correctifs Antidote chapitre 1
This commit is contained in:
Francois Pelletier
parent
d2f1401ab2
commit
e6f044bb34
1 changed files with 29 additions and 29 deletions
|
|
@ -1,8 +1,8 @@
|
|||
# Une attaque par rançongiciel
|
||||
|
||||
L'attaque par rançongiciel, c'est une prise d'otage de données personnelles. Pour ce faire, ce logiciel va les chiffrer et ensuite afficher un message demandant une rançon. Il y aura la plupart du temps une promesse de déchiffrer les données dans celui-ci.
|
||||
L'attaque par rançongiciel, c'est une prise d'otage de données personnelles. Pour ce faire, ce logiciel va les chiffrer et ensuite afficher un message qui demande une rançon. Il y aura la plupart du temps une promesse de déchiffrer les données dans celui-ci.
|
||||
|
||||
La somme due sera en général exigée sous la forme de cryptomonnaie. Dans tous les cas, les autorités recommandent de ne jamais la payer.
|
||||
Les pirates exigeront la somme due sous la forme de cryptomonnaie. Dans tous les cas, les autorités recommandent de ne jamais la payer.
|
||||
|
||||
|
||||
|
||||
|
|
@ -10,56 +10,56 @@ La somme due sera en général exigée sous la forme de cryptomonnaie. Dans tous
|
|||
|
||||
### Développer une stratégie de sauvegarde efficace
|
||||
|
||||
Un système qui a été infecté par un rançongiciel est souvent cassé et devra être entièrement formaté. C'est pourquoi il est important de sauvegarder nos fichiers sur au moins deux supports différents :
|
||||
Un système infecté par un rançongiciel est souvent cassé et devra être entièrement formaté. C'est pourquoi il est important de sauvegarder nos fichiers sur au moins deux supports différents :
|
||||
|
||||
- En ligne, sur un service infonuagique protégée par la cryptographie. L'outil [Borg](https://borgbackup.readthedocs.io/en/stable/), que nous recommandons, permet d'appliquer cette stratégie.
|
||||
- Une copie physique sur un appareil de stockage tel qu'un disque dur portatif, une clé USB ou un autre ordinateur.
|
||||
|
||||
Pour faciliter cette tâche, nous suggérons le logiciel rsync. Pour avoir un aperçu de son utilisation, notre guide de juillet 2021, Partir en vacances l’esprit tranquille, propose un survol de cet outil. Il est disponible à cette adresse : [https://jevalide.ca/2021/07/27/guide-pratique-partir-en-vacances-lesprit-tranquille/](https://jevalide.ca/2021/07/27/guide-pratique-partir-en-vacances-lesprit-tranquille/).
|
||||
Pour faciliter cette tâche, nous suggérons le logiciel rsync. Pour avoir un aperçu de son utilisation, notre guide de juillet 2021, Partir en vacances l’esprit tranquille, propose un survol de cet outil. Vous pouvez l'obtenir à cette adresse : [https://jevalide.ca/2021/07/27/guide-pratique-partir-en-vacances-lesprit-tranquille/](https://jevalide.ca/2021/07/27/guide-pratique-partir-en-vacances-lesprit-tranquille/).
|
||||
|
||||
Une sauvegarde peut avoir été contaminée par un rançongiciel détecté tardivement. Pour contrer ce risque, il est recommandé d'avoir, en complément, une méthode incrémentale. Cette dernière conservera automatiquement une copie des versions antérieures des fichiers.
|
||||
Une sauvegarde peut avoir été contaminée par un rançongiciel détecté tardivement. Pour contrer ce risque, nous recommandons de prévoir, en complément, une méthode incrémentale. Cette dernière conservera automatiquement une copie des versions antérieures des fichiers.
|
||||
|
||||
Assurez-vous de vous exercer régulièrement à la restauration de vos sauvegardes et de mettre en place une procédure simple à suivre. Si un incident survient, vous aurez bien d'autres soucis que vous remémorer cette procédure!
|
||||
|
||||
Un outil de collaboration tel que [Nextcloud](https://docs.nextcloud.com/server/latest/user_manual/en/files/version_control.html), permet de préserver plusieurs versions des fichiers de manière transparente. Sans être logiciel de sauvegarde, il peut être un maillon important dans la chaîne de sécurisation.
|
||||
Un outil de collaboration tel que [Nextcloud](https://docs.nextcloud.com/server/latest/user_manual/en/files/version_control.html), permet de préserver plusieurs versions des fichiers de manière transparente. Sans être logiciel de sauvegarde, il peut être un maillon important dans la chaine de sécurisation.
