Pour ma part j'aurais tendance à inverser la question : que faites vous pour ne pas avoir à payer de rançon ? avez vous mis en place des procédures ? de la sensibilisation ? un plan de continuation ? ...
D'ailleurs j'y vais de ce pas : skiller.fr/question/qu-avez-vous-mis-en-place-...
Actuellement de nombreux virus cryptant les données circulent et il semble que de nombreuses sociétés préfèrent payer (plus de 30 % selon Bitdefender)
Vos avis m'intéressent d'autant que je vais animer un "apéro débat" sur ce sujet le 24 mai prochain lameleeadour.com/evenements/les-entreprises-sou...
Merci pour votre aide
4
4
6 réponses
J'organise un atelier le 8 novembre prochain avec la RCC (Réserve Citoyenne contre la Cybercriminalité) pour envisager que faire préventivement ... parce qu'une fois le disque crypté, à par avertir la gendarmerie (qui est très compétente en la matière !) ou la Police (pareil) ... c'est un peu tard !
Comme ma question le précise, il faut parler de sécurité de l'information et non de l'informatique ! parce que le principal point faible est l'humain, pas la machine !
Comme ma question le précise, il faut parler de sécurité de l'information et non de l'informatique ! parce que le principal point faible est l'humain, pas la machine !
Bonjour,
Il y a un spécialiste de la sécurité sous Windows qui a écrit un article l'an dernier, sur les ransomware. Je pense que tu ne manqueras pas d'être intéressé de lire sa page. www.malekal.com/ransomwares/
Bien entendu, il expérimente et produit les captures d'écrans dans une machine virtuelle.
@olivierChaillot je ne vais pas cross-poster sur ta question… ^^
Il y a un spécialiste de la sécurité sous Windows qui a écrit un article l'an dernier, sur les ransomware. Je pense que tu ne manqueras pas d'être intéressé de lire sa page. www.malekal.com/ransomwares/
Bien entendu, il expérimente et produit les captures d'écrans dans une machine virtuelle.
@olivierChaillot je ne vais pas cross-poster sur ta question… ^^
Bonjour,
Je me suis déjà mis en relation avec Malekal_morte. Ce qu'il a fait est vraiment très intéressant.
Je me suis déjà mis en relation avec Malekal_morte. Ce qu'il a fait est vraiment très intéressant.
Bonjour,
Nulle besoin de payer, il faut prévenir en formant les équipes techniques bien sûr mais, surtout les utilisateurs. Cela rejoins les problématiques soulevés par la fraude au Président par exemple.
Avec un peu d'organisation, de l'implication des utilisateurs (usagers) et un bon accompagnement, pas d'attaque, donc pas besoin de payer !
Frédéric Libaud, Expert en Numérique, Référent pour la région ouest de CINOV - IT
www.libaudfrederic.fr | blog.libaudfrederic.fr | www.cinov-it.fr
Nulle besoin de payer, il faut prévenir en formant les équipes techniques bien sûr mais, surtout les utilisateurs. Cela rejoins les problématiques soulevés par la fraude au Président par exemple.
Avec un peu d'organisation, de l'implication des utilisateurs (usagers) et un bon accompagnement, pas d'attaque, donc pas besoin de payer !
Frédéric Libaud, Expert en Numérique, Référent pour la région ouest de CINOV - IT
www.libaudfrederic.fr | blog.libaudfrederic.fr | www.cinov-it.fr
Bonjour
quand tu dis "Avec un peu d'organisation, de l'implication des utilisateurs (usagers) et un bon accompagnement, pas d'attaque, donc pas besoin de payer", c'est un peu audacieux non? Avec la meilleure organisation du monde, je ne vois pas comment on peut éviter les attaques.. Au mieux on peut (comme pour tout point de sécurité informatique ou pas) se familiariser avec une conduite à tenir et limiter les risques mais éviter les attaques me semblent être un abus de langage.
Ceci étant si malgré tout tu étais infecté, est ce que tu paierais? :-)
quand tu dis "Avec un peu d'organisation, de l'implication des utilisateurs (usagers) et un bon accompagnement, pas d'attaque, donc pas besoin de payer", c'est un peu audacieux non? Avec la meilleure organisation du monde, je ne vois pas comment on peut éviter les attaques.. Au mieux on peut (comme pour tout point de sécurité informatique ou pas) se familiariser avec une conduite à tenir et limiter les risques mais éviter les attaques me semblent être un abus de langage.
Ceci étant si malgré tout tu étais infecté, est ce que tu paierais? :-)
Cela me rappelle un article sur l'intervention de Bruce Schneier au RSA 2016 et la difficulté d'avoir un S.I. fiable : www.theregister.co.uk/2016/03/02/sleepwalking_t...
Rien de très original dans l'article, mais le fait qu'un expert comme Bruce pointe ceci dans ce type de conférence n'est pour mettre en confiance.
Rien de très original dans l'article, mais le fait qu'un expert comme Bruce pointe ceci dans ce type de conférence n'est pour mettre en confiance.
Bonjour,
Les attaques qui ont fonctionné l'ont été parce que le système était mal protégé (mise à jour non appliquées, outils de sécurités insuffisant, procédure organisationnelle inexistante).
Le coût de la conséquence peu s'avérer énorme, plus de 5M€ pour France 5 par exemple, alors que l'investissement de précaution sera probablement largement inférieur.
Aucun système numérique est infaillible, cela est impossible car il est issu de la main de l'homme et ce dernier est très loin de l'être.
Les professionnels doivent êtres impliqués au premier chef mais, aussi les utilisateurs car l'attaque ce glisse bien souvent des choses tout à fait anodine.
