Difficile de ne pas avoir suivi une actualité bien sombre en ce mois de janvier 2015, avec des actes terroristes effrayants, et notamment l’attaque meurtrière du journal, Charlie Hebdo. Depuis ce 7 janvier, des conséquences lourdes ont été recensées sur la toile. Près de 25 000 sites internet français ont été hackés en deux semaines.

Parmi les victimes figurent notamment les sites Web de municipalités, universités, hôpitaux, églises, journaux … Des cibles connues par le grand public, facilement identifiables.

 

Cette ‘guerre électronique’ est d’abord médiatique, avec des listes de cibles diffusées sur Twitter par le biais de hashtags. Une liste est diffusée par un groupe voulant venger les journalistes de Charlie Hebdo, l’autre l’est par les cyberjihadistes et elle cible notamment les collectivités et les hôpitaux.

Cybersécurité: une prise de conscience devient obligatoire.

La très grande majorité de ces attaques sont d’un niveau très simple, avec un impact d’image sur les sites web, parfois des vols de données. Ces attaques de type défiguration (ou défacement) exploitent des failles de sécurité connues, sur des sites vulnérables. Avec les attaques par déni de service (très populaires depuis plusieurs mois), elles prouvent que la sécurité des réseaux et des données devient un enjeu majeur dans une informatique toujours plus connectée.
Termes de plus en plus utilisés, la défiguration ou le défacement désigne le « Résultat d’une activité malveillante visant à modifier l’apparence ou le contenu d’un serveur Internet. Cette action malveillante est souvent porteuse d’un message politique et d’une revendication. ». Un autre terme fortement employé, la DDoS désigne une attaque par déni de service ayant pour but de rendre indisponible un service, d’empêcher les utilisateurs légitimes d’un service de l’utiliser. Ces défacements de sites ont un impact médiatique fort, mais peu de conséquences sur le fonctionnement des organisations.

Pour se protéger, un rappel des bonnes pratiques parait indispensable

L’Agence nationale pour la sécurité des systèmes d’information (ANSSI) présente deux fiches qui permettent de se prémunir de ces types d’attaques :

• une fiche destinée à tout internaute qui rappelle la nécessité d’utiliser des mots de passe robustes, d’ajouter ou de modifier du contenu sur les sites Internet et les réseaux sociaux exclusivement depuis un poste et des réseaux maîtrisés par le service informatique, avoir un OS et des logiciels à jour, réaliser une surveillance du compte ou des publications et porter une vigilance renforcée aux mails et pièces jointes qui « jouent souvent un rôle central dans les cyberattaques ».

• La deuxième fiche, à destination des administrateurs de sites, rappelle des éléments nécessaires pour protéger des sites ciblés et propose des mesures à appliquer en cas d’attaque avérée (parmi lesquelles identifier le trafic illégitime et mettre en place des contre-mesures…).

La position d’Adista face au risque de défacement

Adista a été sollicité par de nombreux établissements publics et hospitaliers souhaitant connaitre notre position, notamment dans les 48 heures précédant la journée du 15 janvier, annoncée comme étant une journée à risque élevé pour les défacements. L’alerte avait été lancée par plusieurs services comme les Agences Régionales de Santé, la Gendarmerie Nationale, CCI France …

Il nous parait d’abord indispensable pour chaque organisation de renouveler sa vision sur la gestion de la sécurité de son SI. La première urgence est de former tous les usagers du SI et de situer le comportement de l’utilisateur comme une priorité.  Concernant les défacements, l’ANSSI parle d’attaques de ‘faible niveau technique’. Les hackers ont simplement exploité les failles des sites internet, et notamment les failles des CMS ou gestionnaires de contenus (comme WordPress, Joomla, Drupal, SPIP ….), les failles liées aux extensions de ces CMS, ou les failles connues de systèmes d’exploitation (Windows Server non mis à jour), de logiciels comme Apache ou IIS.

Sans vouloir entretenir une psychose, Adista avait  mis en œuvre une organisation particulière, technique et humaine, pour cette journée du 15 janvier 2015. Dans les mesures prises et communiquées à nos clients, nous avions notamment mobilisé certains collaborateurs aux compétences particulières afin de pouvoir réagir avec la plus grande diligence à certaines attaques. Nous avons aussi rappelé un point essentiel aux organisations utilisant uniquement nos services télécommunications et nos réseaux VPN ou nos accès Internet.

La mise à jour des environnements système et web suffit la plupart du temps pour déjouer les tentatives de défacement.

Point essentiel : qu’ils soient hébergés chez un prestataire ou sur les serveurs dans l’entreprise, il convient de veiller que tous les sites web s’appuient sur des gestionnaires de contenu mis à jour dans la dernière version, avec la même vigilance pour les extensions de ces gestionnaires de contenu. Et l’utilisation de mots de passe suffisamment complexes s’impose pour l’administration de vos sites.

Plusieurs mesures peuvent également être mises en place comme le blocage des adresses IP et de certaines classes de trafic impliquées dans ces attaques, la limitation du nombre de connexions concurrentes, la réduction des délais de garde des connexions TCP, le blocage du trafic à destination des cibles et le changement d’un site web dynamique en statique si l’élément défaillant est une application web.

Si la multiplication des éléments de sécurité s’impose aujourd’hui pour la protection de son système d’information, la formation et le respect de règles simples constituent une étape préalable et indispensable.

Un label France Cybersécurité

La cybersécurité est aussi devenue un élément majeur de la politique industrielle française, avec près de 600 acteurs et 40 000 emplois. En septembre 2013, l’état a défini 34 plans de reconquête industrielle. Les réseaux, le cloud, les objets connectés en font partie, et le 33^ème plan est consacré à la cybersécurité. Une particularité de ces plans est de labelliser les offres nationales pour que les collectivités et entreprises identifient facilement des solutions made in France.

Parmi les partenaires d’Adista, StormShield a été brillamment mis en évidence avec plusieurs solutions labellisées !