Colombani Avocat
4, Rue Albert 1er
59140  Dunkerque
N°TVA :

Piraterie informatique: que faire en cas d'intrusion?
30/07/2009

Des conseils judicieux sont donnés sur le site du Centre d'Expertise gouvernemental de Réponse et de Traitement des Attaques informatiques (CERTA) - http://www.certa.ssi.gouv.fr/»).

Je cite:"Certains signes indiquent que le système a peut-être été compromis. Ils peuvent être recherchés systématiquement par des outils de détection d'intrusion (voir paragraphe 2.1), mais peuvent également être remarqués ponctuellement :

- impossibilité de se connecter à la machine

- fichier(s) disparu(s)

- système de fichiers endommagé

- signature de binaires modifiée

- connexions ou activités inhabituelles

- activité importante

- services ouverts non autorisés

- présence d'un renifleur de mots de passe (généralement appelé « sniffer »)

- modification intempestive du fichier de mots de passe, date de modification suspecte

- création ou destruction de nouveaux comptes

- création de fichiers, y compris de fichiers cachés.

Suivre les conseils des CERTs

Certains types d'intrusion spécifiques peuvent laisser des traces précises qui seront décrites dans les bulletins du CERTA et des autres CERTs.

Quels sont les bons réflexes en cas d'intrusion sur une machine ?

3.1 Déconnecter la machine du réseau

Déconnecter du réseau la machine compromise (ou les machines) permet de stopper l'attaque si elle est toujours en cours. S'il était toujours connecté à la machine, l'intrus n'a plus de contrôle sur celle-ci et ne pourra donc pas surveiller ce que vous faites et/ou modifier des fichiers. En revanche, maintenez la machine sous tension et ne la redémarrez pas, car il serait alors impossible de connaître les processus qui étaient actifs au moment de l'intrusion. Vous risqueriez de provoquer une modification sur le système de fichiers et de perdre de l'information utile pour l'analyse de l'attaque.

3.2 Prévenir le responsable sécurité

Prévenez immédiatement le responsable sécurité et votre hiérarchie qu'une intrusion a été detectée. Prévenez-les de préférence par téléphone ou de vive voix, car l'intrus est peut-être capable de lire les courriers électroniques échangés, depuis une autre machine du réseau.

Le responsable sécurité doit être clairement identifié par tous les administrateurs système/réseau avant que l'incident de sécurité ne soit déclaré. C'est la base de toute procédure de réaction sur incident de sécurité.

3.3 Prévenir le CERT dont vous dépendez

En France, le CERT dont dépendent les administrations est le CERTA. Il peut être contacté :

par courrier électronique : certa-svp@certa.ssi.gouv.fr

par téléphone : 01-71-75-84-50

par fax : 01-71-75-84-20.

Pour en savoir plus sur les CERTs (Computer Emergency Response Team), vous pouvez consulter la page de présentation :

http://www.certa.ssi.gouv.fr/certa/cert.html

3.4 Faire une copie physique du disque

Attention la copie physique d'un disque dur est une opération très délicate.

Pourquoi faire une copie du disque ?

D'une part, en l'absence de copie, l'altération des données provoquée par l'analyse rendrait inefficace toute procédure judiciaire, si vous souhaitiez mener cette démarche. D'autre part, même si aucune action judiciaire n'est envisagée, vous pourrez tout de même avoir besoin dans le futur d'une copie exacte du système tel qu'il était au moment de la découverte de l'intrusion.

Pourquoi faire une copie physique du disque ?

Une simple sauvegarde de fichiers ne fournit pas l'intégralité des informations contenues sur le disque, il est donc important de procéder à une copie de bas niveau du disque, y compris des secteurs non occupés.

Comment faire un copie physique du disque ?

Sur un système Unix, vous pouvez utiliser la commande dd1 pour procéder à la copie exacte du disque. Sur un système Windows, il n'existe pas de telle commande sur le système d'exploitation, mais de nombreuses applications sont disponibles pour effectuer la même opération.

Si vous n'avez jamais utilisé ce type de commandes ou d'outils, ne le faites pas dans l'urgence car vous risqueriez de détruire toutes les traces. Faites appel à votre CERT pour plus de détails sur la façon de procéder.

Attention : l'image produite ne doit en aucun cas être stockée, même temporairement, sur le disque à étudier.

3.5 Rechercher les traces disponibles

Un équipement n'est jamais isolé dans un système d'information. S'il a été compromis, il doit exister des traces dans d'autres équipements sur le réseau (gardes-barrière, routeurs, outils de détection d'intrusion, etc...). C'est pourquoi il est utile de rechercher des traces liées à la compromisssion dans tout l'environnement, les copier, les dater et les signer numériquement.

Remarque importante

Si vous avez pu déterminer l'origine probable de l'intrusion, n'essayez pas d'entrer en contact directement avec l'administrateur de la machine dont semble provenir l'attaque. Vous risqueriez en effet de communiquer avec le pirate et de lui fournir des informations importantes sur ce que vous savez de lui.

De toute façon, le taux de réussite pour contacter l'administrateur de la machine source sera beaucoup plus élevé si c'est un CERT qui s'en charge. Il y a plusieurs raisons à cela :

les CERTs disposent de nombreux outils, de contacts et de correspondants, ce qui leur permet de contacter plus rapidement la personne adéquate

les messages à entête d'un CERT sont en général pris plus au sérieux que les messages de particuliers

les CERTs représentent une autorité neutre qui permet d'entamer si nécessaire un dialogue constructif, sans accusation abusive d'un côté ou de l'autre..."

Le site du CERTA est une mine, sur le plan légal, il permet une mise en relation avec les autorités concernées au premier chef par le phénomène.

Cependant sur le plan légal stricto sensu la sécurité informatique et le droit entretienent des relations qui ne sont pas toujours simples.

Nous avions tenté une approche dans un diaporama effectué au profit d'une association, SOTHIS.

La génaralisation d'internet et la banalisation des transactions à distance ne rendra pas les choses plus simples.

En effet, le risque informatique augmente de notre point de vue avec la dématérialisation des flux.

Cela semble être une idée simpliste, mais en fait, elle est lourde de sens dans l'organisation pratique de l'informatique.

En effet, l'architecture du réseau doit permettre effectivement la détection des intrusions et surtout la localisation des intrus et, dans un dernier temps leur neutralisation.

Les réseaux mis en place pour le commerce électronique, les logiciels espions que nous chargeons tous les jours sans le savoir sont autant de plateformes qui rendent l'espionage informatique sinon indétectable, au moins impossible à géo localiser tantv il y existe de relais et de miroirs.

Bon été.

Retour
Top