Si l'on reprend le principe de la fraude au Président, c'est souvent par le biais des réseaux sociaux que les pirates obtiennent les informations nécessaires et suffisantes pour monter celle-ci.
Il a été démontré que les pratiques des utilisateurs en matière de mots de passes étaient plus que négligente, que des informations sensibles étaient peu ou mal protégés, que les sauvegardes n'étaient pas faites, ... Cela on le retrouve dans de toutes petites structures comme des grandes d'ailleurs. Parfois j'en rit mais, cela est finalement assez triste avoir, il ne faut donc pas s'étonner que les médias fasse le relais de certaines affaires.
Conclusion : Nul n'est à l’abri mais, c'est avant tout des précautions d'usages qu'il faut prendre.
Les attaques qui ont fonctionné l'ont été parce que le système était mal protégé (mise à jour non appliquées, outils de sécurités insuffisant, procédure organisationnelle inexistante).
Le coût de la conséquence peu s'avérer énorme, plus de 5M€ pour France 5 par exemple, alors que l'investissement de précaution sera probablement largement inférieur.
Aucun système numérique est infaillible, cela est impossible car il est issu de la main de l'homme et ce dernier est très loin de l'être.
Les professionnels doivent êtres impliqués au premier chef mais, aussi les utilisateurs car l'attaque ce glisse bien souvent des choses tout à fait anodine.
Si l'on reprend le principe de la fraude au Président, c'est souvent par le biais des réseaux sociaux que les pirates obtiennent les informations nécessaires et suffisantes pour monter celle-ci.
Il a été démontré que les pratiques des utilisateurs en matière de mots de passes étaient plus que négligente, que des informations sensibles étaient peu ou mal protégés, que les sauvegardes n'étaient pas faites, ... Cela on le retrouve dans de toutes petites structures comme des grandes d'ailleurs. Parfois j'en rit mais, cela est finalement assez triste avoir, il ne faut donc pas s'étonner que les médias fasse le relais de certaines affaires.
Conclusion : Nul n'est à l’abri mais, c'est avant tout des précautions d'usages qu'il faut prendre.
> plus de 5M€ pour France 5
Il s'agit de TV5 Monde dont le reportage sur France 2 était un grand moment d'auto-dérision (cf en arrière plan les post-its avec les identifiants/mdp pour des comptes sur des réseau sociaux)
i.f1g.fr/media/eidos/805x453_crop/2015/04/10/XV...
Il s'agit de TV5 Monde dont le reportage sur France 2 était un grand moment d'auto-dérision (cf en arrière plan les post-its avec les identifiants/mdp pour des comptes sur des réseau sociaux)
i.f1g.fr/media/eidos/805x453_crop/2015/04/10/XV...
Exacte... p'tite erreur de ma part, nul n'étant parfait.
En tout cas tout cela démontre bien la négligence... même chez les professionnels et celle-ci peu finalement coûter très cher.
En tout cas tout cela démontre bien la négligence... même chez les professionnels et celle-ci peu finalement coûter très cher.
Bonjour PascalW
dans l absolu, oui, les données sont vitales pour le business,
dans la réalité, j'anticipe, "mieux vaut prévenir que guérir", des sauvegardes régulières des données tranquillisent le quotidien,
d'autant que pour suivre l'évolution de ce fléau grimpant des ransomware auprès des Tpme via un partenaire informatique qui agit contre, qui dit paiement, ne dit pas forcément restitution des données (+1 JoyceMarkoll) et surtout cela conduit à une perte d exploitation de plusieurs jours pour l entreprise :(
dans l absolu, oui, les données sont vitales pour le business,
dans la réalité, j'anticipe, "mieux vaut prévenir que guérir", des sauvegardes régulières des données tranquillisent le quotidien,
d'autant que pour suivre l'évolution de ce fléau grimpant des ransomware auprès des Tpme via un partenaire informatique qui agit contre, qui dit paiement, ne dit pas forcément restitution des données (+1 JoyceMarkoll) et surtout cela conduit à une perte d exploitation de plusieurs jours pour l entreprise :(
Coucou,
Pour répondre directement à ta question.
Si malgré mes précautions, mes données étaient capturées, en fonction de l'enjeu des données et du montant demandé, oui je serais capable de payer pour les récupérer.
Pour répondre directement à ta question.
Si malgré mes précautions, mes données étaient capturées, en fonction de l'enjeu des données et du montant demandé, oui je serais capable de payer pour les récupérer.
Bonjour Charlene,
Si tu as bien lu la page de chez Malekal vers laquelle j'ai pointé, tu pourras y lire que même payer la rançon pour les données ne garantit pas que l'attaquant te donne le code pour les déchiffrer et les retrouver. Il vaut réellement mieux tout faire pour que ça ne se produise pas.
Quelques indications de précautions à prendre, quel que soit le systèmes d'exploitation:
* Avoir un compte administrateur séparé, avec un mot de passe fort (pas de mots du dictionnaire, pas de dates d'anniversaire… voir sur le web "créer un bon mot de passe" pour des exemples de méthodes);
* Ne se servir que de son compte utilisateur sans pouvoir, avec aussi un bon mot de passe pour accéder au compte;
* Faire régulièrement des sauvegardes des données personnelles les plus importantes;
* Au besoin faire des sauvegardes chez soi vers un autre media de stockage + vers un cloud sécurisé, si on dispose d'une connexion internet convenable;
* Avoir un bon mot de passe pour chacun des deux comptes, administrateur et utilisateur, ne dispense pas de changer ces mots de passe de temps en temps (c'est un peu prise de tête pour s'en souvenir ensuite, mais c'est une bonne idée). Ne pas afficher ces mots de passe où que ce soit, ni sur l'écran ni face à la webcam, ni sous le clavier… ^^
Là où les choses deviennent plus délicates, c'est quand on parle de mails et de pièces jointes dans les mails. Certains mails ont une apparence des plus trompeuses et peuvent vous faire penser à un organisme connu, ou encore des adresses mails de personnes que vous connaissez ont été dérobées et sont utilisées pour vous piéger. Or, sous Windows (et pas sous Mac ni sous Linux, ni sous BSD), les fichiers sont toujours exécutables, ce qui veut dire que si une image, ou un de ces innombrables mails en html (le code qui sert à faire les pages web et qui est aussi employé majoritairement par les utilisateurs modernes qui aiment les couleurs et les effets de style dans les mails), donc si un de ces mails contient un code malicieux, ou une image qui en contient, ou autre pièce jointe (ça peut être un zip que vous ouvrirez sans vous méfier), alors les saletés s'introduisent.