|
||||
|
||||
Afin de limiter l'exposition à des données personnelles, essayez de les garder le moins longtemps possible sur votre ordinateur de travail. Préférez toujours un support déconnecté pour celles-ci, comme un disque dur ou une clé USB. Deux copies valent mieux qu'une dans ce cas !
|
||||
Afin de limiter l'exposition à des données personnelles, essayez de les garder le moins longtemps possible sur votre ordinateur de travail. Préférez toujours un support déconnecté pour celles-ci, comme un disque dur ou une clé USB. Deux copies valent mieux qu'une dans ce cas!
|
||||
|
||||
Pour avoir plus de détails sur les différentes stratégies, nous vous invitons à consulter le guide intitulé **Les 3 types de sauvegardes** publié en août 2021 à cette adresse : [https://jevalide.ca/2021/08/09/les-3-types-de-sauvegardes-guide-pdf-aout-2021/](https://jevalide.ca/2021/08/09/les-3-types-de-sauvegardes-guide-pdf-aout-2021/)
|
||||
Pour avoir plus de détails sur les différentes stratégies, nous vous invitons à consulter le guide intitulé **Les 3 types de sauvegardes** publié en aout 2021 à cette adresse : [https://jevalide.ca/2021/08/09/les-3-types-de-sauvegardes-guide-pdf-aout-2021/](https://jevalide.ca/2021/08/09/les-3-types-de-sauvegardes-guide-pdf-aout-2021/)
|
||||
|
||||
### Éviter les fichiers et liens suspects
|
||||
|
||||
Plusieurs types de contenus peuvent être suspects, tout particulièrement les liens et les pièces jointes dans les courriels et sur les sites Internet à réputation faible.
|
||||
|
||||
Un programme de sensibilisation aux courriels douteux est une bonne première étape, s'il est bien fait. Les fraudeurs utilisent maintenant des techniques sophistiquées, alors les campagnes improvisées avec des courriels factices pleins de fautes d'orthographe et affichant un mauvais logo ne sont plus suffisantes pour des fins de dissuasion. Il faut réussir à prendre au piège le plus d'employés possible avec du réalisme pour avoir un impact.
|
||||
Un programme de sensibilisation aux courriels douteux est une bonne première étape, s'il est bien fait. Les groupes cybercriminels utilisent maintenant des techniques sophistiquées, alors les campagnes improvisées avec des courriels factices pleins de fautes d'orthographe et affichant un mauvais logo ne sont plus suffisantes pour des fins de dissuasion. Il faut réussir à prendre au piège le plus de notre personnel possible avec du réalisme pour avoir un impact.
|
||||
|
||||
Privilégiez, dans vos communications avec la clientèle et les entreprises, des contenus simples, en texte seulement, et évitez en tout temps les pièces jointes qui peuvent inclure du code exécutable, comme les fichiers de type Office.
|
||||
|
||||
Dans tous les cas, n'ouvrez jamais de ces fichiers reçus par courriel provenant d'une source externe, même si c'est un de vos contacts. Préférez utiliser un système de partage convenu à l'avance.
|
||||
Dans tous les cas, n'ouvrez jamais de ces fichiers reçus par courriel qui proviennent d'une source externe, même si c'est un de vos contacts. Préférez utiliser un système de partage convenu à l'avance.
|
||||
|
||||
### Valider l'authenticité et l'intégrité des fichiers exécutables téléchargés
|
||||
|
||||
Lorsque vous devez ouvrir un fichier exécutable provenant de l'externe, assurez-vous de valider les sommes de contrôle de celui-ci. Ceci peut être réalisé avec l'utilitaire `shasum`, sur Linux et macOS, depuis le terminal.
|
||||
Lorsque vous devez ouvrir un fichier exécutable téléchargé de l'externe, assurez-vous de valider les sommes de contrôle de celui-ci. Ceci peut être réalisé avec l'utilitaire `shasum`, sur Linux et macOS, depuis le terminal.
|
||||
|
||||
```{bash}
|
||||
shasum -a 1 <fichier>
|
||||
```
|
||||
|
||||
Sur Windows, on utilise le logiciel `certutil` comme suit, depuis l'invite de commandes ou PowerShell.
|
||||
Sur Windows, vous utilisez le logiciel `certutil` comme suit, depuis l'invite de commandes ou PowerShell.
