22 janvier 2023 Perdre ses données

Hameçonnage, extorsion, perte des données

Je trouve formidable que nos ainés utilisent les outils numériques. Ce sont malheureusement des proies de choix pour les escrocs et voleurs qui utilisent ces mêmes outils numériques. Le cas de parents retraités ou grands-parents, seuls devant une tentative d’extorsion, une arnaque (scam), de l’ingénierie sociale (faux centre de support), une tentative d’hameçonnage (phishing) et autres menaces bien réelles, est devenu plus fréquent que l’on ne pense. Derrière ces activités se cachent des personnes faisant partie du crime organisé ou encore des organisations para-gouvernementales à la recherche de profit rapide. Les lieux d’opération de ces activités, indépendamment de la motivation, sont dans la grande majorité situé aux Etats-Unis, en Chine, en Russie, en Indonésie, en Corée du Nord et en Inde.

Il est désormais relativement facile de lancer des attaques à grande échelle, industrialisées, qui ne nécessitent pas de connaissances pointues en la matière. Il vous sera peut-être d’un certain réconfort de savoir qu’ils cherchent rarement à nuire à une personne ou une entreprise en particulier, vous êtes simplement tombé dans un grand filet de pêche.

Un cas s’est présenté ce jour, un couple de retraités abusés par une méthode d’hameçonnage puis, mal conseillés par un expert, ont perdu toutes leurs données. Voici les étapes qui ont mené à cette terrible situation :

• ils ont laissé le petit dernier utiliser sans surveillance l’ordinateur avec leur compte (celui qui contient toutes les données)
• le petit dernier a atterri sur un site malveillant avec hameçonnage sur un faux centre d’appel
• ils ont payé plusieurs centaines de francs pour rien
• ils ont fait appel à un informaticien local qui a formaté le disque dur
• ils n’ont pas de sauvegarde de leurs données
• ils se sont rendu compte qu’ils venaient de perdre toutes leur données
• ils ont fait appel à deux autres informaticiens qui ont tenté de récupérer les données sans succès
• point mort

Que faire en prévention ?

Il y a bien sûr toute une série de mesure à prendre pour prévenir ce genre de situation. Bien que le risque zéro n’existe pas, même pour les grandes entreprises et les gouvernements, on peut sans autre réduire l’impact des attaques informatiques. Voici quelques-unes de ces mesures :

• faire des sauvegardes fréquentes, voir mon article sur les bonnes pratiques sur ce sujet
• tester vos sauvegardes (une sauvegarde non testée est une sauvegarde qui n’existe pas)
• créer un compte distinct, sans privilèges, pour vos invités ou le petit dernier
• maintenir son antivirus et son système à jour
• télécharger les logiciels depuis le site de l’éditeur ou depuis un environnement de confiance
• supprimer les logiciels qui ne servent plus
• ne pas ouvrir les emails envoyés par un expéditeur inconnu, supprimer ces emails dans le doute, si c’est vraiment important vous recevrez une relance ou un téléphone
• ne pas cliquer sur tout ce qui brille et clignote sur Internet, s’abstenir dans le doute
• apprendre à reconnaitre une tentative d’hameçonnage

Plus d’information :

• https://www.gouvernement.fr/risques/risques-cyber
• https://www.ncsc.admin.ch/ncsc/fr/home/infos-fuer/infos-private.html

Comment détecter l’attaque ?

Ces attaques sont généralement silencieuses et puis, personne n’entend vos disques appeler à l’aide. Une attaque par rançongiciel est sans doute la plus évidente, un message explicite (souvent en anglais) occupe tout l’écran, il est impossible de le retirer ni d’utiliser l’ordinateur. Il y a toutefois plusieurs signes pour débusquer une tentative d’attaque, on peut citer en autre :