Et ce n'est pas parce qu'on le sait et qu'on prend toutes les précautions qu'on est forcément à l'abri. La sécurité complète… bref. (l'ordi éteint et hors réseaux… :p )
Un bon client de mails pour Windows, en libre, est Sylpheed, car il n'affiche pas le html (c'est contraignant, ça oblige à lire les contenus html dans le navigateur web quand ils ne s'affichent même pas en mode texte dans le corps de mail, et c'est une question d'habitude). sylpheed.sraoss.jp/en/
un bon système, c'est GNU/Linux, cependant ça n'exclut pas de respecter les règles de sécurité que j'ai décrites ci-dessus. Et en tout cas, tous les fichiers ne sont pas systématiquement exécutables, sous Linux : seulement les binaires et les scripts qui ont besoin de l'être pour faire tourner le système et fonctionner les applications !
Voici un bon article sur un système Xubuntu, qui explique des trucs sympa, comme par exemple, "comment utiliser MS-Office sous Linux" (ah ce sacré MS-Office dont beaucoup me parlent ! :D )
“Doubler son espérance de vie grâce à Linux” (l'espérance de vie de l'ordinateur):
www.greenit.fr/article/bonnes-pratiques/doubler...
Si tu as bien lu la page de chez Malekal vers laquelle j'ai pointé, tu pourras y lire que même payer la rançon pour les données ne garantit pas que l'attaquant te donne le code pour les déchiffrer et les retrouver. Il vaut réellement mieux tout faire pour que ça ne se produise pas.
Quelques indications de précautions à prendre, quel que soit le systèmes d'exploitation:
* Avoir un compte administrateur séparé, avec un mot de passe fort (pas de mots du dictionnaire, pas de dates d'anniversaire… voir sur le web "créer un bon mot de passe" pour des exemples de méthodes);
* Ne se servir que de son compte utilisateur sans pouvoir, avec aussi un bon mot de passe pour accéder au compte;
* Faire régulièrement des sauvegardes des données personnelles les plus importantes;
* Au besoin faire des sauvegardes chez soi vers un autre media de stockage + vers un cloud sécurisé, si on dispose d'une connexion internet convenable;
* Avoir un bon mot de passe pour chacun des deux comptes, administrateur et utilisateur, ne dispense pas de changer ces mots de passe de temps en temps (c'est un peu prise de tête pour s'en souvenir ensuite, mais c'est une bonne idée). Ne pas afficher ces mots de passe où que ce soit, ni sur l'écran ni face à la webcam, ni sous le clavier… ^^
Là où les choses deviennent plus délicates, c'est quand on parle de mails et de pièces jointes dans les mails. Certains mails ont une apparence des plus trompeuses et peuvent vous faire penser à un organisme connu, ou encore des adresses mails de personnes que vous connaissez ont été dérobées et sont utilisées pour vous piéger. Or, sous Windows (et pas sous Mac ni sous Linux, ni sous BSD), les fichiers sont toujours exécutables, ce qui veut dire que si une image, ou un de ces innombrables mails en html (le code qui sert à faire les pages web et qui est aussi employé majoritairement par les utilisateurs modernes qui aiment les couleurs et les effets de style dans les mails), donc si un de ces mails contient un code malicieux, ou une image qui en contient, ou autre pièce jointe (ça peut être un zip que vous ouvrirez sans vous méfier), alors les saletés s'introduisent.
Et ce n'est pas parce qu'on le sait et qu'on prend toutes les précautions qu'on est forcément à l'abri. La sécurité complète… bref. (l'ordi éteint et hors réseaux… :p )
Un bon client de mails pour Windows, en libre, est Sylpheed, car il n'affiche pas le html (c'est contraignant, ça oblige à lire les contenus html dans le navigateur web quand ils ne s'affichent même pas en mode texte dans le corps de mail, et c'est une question d'habitude). sylpheed.sraoss.jp/en/
un bon système, c'est GNU/Linux, cependant ça n'exclut pas de respecter les règles de sécurité que j'ai décrites ci-dessus. Et en tout cas, tous les fichiers ne sont pas systématiquement exécutables, sous Linux : seulement les binaires et les scripts qui ont besoin de l'être pour faire tourner le système et fonctionner les applications !
Voici un bon article sur un système Xubuntu, qui explique des trucs sympa, comme par exemple, "comment utiliser MS-Office sous Linux" (ah ce sacré MS-Office dont beaucoup me parlent ! :D )
“Doubler son espérance de vie grâce à Linux” (l'espérance de vie de l'ordinateur):
www.greenit.fr/article/bonnes-pratiques/doubler...
Bonjour,
Je vais nuancé un peu le commentaires de @JoyceMarkoll (mais ces conseils sont "terriblement" pertinents)
Je crois que dire de ne pas payer n'est pas un conseil utile en soit.(même si payer c'est entretenir la cybercriminalité)
Une chose est certaine c'est que payer ne doit pas être la dernière action.
