Fuite de données

Premier secours après une attaque de hackers

Les entreprises sont la cible permanente de hackers. Lors d’un vol de données, il convient de prendre sans tarder les mesures qui s’imposent. Un scénario montre comment limiter les dommages.

Texte: Felix Raymann en collaboration avec Lorenz Inglin, publié pour la première fois le 17 août 2017, mis à jour le 19 janvier 2021.illustrations: Luca Zanier

«Le site Web n’est plus accessible» indique le SMS d’alarme que reçoit Arno P. en pleine nuit. Le responsable informatique de ce revendeur en ligne n’a pas d’autre choix que de se connecter sur son système. Il constate alors que quelque chose ne va pas. «Cela aurait bien pu attendre jusqu’au matin», juge-t-il, car il sait que pratiquement personne ne fait ses achats sur le Web-Shop pendant la nuit.


Mais lorsqu’il contrôle les chiffres du trafic, il n’en croit pas ses yeux. Il observe sur le serveur un intense trafic de données qu’il ne parvient pas à interpréter. Manifestement, des attaquants essaient de rendre le site Web inaccessible en multipliant les accès automatisés.


Lorsqu’il examine les journaux des serveurs, il constate autre chose: il se produit manifestement un vol de données de clients. L’accès au site Web pourrait n’être qu’une manœuvre de diversion. Il ne réussit pas à arrêter certains serveurs et il ignore si et comment il doit commencer à arrêter le vol de données.

Un plan d’urgence est indispensable

L’incident décrit peut soit se transformer en catastrophe pour l’entreprise soit se terminer sans trop de dégâts. Dans le meilleur des cas, Arno P. sait ce qu’il doit faire grâce à un plan d’urgence. Il appelle le numéro de l’Assistance Swisscom dont son entreprise utilise les services et les infrastructures. Swisscom est déjà au courant et a également rendu inaccessibles différents domaines dans lesquels des activités suspectes ont été détectées.

 

«Il s’agit d’une attaque DDoS», explique le collaborateur compétent de l’équipe Security. «Nous avons pu filtrer le trafic réseau malveillant, le service sera à nouveau accessible prochainement. Mais les hackers ont réussi, par ailleurs, à exploiter une faille dans une base de données afin de copier des données des clients.


La première chose à faire est donc d’arrêter ces opérations. Par la suite, les spécialistes Security s’efforcent de déterminer à l’aide des fichiers journaux par quel moyen les attaquants ont pu accéder aux données sensibles.

Assistance immédiate en cas de cyberattaque

En cas d’urgence, les experts du Cybersecurity Incident Response Team (CSIRT) de Swisscom vous viennent en aide de façon rapide et professionnelle.

Plan d’urgence: Mesures après une attaque

Il peut arriver, malgré les meilleures mesures de prévention, que des hackers parviennent à voler des données en utilisant des méthodes d’attaque les plus diverses. Lorsque l’on a connaissance d’un incident, chaque seconde compte. L’équipe Computer Security Incident Response de Swisscom prévoit plusieurs mesures visant à contrer les menaces:

  • évaluation des informations présentes sur l’incident. De quoi s’agit-il? Une équipe sur site de Swisscom est-elle nécessaire?
  • Mise en place de mesures immédiates (bloquer les opérations, mesurer l’étendue des dégâts, évaluer les pertes de données)
  • Trouver la cause du problème
  • Prendre des mesures pour circonscrire le problème!
  • Amélioration de la protection et identifier les problèmes comparables
  • Restauration, validation, surveillance
  • Recueillir les preuves (origine des attaques, éventuellement pour les besoins judiciaires)
  • Debriefing, documentation, mise en œuvre de mesures correctrices

L’entreprise n’utilisant pas tous les services de Swisscom, il convient à présent de limiter le dommage sur ses propres serveurs. Arno P. se rend pour cela au bureau. Conformément aux instructions du plan d’urgence, il débranche la fiche Ethernet du serveur, mais il n’éteint pas l’ordinateur, ce qui permette de reconstruire après coup d’éventuelles manipulations. «La mémoire vive peut nous donner de nombreuses informations utiles sur les atteintes qui ont visé le système», explique Lorenz Inglin, Head Cyber Defense au sein de Swisscom.