• nombreuses fautes d’orthographe ou de grammaire
• caractère urgent de la demande
• on vous pousse à cliquer sur un lien qui mène vers une page qui va soit, collecter vos informations personnelles (hameçonnage), soit implanter un code malveillant dans votre navigateur
• on cherche à vous faire peur (faux email de la police, facture impayée, etc…)
• l’adresse de l’expéditeur est soit inconnue, soit ressemble à une adresse connue (ex: swissposte.ch au lieu de swisspost.ch)
• l’usage de compte Gmail, Hotmail, etc…

Voici un cas d’arnaque papier reçu par la Poste, il s’agit de cas plus rare mais bien réel :

https://twitter.com/MauriceKaag/status/1467936488750993418

On notera le caractère urgent de la demande, l’appat du gain, le compte Gmail, le domaine récent, l’inconsistence de certaines structures de phrases (le texte a été traduit de l’anglais), la faible qualité des images, le timbre du Portugal alors que l’expéditeur dit être au Canada, etc…

Que faire après l’attaque ?

Il est trop tard, l’attaque a eu lieu, il s’agit du même sentiment désagréable qu’occasionne un cambriolage. Voici quoi faire dans ces moments de trouble :

• garder son calme, prendre note des différentes étapes et des horaires associés
• ne pas redémarrer ni éteindre la machine au risque de déclencher potentiellement la suite de l’attaque ; il vaut mieux déconnecter la machine du réseau puis mettre la machine en hibernation (meilleur choix) ou tirer la prise / retirer la batterie
• prévenir la police et porter plainte, il est nécessaire que les autorités soient informées de cette attaque, ils seront aussi de bon conseil pour vous aider à faire face à cette situation
• restaurer vos données à partir de la dernière sauvegarde (vous avez une sauvegarde récente et fonctionnelle, n’est-ce pas ?)
• selon le type d’information auquel aurait pu avoir accès les attaquants, il faudra sans doute contacter sa banque et leur demander de contrôler vos comptes
• vérifier les autres systèmes connectés au même réseau (box Internet, ordinateur, smartphone, caméra, Wi-Fi, alarme, etc…)

Dans le cas d’un rançongiciel, le disque dur est chiffré par l’attaquant. Si vous avez mis votre ordinateur en hibernation, il y a une petite chance que la clef soit encore en mémoire. Si vous avez éteint l’ordinateur, que vous n’avez pas la clef et que le disque dur est un grand modèle mécanique, il pourra toujours servir de serre-livre.

Si le disque dur n’a pas été chiffré mais a été formaté (c’est le cas ici), faites appel à un professionnel de la récupération de données. Il faut retenir que les chances de récupérer vos données sont plus grandes si le disque est un disque mécanique. Dans le cas d’un SSD, les chances s’amenuisent. Les coûts de recouvrement d’un disque peuvent aller de quelques centaines de francs à plusieurs milliers. A vous de voir si cela en vaut la peine. Si vous faites appel à un tiers, n’hésitez pas à demander au moins deux devis et une fois le travail effectué, ne vous contentez pas d’une facture de deux ligne, exiger un rapport d’intervention détaillé.

Plus d’information :

• https://www.ssi.gouv.fr/en-cas-dincident/
• https://www.report.ncsc.admin.ch/fr/

Contacter la police apportera un autre avantage, celui d’identifier les outils ayant servi à l’attaque. Cela peut se révéler utile si vous comptiez réutiliser votre disque dur compromis et que le formatage du disque n’a pas assaini le disque. En effet, certains logiciels malveillants survivent à un formatage.

De mon côté

Le disque est mécanique, c’est à dire qu’il utilise des plateaux magnétiques. Il est tout à fait possible de récupérer des données depuis un disque formaté, surtout avec un formatage “rapide” sous Windows. Un formatage dit de “bas niveau” aurait rendu la récupération quasi impossible. Voici les étapes que j’ai appliqué pour recouvrer les fichiers perdus du disque :

• branchement du disque dans un lecteur SATA-USB externe
• création d’un dump du disque, ceci afin de ne pas modifier d’avantage le disque
• débranchement du disque dur externe
• montage du dump dans un système Linux dédié
• utilisation de SystemRescue pour récupérer les données depuis le dump
• extraction des données dans un nouveau disque
• transfert des données depuis le nouveau disque vers un système sain
• suppression du dump, formatage bas-niveau du vieux disque dur (destruction possible)