Une fois les données recouvrées il est indispensable de se mettre en sécurité en :
- réinstallant "from scratch" les machines suspectées d'avoir été infectées
- en révisant les organes de base de sécurité : en clair sa sauvegarde (qui doit être contrôlé y compris en restauration régulièrement et surtout, extérieure et déconnectée de son réseau, ) son antivirus
C'est le minimum que l'on soit particulier ou une entreprise. L'erreur serait d'avoir une confiance aveugle dans des dispositifs techniques.
Quand la question de payer se pose c'est qu'il est trop tard pour chercher une solution. Dans la plupart des cas, cela ne ferait qu'alourdir un peu plus la note..
Donc effectivement, les pirates ont bien compris qu'en demandant entre 300 ou 500 euros beaucoup préféreront payer.
En revanche, je partage un peu moins (par expérience) son avis sur Linux:
- tous les systèmes sont aujourd'hui touchés de Linux à Windows en passant par MacOs X et Android
- J'ai eu beaucoup de clients qui on voulu passer sous Linux pour donner une seconde vie à leurs machines. Ils ont eu beaucoup de mal à comprendre que les constructeurs n'avaient rallongé la période de garantie des pièces. En écrivant cela j'ai plus d'une dizaines de cas en tête. Non seulement nous avons perdu les clients mais l'un d'eux a voulu aller aux contentieux...
A cette nuance prêt , les conseils de Joyce sont vraiment ceux à suivre, on peut en trouver d'autres dans la publication de l'ANSII: www.ssi.gouv.fr/guide/guide-dhygiene-informatiq... C'est bon de voir que l'ANSSI propose des documents accessibles aux non spécialistes
Je vais nuancé un peu le commentaires de @JoyceMarkoll (mais ces conseils sont "terriblement" pertinents)
Je crois que dire de ne pas payer n'est pas un conseil utile en soit.(même si payer c'est entretenir la cybercriminalité)
Une chose est certaine c'est que payer ne doit pas être la dernière action.
Une fois les données recouvrées il est indispensable de se mettre en sécurité en :
- réinstallant "from scratch" les machines suspectées d'avoir été infectées
- en révisant les organes de base de sécurité : en clair sa sauvegarde (qui doit être contrôlé y compris en restauration régulièrement et surtout, extérieure et déconnectée de son réseau, ) son antivirus
C'est le minimum que l'on soit particulier ou une entreprise. L'erreur serait d'avoir une confiance aveugle dans des dispositifs techniques.
Quand la question de payer se pose c'est qu'il est trop tard pour chercher une solution. Dans la plupart des cas, cela ne ferait qu'alourdir un peu plus la note..
Donc effectivement, les pirates ont bien compris qu'en demandant entre 300 ou 500 euros beaucoup préféreront payer.
En revanche, je partage un peu moins (par expérience) son avis sur Linux:
- tous les systèmes sont aujourd'hui touchés de Linux à Windows en passant par MacOs X et Android
- J'ai eu beaucoup de clients qui on voulu passer sous Linux pour donner une seconde vie à leurs machines. Ils ont eu beaucoup de mal à comprendre que les constructeurs n'avaient rallongé la période de garantie des pièces. En écrivant cela j'ai plus d'une dizaines de cas en tête. Non seulement nous avons perdu les clients mais l'un d'eux a voulu aller aux contentieux...
A cette nuance prêt , les conseils de Joyce sont vraiment ceux à suivre, on peut en trouver d'autres dans la publication de l'ANSII: www.ssi.gouv.fr/guide/guide-dhygiene-informatiq... C'est bon de voir que l'ANSSI propose des documents accessibles aux non spécialistes
> - J'ai eu beaucoup de clients qui on voulu passer sous Linux pour donner une seconde vie à leurs machines. Ils ont eu beaucoup de mal à comprendre que les constructeurs n'avaient rallongé la période de garantie des pièces.
@PascalW
Sont-ils des cas particuliers de clients demandant par eux-même de passer à Linux ? Si c'est le cas, c'est intéressant. Mais dans un cas comme dans l'autre, il est bon de faire systématiquement un diagnostique hardware des ordinateurs avant de passer à Linux, (disque dur, ram, principalement), et de prévenir qu'il existe un ou des risques d'échecs en fonction de l'état des composants de la carte mère.
Il faut avoir des connaissance poussées et l'expérience des aléas possibles pour faire passer les utilisateurs à Linux en étant un professionnel faisant payer les prestations, et avoir au moins une idée du résultat probable en fonction du type de machine et du contexte dans lequel elle a été utilisé.
> - tous les systèmes sont aujourd'hui touchés de Linux à Windows en passant par MacOs X et Android
Le maillon faible dans les systèmes autres que Windows. C'est l'utilisateur. J'enquiquine mes utilisateurs (ceux que je sers, professionnellement, et aussi ceux que je rencontre lors d'install parties) en leur expliquant en quoi un mot de passe fort protège leurs données. Les cas que j'ai vus, et que je ne voudrais pas voir se répandre : "comment on fait pour enlever le mot de passe pour root ?" 0_0
Ma réponse en forme de "cri du cœur" "vous ne faites jamais ça !
Un autre cas, un Linux installé par un professionnel windowsien du coin : le mot de passe est : *
argh.
→ Si tu as rencontré de vrais cas de machines compromises sous Linux, je veux bien que tu m'en fasses part dans le détail, quitte à en parler en privé par mail. Quand à moi, étant sur de nombreux forums et plusieurs listes de discussions, avec des particuliers, des professionnels, des professeurs, et d'autres encore, je n'ai jamais entendu parler d'attaques réussies contre un PC d'utilisateur. (Des tentatives par le réseau oui, il y a des gens qui surveillent ce qui arrivent sur leurs ports, mais des compromissions non).