|
||||
|
||||
```{powershell}
|
||||
certutil -hashfile <fichier> SHA1
|
||||
```
|
||||
|
||||
Évitez d'ouvrir des fichiers exécutables qui ne possèdent pas ces sommes de contrôle. C'est souvent signe que c'est un logiciel amateur qui n'est probablement pas sécurité adéquatement.
|
||||
Évitez d'ouvrir des fichiers exécutables qui ne possèdent pas ces sommes de contrôle. C'est souvent signe que c'est un logiciel amateur qui n'est probablement pas sécurisé adéquatement.
|
||||
|
||||
### Effectuer la mise à jour périodique de tous ses logiciels et appareils
|
||||
|
||||
Nous ne pourrons jamais autant le répéter! Un des meilleurs moyens de garder son poste ou ses serveurs en sécurité, c'est de faire les mises à jour le plus fréquemment possible. Idéalement, celles-ci sont effectuées tous les jours. Dans le pire des cas, mensuellement.
|
||||
Nous ne pourrons jamais autant le répéter! Un des meilleurs moyens de garder son poste ou ses serveurs en sécurité, c'est de faire les mises à jour le plus fréquemment possible. Idéalement, celles-ci sont effectuées tous les jours. Dans le pire des cas, vous devriez le faire mensuellement.
|
||||
|
||||
Une règle d'or: aucun système qui n'a pas été mis à jour depuis plus d'un mois ne devrait se connecter à Internet. Point!
|
||||
Une règle d'or : aucun système qui n'a pas été mis à jour depuis plus d'un mois ne devrait se connecter à Internet. Point!
|
||||
|
||||
Sur Windows, en plus des mises à jour du système, avec Windows Update, il faut faire le tour de chacun des logiciels installés. Heureusement, de plus en plus de logiciels proposent de vérifier la présence de nouvelles versions lors de leur ouverture. Si cette option est disponible, activez-là!
|
||||
Sur Windows, en plus des correctifs du système, avec Windows Update, il faut faire le tour de chacun des logiciels installés. Heureusement, de plus en plus proposent de vérifier la présence de nouvelles versions lors de leur ouverture. Si cette option est disponible, activez-là!
|
||||
|
||||
### Utiliser des mots de passe robustes et uniques
|
||||
|
||||
|
|
@ -69,26 +69,26 @@ Il peut être difficile de retenir plusieurs mots de passe. Cependant, il existe
|
|||
|
||||
### Utiliser l'authentification à facteurs multiples
|
||||
|
||||
L'authentification à facteurs multiples permet d'éviter à quelqu'un qui aurait accès à votre mot de passe de se connecter sans pouvoir vérifier un autre élément. Il faut la privilégier sur tous les comptes en ligne où cette option est disponible.
|
||||
L'authentification à facteurs multiples permet d'éviter à quelqu'un qui aurait accès à votre mot de passe de se connecter sans pouvoir contrôler un autre élément. Il faut la privilégier sur tous les comptes en ligne où cette option est disponible.
|
||||
|
||||
Cette vérification peut être biométrique, avec une empreinte digitale, par un SMS ou avec une application mobile de génération de mots de passe à usage unique basés sur le temps (Time-based one-time password, TOTP). L'application libre [FreeOTP+](https://f-droid.org/en/packages/org.liberty.android.freeotpplus/) pour Android facilite cette tâche. De plus, il est possible d'effectuer une sauvegarde de celle-ci facilement.
|
||||
Sur iOS, l'application [FreeOTP Authenticator](https://apps.apple.com/in/app/freeotp-authenticator/id872559395), une version antérieure, effectue un travail similaire.
|
||||
Cette vérification peut être biométrique, avec une empreinte digitale, par un SMS ou avec une appli mobile de génération de mots de passe à usage unique basés sur le temps (Time-based one-time password, TOTP). [FreeOTP+](https://f-droid.org/en/packages/org.liberty.android.freeotpplus/) pour Android facilite cette tâche. De plus, il est possible d'effectuer une sauvegarde de celle-ci vers un autre appareil.
|
||||
Sur iOS, [FreeOTP Authenticator](https://apps.apple.com/in/app/freeotp-authenticator/id872559395), une version antérieure, fait un travail similaire.
|
||||
|
||||
Il existe aussi des clés physiques, telles que la [Yubikey](https://www.yubico.com/?lang=fr), qui permettent d'augmenter la fluidité de l'expérience utilisateur.
|
||||
|
||||
### Activer le pare-feu de son ordinateur et de son routeur
|
||||
|
||||
Le pare-feu est un système qui permet d'ouvrir et de fermer des ports, c'est à dire des adresses pour faire entrer ou sortir de l'information entre votre ordinateur et un réseau informatique. Plus il y a de ports ouverts, plus il y a d’occasions pour faire entrer un logiciel malveillant dans votre ordinateur. C'est donc une bonne pratique de laisser ouvert seulement ce qui est absolument requis.