L’ordinateur ayant souffert de cette attaque utilise maintenant Ubuntu avec un nouveau disque SSD de 500GB. Un audit des appareils connectés de la maison a été effectué et un outil de surveillance réseau est installé pour quelques temps. Enfin la solution Nextcloud sur RasperryPi 4 avec 5TB de stockage externe chiffré, trône désormais dans leur salon. Cette solution est identique à celle mise en place pour LoveCaptured. Une sauvegarde quotidienne sur un site distant complète la stratégie de sauvegarde. Les documents sensibles sont synchronisés automatiquement depuis Ubuntu vers Nextcloud.

N’oubliez pas que les distributions GNU/Linux ne sont pas immunes aux attaques par virus, rançongiciel ou ingénierie sociale. La surface d’attaque est toutefois diminuée.

Et vous ?

Comment prévenez-vous ces attaques ? Avez-vous trouvé le temps de conseiller vos aînés ? Etes-vous en mesure d’héberger une copie de leurs données ?

En entreprise

Toutes les entreprises ainsi que les institutions publiques sont concernées. Les moyens mis en oeuvre varient toutefois grandement entre une PME et une grande entreprise. Les points d’intérêts vont également varier entre une entreprise et un particulier, une entreprise devra en autre :

• compartimenter les données
• gérer le cycle de vie des comptes (oui même ce compte de base données mis en place par cet éditeur de logiciel)
• auditer les accès aux données
• établir un plan de sécurité
• dédier l’équipement informatique aux tâches professionnelles
• rédiger et déployer un plan de rétablissement de l’activité
• former, sensibiliser et tester les employés
• décourager l’usage de clef et de câble USB
• évaluer les risques et établir un plan pour chacun de ces risques
• estimer le besoin de contracter une assurance cyber

Quelques attaques récentes :

• CircleCI il y a quelques jours, https://www.it-connect.fr/cyberattaque-chez-circleci-vous-devez-renouveler-vos-secrets/
• Charlie Hebdo il y a quelques jours, https://www.lejdd.fr/Societe/charlie-hebdo-la-dgsi-saisie-apres-une-attaqueinformatique-4159089
• Booking.com en décembre 2022, https://www.20minutes.fr/societe/4018832-20230113-hoteliers-clients-victimes-cyberattaques-booking-com
• l’hôpital André-Mignot dans les Yvelines fin 2022, https://www.francetvinfo.fr/internet/securite-sur-internet/cyberattaques/cyberattaque-on-travaille-sur-papier-l-hopital-andre-mignot-dans-les-yvelines-fonctionne-au-ralenti-apres-l-attaque-informatique-de-samedi-soir_5524575.html
• LastPass fin 2022, https://www.frandroid.com/android/applications/1448515_lastpass-sest-fait-pirater-tout-ce-quil-faut-savoir
• hameçonnage au nom de Steam en automne 2022, https://fr.techtribune.net/tech-today/les-utilisateurs-de-steam-sont-avertis-dune-attaque-sophistiquee-de-phishing-par-navigateur-dans-le-navigateur/432637/
• des médecins de la Chaux-de-Fonds au printemps 2022, https://www.rtn.ch/rtn/Actualite/Region/20220405-Cyberattaque-le-cabinet-medical-attaque-ne-paiera-pas-de-rancon-1.html
• l’université de Neuchâtel début 2022, https://www.rts.ch/info/regions/neuchatel/12877501-luniversite-de-neuchatel-victime-dune-attaque-informatique.html
• Swissport début 2022, https://www.letemps.ch/economie/swissport-touchee-une-cyberattaque-vols-ont-retardes
• Twitter en été 2022, https://www.lemondeinformatique.fr/actualites/lire-le-piratage-de-5-4-millions-de-comptes-twitter-plus-grave-que-prevu-88729.html
• Emil Frey début 2022, https://www.ictjournal.ch/news/2022-02-03/cyberattaque-contre-emil-frey-des-donnees-publiees-sur-le-darkweb-update
• la commune d’Yverdon-les-Bains début 2022, https://www.rts.ch/info/regions/vaud/12785714-la-ville-dyverdonlesbains-a-ete-victime-dune-minicyberattaque.html
• le CICR fin 2021, https://www.24heures.ch/les-donnees-de-plus-de-500000-personnes-piratees-au-cicr-566330900259
• la commune de Rolle à l’été 2021, https://www.ictjournal.ch/news/2021-08-30/cyberattaque-contre-rolle-la-commune-appelle-ses-residents-a-la-vigilance-update
• hameçonnage au nom de la Poste Suisse à l’été 2020, https://post-medien.ch/fr/attention-attaque-de-phishing-par-e-mail-au-nom-de-la-poste/
• des citoyens US début 2020, https://www.vadesecure.com/fr/blog/scams-par-email-les-victimes-du-phishing-se-multiplient-a-lapproche-de-la-campagne-presidentielle-aux-usa
• la liste est tristement longue…