La sécurité des données et des systèmes, c'est une chaine où tous les maillons doivent rester forts. Quand il commencera à pleuvoir des malware pour les systèmes de type Unix, j'ajouterai un pare-feu à celui de ma box, j'installerai un IDS et encore d'autres choses sur lesquelles je ne me suis encore jamais pris la tête.
PS: je n'ai dit à aucun moment qu'il ne fallait pas payer, ni qu'il faut payer, d'ailleurs. Je n'ai pas d'avis sur ce point précis.
@PascalW
Sont-ils des cas particuliers de clients demandant par eux-même de passer à Linux ? Si c'est le cas, c'est intéressant. Mais dans un cas comme dans l'autre, il est bon de faire systématiquement un diagnostique hardware des ordinateurs avant de passer à Linux, (disque dur, ram, principalement), et de prévenir qu'il existe un ou des risques d'échecs en fonction de l'état des composants de la carte mère.
Il faut avoir des connaissance poussées et l'expérience des aléas possibles pour faire passer les utilisateurs à Linux en étant un professionnel faisant payer les prestations, et avoir au moins une idée du résultat probable en fonction du type de machine et du contexte dans lequel elle a été utilisé.
> - tous les systèmes sont aujourd'hui touchés de Linux à Windows en passant par MacOs X et Android
Le maillon faible dans les systèmes autres que Windows. C'est l'utilisateur. J'enquiquine mes utilisateurs (ceux que je sers, professionnellement, et aussi ceux que je rencontre lors d'install parties) en leur expliquant en quoi un mot de passe fort protège leurs données. Les cas que j'ai vus, et que je ne voudrais pas voir se répandre : "comment on fait pour enlever le mot de passe pour root ?" 0_0
Ma réponse en forme de "cri du cœur" "vous ne faites jamais ça !
Un autre cas, un Linux installé par un professionnel windowsien du coin : le mot de passe est : *
argh.
→ Si tu as rencontré de vrais cas de machines compromises sous Linux, je veux bien que tu m'en fasses part dans le détail, quitte à en parler en privé par mail. Quand à moi, étant sur de nombreux forums et plusieurs listes de discussions, avec des particuliers, des professionnels, des professeurs, et d'autres encore, je n'ai jamais entendu parler d'attaques réussies contre un PC d'utilisateur. (Des tentatives par le réseau oui, il y a des gens qui surveillent ce qui arrivent sur leurs ports, mais des compromissions non).
La sécurité des données et des systèmes, c'est une chaine où tous les maillons doivent rester forts. Quand il commencera à pleuvoir des malware pour les systèmes de type Unix, j'ajouterai un pare-feu à celui de ma box, j'installerai un IDS et encore d'autres choses sur lesquelles je ne me suis encore jamais pris la tête.
PS: je n'ai dit à aucun moment qu'il ne fallait pas payer, ni qu'il faut payer, d'ailleurs. Je n'ai pas d'avis sur ce point précis.
@JoyceMarkoll
Je me doutais que tu allais réagir... :-)
Bon nous sommes d'accord sur l'essentiel c'est déjà beaucoup: l'utilisateur est le maillon faible (sous Windows aussi)
Concernant les machines Linux compromises, nous en avons tous rencontré sur le net! Combien de serveurs web sont attaqués et compromis chaque jour?
Si on veut rester en lieu avec les ransomware: nakedsecurity.sophos.com/2016/03/02/php-ransom...
Pour mémoire le tout premier virus de l'histoire visait UNIX...
Je reconnais par contre que la literature disponible pour les scripts kiddies visent plus volontiers Windows ...
Je te remercie de ne pas faire la promotion de l'antivirus libre: ClamAV
Pour ce qui des IDS, HIPS et autres Sondes LDAP, c'est beaucoup d'outillages pour remplacer un peu de responsabilisation, non?
Mais je suis aussi d'accord avec toi sur le fait de monter des serveurs de sécurité sous Linux est très fiable (j'arrête de te taquiner avec mon windows)
Je me doutais que tu allais réagir... :-)
Bon nous sommes d'accord sur l'essentiel c'est déjà beaucoup: l'utilisateur est le maillon faible (sous Windows aussi)
Concernant les machines Linux compromises, nous en avons tous rencontré sur le net! Combien de serveurs web sont attaqués et compromis chaque jour?
Si on veut rester en lieu avec les ransomware: nakedsecurity.sophos.com/2016/03/02/php-ransom...
Pour mémoire le tout premier virus de l'histoire visait UNIX...
Je reconnais par contre que la literature disponible pour les scripts kiddies visent plus volontiers Windows ...
Je te remercie de ne pas faire la promotion de l'antivirus libre: ClamAV
Pour ce qui des IDS, HIPS et autres Sondes LDAP, c'est beaucoup d'outillages pour remplacer un peu de responsabilisation, non?
Mais je suis aussi d'accord avec toi sur le fait de monter des serveurs de sécurité sous Linux est très fiable (j'arrête de te taquiner avec mon windows)
@PascalW
> Pour mémoire le tout premier virus de l'histoire visait UNIX...
Non, c'était un Trojan (Cheval de Troyes) et c'est d'ailleurs mon meilleur argument pour inciter mes utilisateurs à employer des mots de passe corrects (8 caratères au minimum, chiffres, lettres, casse et caractères spéciaux mélangés). Je m'arrange pour leur en faire faire un qu'ils soient aptes à retenir.
