JDNet (Par Fabrice Deblock) - Suite à l'appel à témoins relatif aux tentatives d'intrusion ou de vol de données que nous avons lancé la semaine dernière, certains de nos lecteurs ont bien voulu nous faire part de leur expérience en la matière, apportant de précieux enseignements.

Entre les intrusions à caractère frauduleux et l'utilisation de ressources pour l'échange de fichiers prohibés, ce qui ressort des témoignages recueillis est le manque flagrant de visibilité quant à l'ampleur du méfait et au but final des pirates : depuis quand sont-ils là, comment ont-ils fait, quel est leur objectif, quels fichiers ont-ils touché, qui sont-ils ?

Et derrière ces interrogations, la question du coût et des compétences qu'il faudrait mobiliser pour mieux se protéger se profile souvent à l'horizon. Mais quand il s'agit de véritable piratage industriel en secteur sensible, les acteurs semblent plus au fait de qui fait quoi et comment.

"Hacked by..." au coeur des fichiers systèmes - Un de nos lecteurs - administrateur réseaux et systèmes au sein d'un organisme agricole consulaire français - nous a fait part d'un problème sur un de ses serveurs de fichiers. Alors qu'une adresse IP publique avait été provisoirement installée pour des raisons de maintenance à distance, il a rapidement constaté que certains "logs" étaient anormaux.

Croyant tout d'abord qu'il s'agissait de batchs routiniers, il s'est aperçu que des fichiers externes (utilitaires FTP...) avaient été installés dans un des sous-répertoires systèmes de Windows 2000. "Je n'arrivais pas à accéder à ces fichiers cryptés, encore moins à les détruire. Dans un des sous-dossiers systèmes, j'ai pu ouvrir un fichier dans lequel apparaissait une tête de mort et un message de type 'hacked by...' ", précise notre interlocuteur.

De là en a découlé une phase de formatage du disque dur et de réinstallation complète des logiciels, donc une perte de temps non négligeable. Avec, en prime, des questions restées en suspens : "Windows 2000 est globalement très ouvert. Si on décide de durcir certaines règles, en modifiant par exemple les droits NTFS ou l'accès à la base de registre, certains fonctionnalités - comme sur AutoCAD ou Office 97 - ne fonctionnent plus... De plus, je ne sais pas dire si certains fichiers ont été lus, copiés ou autre", ajoute-t-il, reconnaissant qu'une externalisation de cette surveillance serait vraisemblablement opportune.

Une plate-forme de téléchargement temporaire installée - Un de nos autres lecteurs, Marc Behar, cofondateur de la société de conseil en sécurité X-m.co Partners, nous a fait part des désagréments survenus à une société du secteur financier gérant de très forts volumes de transactions : "ils nous ont appelé car plusieurs serveurs de fichiers de production interne étaient saturés, sans raison apparente. Nous avons diagnostiqué que ces serveurs étaient utilisés pour stocker des jeux piratés, des films pornographiques, des MP3... Les pirates sont rentrés par un serveur de back-up Internet resté connecté. Nous avons installé un pont filtrant à base de composants Open Source - en mode coupure - qui présente l'avantage de ne pas avoir d'adresse IP", explique le dirigeant.

Mais une fois l'intrusion détectée et les premières mesures prises, il est difficile de définir précisément quels agissements ont eu lieu et de procéder à un bilan complet. En l'occurrence, les pirates ont utilisé les ressources de ces serveurs pour créer une plate-forme temporaire de téléchargement - sans objectif d'intelligence économique -, mais il est toujours complexe de dire après coup si tel ou tel fichier a été lu, modifié ou détruit...

Certes, l'analyse des fichiers "logs" permet de remonter la piste mais cette analyse est souvent longue et fastidieuse. En tout état de cause, un procès contre les auteurs de ce squat et contre le FAI est en cours, le client ayant considéré que ce dernier avait, au delà de la simple fourniture d'accès, un minimum d'obligations de filtrage.

L'intelligence économique à l'état pur : bas les masques ! - Dernier témoignage significatif, celui d'une personne gravitant dans le secteur de l'armement et du paramilitaire. A la manière d'un virus véhiculant une pièce attachée porteuse d'un cheval de Troie, notre lecteur est convaincu que les mails reçus ces derniers mois le ciblaient personnellement, lui et quelques uns de ses fichiers sensibles.

"Quand la pièce attachée se met à rechercher des informations par mot clé, je sais que certains de mes concurrents veulent en savoir plus sur mes activités. Récemment, j'ai eu la désagréable surprise de me faire doubler dans le cadre d'une cotation sensible dans un pays. Par ailleurs, quand je place des gens en prestation de services, il se peut qu'ils soient appelés par la suite...", note notre lecteur.

Conscient des risques du secteur auquel il appartient et des méthodes de ses concurrents, notre interlocuteur averti crypte toutes ses données et nettoie chaque jour son système d'exploitation, mesures qui lui semblent suffire pour limiter les dégats.

Source : JDNet (Par Fabrice Deblock)