Un peu de terminologie

Voici une liste non exhaustive des termes relatifs à la sécurité informatique ainsi que des types d’attaque que l’on rencontre ces temps. Je ne suis pas rentré trop dans les détails, mais sachez que ces attaques peuvent être combinées pour former des attaques bien plus subtiles.

Cracker

Une controverse de longue date entoure la signification du terme hacker. Dans cette controverse, les programmeurs informatiques récupèrent le terme hacker, arguant qu’il fait simplement référence à une personne ayant une compréhension avancée des ordinateurs et des réseaux informatiques, et que cracker est le terme plus approprié pour ceux qui s’introduisent dans les ordinateurs, qu’il s’agisse de criminels informatiques (black hats) ou d’experts en sécurité informatique (white hats).

Dark Web

Le dark web propose des sites webs uniquement visibles et disponibles via l’usage de logiciels, de configurations et d’autorisations spécifiques. Le dark web permet de communiquer et de faire des affaires de manière anonyme sans divulguer d’informations d’identification, telles que l’emplacement de l’utilisateur. Le dark web n’est pas indexé par les moteurs de recherche traditionels.

Détournement de session (session hijacking)

Le détournement de session est l’un des multiples types d’attaques MITM. L’attaquant prend le contrôle d’une session entre un client et le serveur. L’ordinateur utilisé dans l’attaque substitue un cookie de session ou son adresse IP à celle de l’ordinateur client, et le serveur poursuit la session sans se douter qu’il communique avec l’attaquant au lieu du client.

Cheval de Troie (trojan horse)

Une attaque par cheval de Troie utilise un programme malveillant caché dans un programme apparemment légitime. Lorsque l’utilisateur exécute le programme apparemment innocent, le logiciel malveillant contenu dans le cheval de Troie peut être utilisé pour ouvrir une porte dérobée dans le système par laquelle les pirates peuvent pénétrer dans l’ordinateur ou le réseau.

Deni de service (denial of service)

Une attaque par déni de service (DoS) vise à submerger les ressources d’un système au point de le rendre incapable de répondre aux demandes de service légitimes. Une attaque par déni de service distribué (DDoS) est similaire dans la mesure où elle cherche également à épuiser les ressources d’un système. Une attaque DDoS est lancée par un vaste ensemble de machines hôtes infectées par des logiciels malveillants et contrôlées par l’attaquant. On parle d’attaque par “déni de service” car le site victime est incapable de fournir un service à ceux qui veulent y accéder.

Escroquerie (scam)

Scam est un terme argotique anglais signifiant “arnaque” et définissant une escroquerie matérielle ou morale. Sur Internet par exemple, le principe général repose sur l’envoi de courriels par des escrocs qui cherchent à gagner la confiance de personnes dans le but de leur extorquer de l’argent.