> Concernant les machines Linux compromises, nous en avons tous rencontré sur le net! Combien de serveurs web sont attaqués et compromis chaque jour?
Les machines sur le net ne sont pas exposées de la même manière que les postes de travail. Ce sont des serveurs : de fichiers, de sites web, d'infrastructures, et ils sont exposés aux menaces qui visent les failles des programmes installés dessus, en particulier les sites web des administrateurs négligeants ou de peu de connaissances qui ne mettent pas à jour leur site et leurs extensions, lesquels sont installés sur des serveurs mutualisés (c'est à dire des serveurs où règne une ignoble promiscuité technologique ;-) j'ai connu ça pas mal de temps… ) et je passe sur les serveurs mutualisés ou pas mutualisés qui sont propulsés par des briques logicielles pas à jour (par exemple des php trop vieux avec des failles connues pour être corrigées dans les versions de mises à jour). Je ne connais pas l'ASP, mais ça doit être pareil de ce côté là.
Donc la liste des éléments à considérer:
* mots de passe;
* mises à jour systèmes;
* mises à jour applications;
et pour les mots de passe, ils les faut forts, et différents partout. (Par exemple, différent sur l'interface de login de ton site, et sur la base de données de celui-ci). Idem pour les ordinateurs personnels et ceux d'entreprises.
Pour avoir des mots de passe forts partout et pas les avoir en tête, il existe des programmes faits pour gérer les mots de passe et même les générer. (One ring to rule them all : le mot de passe maître a intérêt à être vraiment sérieux, bien sûr).
> Pour mémoire le tout premier virus de l'histoire visait UNIX...
Non, c'était un Trojan (Cheval de Troyes) et c'est d'ailleurs mon meilleur argument pour inciter mes utilisateurs à employer des mots de passe corrects (8 caratères au minimum, chiffres, lettres, casse et caractères spéciaux mélangés). Je m'arrange pour leur en faire faire un qu'ils soient aptes à retenir.
> Concernant les machines Linux compromises, nous en avons tous rencontré sur le net! Combien de serveurs web sont attaqués et compromis chaque jour?
Les machines sur le net ne sont pas exposées de la même manière que les postes de travail. Ce sont des serveurs : de fichiers, de sites web, d'infrastructures, et ils sont exposés aux menaces qui visent les failles des programmes installés dessus, en particulier les sites web des administrateurs négligeants ou de peu de connaissances qui ne mettent pas à jour leur site et leurs extensions, lesquels sont installés sur des serveurs mutualisés (c'est à dire des serveurs où règne une ignoble promiscuité technologique ;-) j'ai connu ça pas mal de temps… ) et je passe sur les serveurs mutualisés ou pas mutualisés qui sont propulsés par des briques logicielles pas à jour (par exemple des php trop vieux avec des failles connues pour être corrigées dans les versions de mises à jour). Je ne connais pas l'ASP, mais ça doit être pareil de ce côté là.
Donc la liste des éléments à considérer:
* mots de passe;
* mises à jour systèmes;
* mises à jour applications;
et pour les mots de passe, ils les faut forts, et différents partout. (Par exemple, différent sur l'interface de login de ton site, et sur la base de données de celui-ci). Idem pour les ordinateurs personnels et ceux d'entreprises.
Pour avoir des mots de passe forts partout et pas les avoir en tête, il existe des programmes faits pour gérer les mots de passe et même les générer. (One ring to rule them all : le mot de passe maître a intérêt à être vraiment sérieux, bien sûr).
> Je ne connais pas l'ASP, mais ça doit être pareil de ce côté là.
Non parce qu'il faudrait être fou pour mettre un serveur Microsoft en frontal sur Internet :-)
Non parce qu'il faudrait être fou pour mettre un serveur Microsoft en frontal sur Internet :-)
> Non parce qu'il faudrait être fou pour mettre un serveur Microsoft en frontal sur Internet :-)
Ué, bien il y en a pourtant.
Ué, bien il y en a pourtant.
Re bonjour,
au fait, après l'apéro débat, tu voudras bien nous faire un retour sur cette rencontre ?
au fait, après l'apéro débat, tu voudras bien nous faire un retour sur cette rencontre ?
Bonjour,
Tu voulais un retour, chose promise...
J'ai choisi de monter cet atelier dans un bar pour rompre avec le côté austére du sujet. Comme en ce moment je n'ai rien de particulier à vendre cela permis d'avoir des debats conviviaux et sans tabou.
Nous étions une petite trentaire de personnes et ce que je retiens c'est que les PME (au moins celles qui ont osé donner leur avis) n'ont pas une approche globale de la question et, face à leurs impératifs, ne veulent pas toujours prendre le temps de perenniser leur informatique après une attaque. Ils semblent que leurs seuls préoccupation et reprendre leur activité au risque de subir une seconde crise plus grave dans les semaines qui suivent. Avec cet état d'esprit, mon approche "industriel" a laissé un peu perplexe certain.
J'ai eu le plaisir de voir qu'un consultant de la CCI etait présent et à partager son expérience de la gestion de cette crise. Il semble que comme moi, il considere qu'il ne faut pas reprendre ca vie comme si rien n'était arrivé mais bien consolider les leçons apprises. Cet effort peu le font.
Tous les spécialistes présents ont été clairs, la question n'est plus de savoir si on va être attaqué mais quand! ...Moi qui espérait une approche sympa pour sensibiliser sans effrayer, C'est râté. :-)
Ceci étant, l'ambiance était plus bon enfant et je pense que nous avons "un peu" fait passer le message. D'ailleurs, certains espérent d'autres ateliers de ce format prochainement. il semble que les sujets techniques passent mieux servis avec des tapas et des boissons alcoolisées.
