates attaquent souvent leurs cibles avec l’aide de botnets, c’est-à-dire avec l’aide de réseaux de machines qu’ils contrôlent à l’insu de leurs propriétaires. Et pour contrôler ces ensembles de machines, ils utilisent des serveurs de commande et de contrôle (les serveurs C&C ou C2). Ces botnets sont utilisés pour des actions malveillantes, comme par exemple des exfiltrations de données, des envois de spam ou de malwares, ou des attaque DDOS…
Je poursuis mes investigations : avec l’interface de Microsoft Defender for Cloud Apps, je filtre les journaux d’activité de mes utilisateurs reliés à ce serveur piraté. Le constat est grave : plusieurs dizaines de comptes de mes utilisateurs sont utilisés avec des authentifications valides, et cela depuis plusieurs applications Microsoft (Teams, Outlook, Sharepoint…)
Le pirate contrôle et utilise plusieurs dizaines de comptes de mon entreprise !
Je remonte un peu dans le temps, et je constate que le pirate a pénétré l’entreprise depuis au moins un mois ! Mon sang se glace.
Être RSSI (Responsable de la Sécurité du Système d’Information), c’est être en permanence sur le qui-vive. Tous les RSSI le savent, leur entreprise n’est pas à l’abri d’une attaque cyber de grande ampleur. Non seulement ils s’y préparent, mais ils savent que cette attaque majeure, celle qui mettra tout le système d’information par terre, ARRIVERA.
Nul ne sait quand, ni comment, ni l’aspect qu’elle prendra. Mais tout s’arrêtera.
Le RSSI est donc comme Giovanni Drogo, personnage central du « Désert des Tartares », roman de Dino Buzzati : il se prépare toute sa vie à la grande attaque finale…
Me voici donc en train d’observer de l’intérieur cette prise de contrôle des comptes de mes utilisateurs.
Après quelques minutes de sidération, je prends la décision de faire cesser l’attaque : je demande à l’équipe en charge des parefeux d’isoler les flux en provenance et vers ce serveur C&C, à l’équipe d’admin de modifier tous les mots de passe des utilisateurs concernés, à l’équipe support de s’attendre à un grand nombre d’appel d’utilisateurs en détresse et j’active la pré-alerte pour les participants à la cellule de crise cyber.
Tous mes messages sont conditionnels par précaution, mais je ne cache à personne la gravité potentielle de la situation.
Je révise mes fiches de procédure dans mon classeur de gestion de crise fraîchement créé, je retrouve les numéros de téléphone des personnes à appeler pour les différentes phases de la crise.
L’un des ordinateurs compromis est rapidement récupéré par le support grâce à la rapidité d’un des utilisateurs. Je m’apprête à en faire une image disque pour analyse ultérieure.
Il est 12h30, j’ai déclenché tout ce que j’avais à déclencher.
Non : je contacte l’hébergeur gérant l’adresse IP compromise, via son formulaire « abuse » pour qu’il agisse afin d’isoler ce serveur C&C.
12h45, les ingénieurs réseaux commencent à me remonter de l’information. Nous faisons un point en conférence téléphonique pour évoquer toutes les causes possibles. Le SIEM on prem n’a pas réagi, mais le serveur de logs montre bien la présence de l’adresse IP du serveur C&C.
Et elle est présente en nombre.
Je me prépare à un week-end difficile.
13h, les ingénieurs réseaux m’informent que parmi les ordinateurs concernés, le mien en fait partie. Ils me donnent la date et la plage horaire exacte pendant laquelle tout le flux de mon poste est passé par le serveur C&C. J’arrête mon ordinateur.
Depuis mon ordinateur de secours (un vieil Apple perso que je garde vivant et à jour via ma 4G perso et sans mes comptes professionnels), je vérifie ce que j’ai fait au moment indiqué par les équipes réseaux.
J’étais en train de travailler dans le train.
Avec cette information cruciale, et après quelques vérifications techniques, voici donc le message que j’ai envoyé à toutes les personnes impactées par cette alerte :
[...explications sur le contexte de l'attaque...] Suite aux investigations techniques plus approfondies, menées avec diligence par l’équipe Réseaux, il s’avère que Microsoft s’est trompé en indiquant que l’adresse IP XXX est malveillante. Il s’agit en fait d’une adresse IP utilisée par le service Wifi de la SNCF. L’alerte était donc un faux positif : je peux donc vous annoncer que votre compte n’a pas été compromis, ni piraté. La rapidité est un élément clé dans une attaque informatique, et j’assume seul la responsabilité de cette décision. Néanmoins, j’ai conscience du dérangement important occasionné et je vous présente mes excuses les plus sincères. [Zythom]
Fin du Retex, vous pouvez relire le billet avec la solution en tête et vous moquer autant que vous voulez, mais le soir, toute honte bue, j’ai ouvert une bouteille de champagne.
PS:
– Toujours utiliser le conditionnel quand on explique aux utilisateurs que leur compte a été compromis.
– Ne pas faire confiance aveuglément aux classifications des outils d’alerte.
– Garder à l’esprit que nos raisonnements restent faillibles, surtout sous la pression.
– Lorsque les utilisateurs ont pu lire mon message après avoir récupéré le contrôle de leur compte suite au changement de mot de passe, la plupart m’ont remercié et encouragé.
– Je pense que si quelqu’un lit les remontées des formulaires « abuse », et s’il fait les vérifications, il doit parfois bien rire…