Hacker

A ne pas confondre avec un cracker. Un hacker est une personne compétente en matière de technologies de l’information qui utilise ses connaissances techniques pour atteindre un objectif ou surmonter un obstacle, au sein d’un système informatique, par des moyens non standard. Bien que le terme “hacker” soit associé, dans la culture populaire, à un pirate de sécurité - une personne qui utilise son savoir-faire technique en matière de bugs ou d’exploits pour s’introduire dans des systèmes informatiques et accéder à des données qui lui seraient autrement inaccessibles - le hacking peut également être utilisé par des personnes légitimes dans des situations légales.

Hameçonnage (phishing)

Une attaque par hameçonnage se produit lorsqu’un acteur malveillant envoie des courriels ou courriers qui semblent provenir de sources fiables et légitimes dans le but d’obtenir des informations sensibles de la cible. Les attaques par hameçonnage combinent l’ingénierie sociale et la technologie et sont appelées ainsi parce que l’attaquant pêche l’accès à une zone interdite ou des informations sensibles en utilisant l’appât d’un expéditeur apparemment digne de confiance.

Homme du milieu (man-in-the-middle)

Les cyberattaques de type “Man-in-the-middle” (MITM) désignent des failles dans la cybersécurité qui permettent à un attaquant d’écouter les données transmises entre deux personnes, réseaux ou ordinateurs. On parle d’attaque de type “homme du milieu” car l’attaquant se place au “milieu” ou entre les deux parties qui tentent de communiquer. En fait, l’attaquant espionne l’interaction entre les deux parties.

Ingénierie sociale (social engineering)

L’ingénierie sociale est l’art de manipuler les gens pour qu’ils donnent des informations confidentielles. Les types d’informations recherchés par ces criminels peuvent varier, mais lorsqu’il s’agit de particuliers, les criminels essaient généralement de vous inciter à leur donner vos mots de passe ou vos informations bancaires, ou d’accéder à votre ordinateur pour y installer secrètement un logiciel malveillant qui leur donnera accès à vos mots de passe et à vos informations bancaires et leur permettra de contrôler votre ordinateur.

Logiciel malveillant (malware)

Les logiciels malveillants infectent un ordinateur et modifient son fonctionnement, détruisent des données ou espionnent l’utilisateur ou le trafic réseau lors de leur passage. Les logiciels malveillants peuvent soit se propager d’un appareil à l’autre, soit rester en place et n’avoir qu’un impact sur l’appareil hôte. Plusieurs des méthodes d’attaque décrites ici-dessus peuvent impliquer des formes de logiciels malveillants.

Rançongiciel (ransomware)

Le système de la victime est pris en otage jusqu’à ce qu’elle accepte de payer une rançon à l’attaquant. Une fois le paiement effectué, l’attaquant fournit (normalement) des instructions sur la manière dont la cible peut reprendre le contrôle de son ordinateur. Il existe une nouvelle forme de double rançons : vous payez pour récupérer vos données et vous payez une deuxième fois pour éviter que vos données ne soient publiées sur le Dark Web.

Usurpation de noms de domaine (DNS spoofing)

Dans le cas de l’usurpation du système de nom de domaine (DNS), un pirate modifie les enregistrements DNS afin d’envoyer le trafic vers un faux site web ou site “usurpé”. Une fois sur le site frauduleux, la victime peut saisir des informations sensibles qui peuvent être utilisées ou vendues par le pirate. Le pirate peut également construire un site de mauvaise qualité avec un contenu désobligeant ou incendiaire pour donner une mauvaise image d’une entreprise concurrente.

Virus

Un virus informatique désigne un programme malveillant dont l’objectif principal est de perturber le bon fonctionnement d’un appareil, la plupart du temps un ordinateur. Le terme joue sur l’analogie avec le monde de la santé, qui se justifie par la propension du virus informatique à se propager à travers la planète afin d’infecter un maximum d’appareils. Les virus affectent plus ou moins gravement l’ordinateur ou le support sur lequel ils se déploient.