Si tu veux ma présentation: borbhal.org/wp-content/uploads/2016/05/AfterWor...
Son objectif était la sensibilisation des "non informaticiens". J'ai fait beaucoup de raccourcis pour que cela soit plus abordable après une longue journée de travail.
Salut PascalW,
Merci pour ce retour. Je vais regarder ta présentation, et j'ai un mais : un masque des anonymous vu de profil pour illustrer “la menace des pirates” ? Sérieusement ?!
Cela me fait tout de suite penser à ce @=}# de journal, qui a été mentionné sur divers lieux de la toile récemment. (“Quand 01.net nous explique ce qu'est un hacker”).
Je vais continuer de dérouler cette présentation. :)
Diapo numéro 2 : je ne sais pas comment les entreprises en question ont été infectées, mais au vu d'un spam récent que j'ai reçu, je dirais qu'il n'est pas impossible qu'un/e utilisateur/trice aie ouvert une archive zip arrivée en pièce jointe, dans un SPAM. Voici le mail que j'ai reçu avec l'un d'entre eux récemment:
Sujet : RE: Outstanding Account
This is a reminder that your account balance of $7533.77 wasoverdue as of 24 April 2016.
Enclosed is a statement of account for your reference.Please arrange payment of this account today or, if you cannot make full paymentat this time, please contact us to make a payment arrangement that is mutuallyacceptable.
Regards,
Gladys Clemons
Deputy Director of FinanceHave a nice day
Il y avait un petit cadeau avec… (Je n'ouvre jamais les cadeaux faits par des inconnus… même sous nunux ! ^^ )
Bref, comme tous les fichiers sont exécutables par défaut sous Windows… Peut-être y aurait-il un petit peu de prévention à faire par la formation ? Voire ajouter des sécurités par des restrictions (j'ai ouïe dire qu'il n'est pas rare que tous les utilisateurs disposent par défaut des privilèges administrateur sur des postes de travail là où cela n'aurait pas lieu d'être).
Qu'en penses-tu ?
Re: diapo 8 je lis:
Les ransomwares existent depuis un moment sur la toile et touchent toutes les plateformes aujourd'hui: Android comme MacOS, Windows comme Linux.
Sous Linux ? Je voudrais bien voir ça. Je vais faire une installation exprès dans un disque dur à part, et y ajouter le "cadeau" reçu dont j'ai parlé ci-dessus, et que je vais déballer, pour voir. (Si je trouve le temps).
Salut @JoyceMarkoll ,
Effectivement il est important de limiter les privileges et les accés des utilsiateurs comme je l'indique dans la seconde partie de ma presentation. La gestions des droits, des identités et des mots de passe sera notre prochain sujet. Je bosse sur la question et je sais qu'un spécialiste de l'IAM veut intervenir. donc à suivre...
Je ciblais un public de "non professionnels de l'IT" en cela il a fallu faire quelques raccourci pour que le message globale passe. A chaque fois que les spécalistes présents ont souhaité préciser mes propos, cela s'est transformé en bataille d'expert sur des détails inaccessibles pour le public non averti.
Concernant l'existance de ransomware ciblant linux, je precise plus loin qu'ils ciblent en priorité les serveurs web en exploitant les failles connues des CMS les plus populaires wordpress, joomla et drupal en tête.
Pour te convaincre que Linux n'est pas à l'abri:www.sophosfranceblog.fr/ransomwares-php-attaque...
Maintenant, je te le concéde: ce ne sont pas les poste de travail linux qui sont les plus visés aujourd'hui. Il serait difficile de prétendre le contraire.
Mon objectif était de faire prendre consience de la necessité d'avoir non seulement une sauvegarde mais bien une stratégie de sauvegarde. Parce que c'est le seul moyen fiable de repartir en cas de sinistre. Sur ce sujet aussi, certains m'ont proposé de faire une animation mais j'ia un peu peur que cel aaille à l'encontre de mon objectif: mon action de sensibilisation est bénévole dans le cadre de la Melee Adour. Je refuse que des entreprises fassent du business sur mon dos alors que je suis sans emploi.
Pour te convaincre que Linux n'est pas à l'abri:www.sophosfranceblog...
Bonjour, je ne suis pas du tout convaincue. Quand tu parles de "Linux", tout le monde pensera au système GNU/Linux, que ce soit celui sur lequel tourne le serveur web, ou celui qui tourne chez soi ou au bureau. Or tu me donnes une fois de plus l'exemple d'un malware qui attaque le code en php, et les CMS : pas le système à proprement parler.
Donc, c'est dangereux : parce que tenir ce discours amènera les utilisateurs à penser qu'ils sont à la merci de ransomware même s'ils utilisent une distribution GNU/Linux.
Linux, je le rappelle pour ceux qui ne connaissent pas son rôle exact, n'est que le noyau, qui permet de mettre en relation le système (autrement expliqué : "les hamsters qui pédalent dans la machine") et le matériel (carte graphique, son, périphériques externes style imprimantes, scanners, APN etc.)
Donc non, "Linux" n'est pas concerné par le problème.
Par contre les CMS, qui sont des applications, peuvent être affectés puisque le langage de programmation qui les constitue peut être mis en danger. C'est bien plus qu'une nuance, c'est toute la différence qu'on peut faire quand on compare un chien et un chat (au moins !)
Je ne m'étendrais pas plus ici sur les différences fondamentales entre les systèmes de fichiers (Ntfs vs Ext4 ou autres BTRFS) et les différences fondamentales dans la gestion des droits et des permissions sous Windows et sous GNU/Linux. Sauf à rappeler que sous Windows *tout* est exécutable, alors que sous GNU/Linux par défaut, rien n'est exécutable (hormis les binaires et scripts du système et des applications installés depuis les dépôts officiels ou additionnels nécessaires, et vérifiés par des signatures numériques authentifiées) et que l'organisation des deux systèmes est pensée de manière radicalement différente en regard de la sécurité.