L’analyse ultérieure des fichiers journaux permettra de déterminer que l’attaquant s’est introduit dans le système grâce à une faille de l’application (par «SQL Injection»). La tâche de l’équipe forensique de Swisscom est à présent de sécuriser les preuves et d’établir qui pourrait être derrière tout cela. L’équipe forensique doit analyser l’origine de l’attaque, quelles données ont été volées et l’ampleur du dégât. Autre point important: bloquer les canaux de communication avec les attaquants et de combler la faille dans l’application. Les collaborateurs et les clients doivent par ailleurs être informés sur le comportement qu’ils doivent avoir. Il est nécessaire, en outre, de définir une stratégie de communication pour le service médias et clients.

1/5 L’équipe Security de Swisscom apporte les premiers secours en cas d’attaques de hackers.

2/5 Les spécialistes analysent les fichiers journaux pour y constater des mouvements suspects.

3/5 Premiers secours sur site: Avec la valise forensique chez le client.

4/5 Création de copies forensiques de disques durs, identification des causes: l’équipe CSIRT de Swisscom en cours d’intervention.

5/5 Retirer la prise: Chaque seconde compte en cas d’urgence.

1/5 L’équipe Security de Swisscom apporte les premiers secours en cas d’attaques de hackers.

Conséquences coûteuses de l’attaque

Après avoir pris les premières mesures, il importe désormais de limiter le plus possible l’ampleur des dommages. Il est difficile de déterminer le montant du dommage effectif. Les dommages financiers peuvent survenir directement ou indirectement. Différents facteurs sont possibles:

  • l’ampleur de l’effort à réaliser pour la correction et la restauration
  • le forensique externe, la restauration des systèmes loués
  • les nouvelles mesures de sécurité
  • Réputation: intacte, perte de confiance des clients, chute du cours des actions

L’état de la menace pour l’entreprise

Les hackers appliquent des méthodes très variées pour accéder aux données sensibles comme des informations sur les clients, des informations sur les cartes de crédit, des mots de passe, etc. Lorenz Inglin: «Les attaques sont quotidiennes, nous sommes en alerte permanente et nous nous efforçons de détecter et de contrer les attaques.»


«Nous surveillons nos réseaux en permanence et nous recherchons les événements inhabituels. Ainsi, nous trouvons et nous bloquons notamment pages de phishing tous les mois, explique Lorenz Inglin.


Actuellement, les menaces auxquelles les entreprises sont exposées, sont principalement les suivantes:

 

  • Phishing
  • Attaques DDoS (paralysie de services, sites Web)
  • Ransomware (chiffrement des données suivi de demande de rançon)
  • Social Engineering (extorsions de données, de mots de passe à l’aide d’astuces. Exemple: «Fake President Fraud»: Les imposteurs se font passer pour un membre de la direction d’une entreprise et pousse un employé à réaliser des virements d’argent.

Typologie des hackers:

  • Individus: Ceux qu’on appelle les «script kiddies», ou vandales numériques, tentent de pénétrer un système ou de le paralyser.
  • Hackers: Hacktivistes capables de réaliser des attaques DDoS.
  • Organisations criminelles: Bandes organisées et organisations menant des attaques ciblées avec un investissement important et suffisamment de moyens afin de mettre la main sur de l’argent.
  • Activistes terroristes: Hackers aux motivations idéologiques et visant à manipuler des infrastructures.
  • Hackers étatiques: Avec une motivation politique ou économique? Ils sont en mesure de réaliser des attaques de grande ampleur, d’infiltrer des personnes, etc.

En savoir plus sur ce thème