/me vais me pencher sur SELinux un de ces 4… CentOS and co…
C'est la même chose pour windows non?
Ce n'est pas le windows lui même qui est ciblé aujourd'hui mais les applications (Flash, mail, navigateur) et surtout les utilisateurs....
Tu le sais, je n'ai de part ni dans le libre ni dans le propriétaire mais je pense que ton attachement à Linux te fait le défendre avec beaucoup convictions et de sincérité, au risque de jouer un peu sur les mots. Je reconnais sans probléme les avantages de ces systémes dans de nombreux cas
Ceci étant, je maintiens mes affirmations sur les plateformes Linux, ma crainte est d'avoir des entreprises qui se croient à l'abris des attaques parce qu'elles utilisent tel ou tel systéme. C'est bien ce que j'entends parfois.
Par expérience je sais que ce n'est pas parce qu'un systéme est peu ou pas attaqué en ce moment qu'il est inviolable dans l'absolu.
Jusqu'il y a 2 ans je t'aurais dit que le systeme d'exploitation le plus sûr que je connaisse est QNX. Mais ce n'est plus le cas aujourd'hui.
Eugene Kaspersky disait que pour qu'un systéme soit attaqué il faut qu'il soit populaire et que ses vulnérabilités soient connues. Aujourd'hui, il est plus rentable de developper un malware pour windows que pour n'importe quelle autre plateforme. Si un jour l'équilibre s'inverse, les moyens necessaires seront mis en oeuvre pour compromettre Linux. Aussi je ne peux pas laisser croire que tel ou tel systéme est plus sûr qu'un autre, en particulier quand finalement la faiblesse majeure est et restera l'utilisateur surtout quand celui est à l'affut du moindre alibi technique pour se déresponsabiliser.
C'est la même chose pour windows non?
Non.
Ce n'est pas le windows lui même qui est ciblé aujourd'hui mais les applications (Flash, mail, navigateur) et surtout les utilisateurs....
Regarde le système des droits et des permissions dans un système GNU/Linux, et compare avec ce que l'on a chez Windows.
Tu le sais, je n'ai de part ni dans le libre ni dans le propriétaire mais je pense que ton attachement à Linux te fait le défendre avec beaucoup convictions et de sincérité, au risque de jouer un peu sur les mots. Je reconnais sans probléme les avantages de ces systémes dans de nombreux cas
Ce n'est pas un attachement. Je ne suis attachée qu'à une chose, c'est ma tranquillité. Si un jour les systèmes GNU/Linux sont compromis du fait d'une baisse de la garde concernant les bonnes pratiques de la sécurité, je passerai à Free/Net/ ou OpenBSD aussi vite/lentement que je l'ai fait pour passer de Windows XP à Mandrake Linux quand j'ai débuté.
Et ce que je t'ai dit n'est pas du tout jouer sur les mots, c'est très réel ! Alors si tu souhaites un jour un cours de découverte un peu large englobant la sécurité dans les distributions GNU/Linux, allant même jusqu'à aborder le principe des distributions durcies, contacte-moi. (Sur le forum de linuxvillage.org par exemple).
Ah et pour les utilisateurs, je crois qu'il faudrait créer un espèce d'outil d'évaluation de leurs aptitudes à appréhender les questions autour de la sécurité, en plus de méthodes et pratiques à enseigner (genre, quand on met en place une sécurité incendie, on met aussi en place un ou plusieurs exercices d'entraînement par an, ne serait-ce pas une idée de l'envisager aussi pour l'informatique ?)
Nos points de vue divergent sur la robustesse de Linux vs Microsoft. Je suppose que tu n'as jamais croisé de dossiers NFS ou www en 777... :-)
Ce n'est pas très grave, au contraire... c'est sympa de débattre avec toi
Mon positionnement dans les entreprises est hors des considérations techniques et pour moi: la sécurité informatique est un processus pas une solution technique.
Concernant ton idée d'exercice (comme les exercices incendie) ça me plait beaucoup. Jusque là je m'efforcais de faire des reunions de sensibilisation et de modes opératoires.
Oui vraiment c'est une idée à creuser.
merci
Nos points de vue divergent sur la robustesse de Linux vs Microsoft. Je suppose que tu n'as jamais croisé de dossiers NFS ou www en 777... :-)
Bonsoir @PascalW ,
Non, mais j'ai déjà lu quelque part qu'il est possible de mettre en place des droits et permissions à la Unix dans un système Windows. Sauf qu'ayant parcouru la page concernée, quand j'étais tombée sur l'information, ça ne semblait pas trivial, alors que les systèmes GNU/Linux viennent avec les permissions adéquates dans les dossiers du système et les fichiers… 755, 644, 600, 400, selon les fichiers… (argh 777 : interdit ça ! :o) )
Bref, ce n'est pas parce que c'est possible que ça existe couramment. Et je ne suis par certaine que ça règlerait tous les problèmes.
Concernant ton idée d'exercice (comme les exercices incendie) ça me plait beaucoup. Jusque là je m'efforcais de faire des reunions de sensibilisation et de modes opératoires.
Oui vraiment c'est une idée à creuser.
merci
De rien. À voir comment cette idée pourrait être mise en pratique. J'ai déjà pensé à ça, mais sans avoir encore creusé.
(Je pense m'être égarée dans l'ordre des commentaires… @MissSkiller : est-ce dans la todo de faciliter pour s'y retrouver ? :) )