|
||||
Le pare-feu est un système qui permet d'ouvrir et de fermer des ports, c'est à dire des adresses pour faire entrer ou sortir de l'information entre votre ordinateur et un réseau informatique. Plus il y en a d'ouverts, plus il y a d’occasions pour qu'un logiciel malveillant pénètre dans votre poste de travail. C'est donc une bonne pratique de laisser passer seulement ce qui est absolument requis.
|
||||
|
||||
Sur Windows, on peut accéder aux paramètres du pare-feu Defender en utilisant la commande suivante dans le navigateur Edge
|
||||
Sur Windows, vous accédez aux paramètres du pare-feu Defender en utilisant la commande suivante dans le navigateur Edge
|
||||
|
||||
```
|
||||
ms-settings:windowsdefender
|
||||
```
|
||||
|
||||
Windows vous suggèrera fortement d'ouvrir un compte OneDrive pour augmenter la sécurité. Mais, sachez que vous pouvez tout autant utiliser Nextcloud sur votre propre serveur privé sans avoir à décaisser autant. Vérifiez surtout que les autres options affichées sont activées.
|
||||
Windows vous suggèrera fortement de créer un compte OneDrive pour augmenter la sécurité. Mais, sachez que vous pouvez tout autant utiliser Nextcloud sur votre propre serveur privé sans avoir à payer de licence mensuelle dispendieuse. Vérifiez surtout que les autres options affichées sont activées.
|
||||
|
||||
Windows est un système intrusif, donc beaucoup de ports sont ouverts par défaut, et il peut être difficile de savoir lesquels peuvent être fermés sans une expertise en administration Windows. Vous pouvez tout de même obtenir un aperçu en cliquant sur **Paramètres avancés** dans la fenêtre du pare-feu.
|
||||
Windows est un système intrusif qui communique énormément avec Microsoft, donc beaucoup de ports sont ouverts par défaut. Il peut être difficile de déterminer lesquels peuvent être fermés sans une expertise en administration Windows. Nous pouvons tout de même obtenir un aperçu en cliquant sur **Paramètres avancés** dans la fenêtre du pare-feu.
|
||||
|
||||
|
||||
|
||||
|
|
@ -102,7 +102,7 @@ Sur Linux, le pare-feu par défaut est `iptables`. Il requiert une certaine expe
|
|||
sudo systemctl enable ufw
|
||||
```
|
||||
|
||||
Pour s'assurer qu'il est activé, on consulte le statut détaillé
|
||||
Pour nous assurer qu'il est activé, nous consultons le statut détaillé
|
||||
|
||||
```bash
|
||||
sudo ufw status verbose
|
||||
|
|
@ -117,27 +117,27 @@ Default: deny (incoming), allow (outgoing), disabled (routed)
|
|||
New profiles: skip
|
||||
```
|
||||
|
||||
Ensuite, pour ouvrir les ports, on peut utiliser le numéro du port ou le nom du service, tel que listé dans le fichier `/etc/services`.
|
||||
Ensuite, pour ouvrir les ports, nous utilisons le numéro ou le nom du service, tel que listé dans le fichier `/etc/services`.
|
||||
|
||||
## Trop tard... Quoi faire, maintenant?
|
||||
|
||||
### Couper l'accès au réseau
|
||||
|
||||
La première chose à faire, lors de toute détection d'attaque par rançongiciel ou de comportement suspect, comme la disparition de fichiers, est de couper l'accès au réseau. Commencez par déconnecter le câble réseau et couper le réseau sans fil en éteignant le routeur. Sinon, il faut fermer le réseau depuis l'interface graphique du routeur, ce qui peut être ardu sur un réseau d'entreprise.
|
||||
La première chose à faire, lors de toute détection d'attaque par rançongiciel ou de comportement suspect, comme la disparition de fichiers, est de couper l'accès au réseau. Commencez par déconnecter le câble et éteindre le wifi en débranchant le routeur. Sinon, il faut le fermer depuis son interface graphique, ce qui peut être ardu en entreprise.
|
||||
|
||||
### Aviser les autorités
|
||||
|
||||
Si vous recevez une demande de rançon, prenez-la en photo avec votre appareil mobile ou un appareil photo. Ne payez rien. Communiquez avec la police et une ou un spécialiste en cybersécurité. Ces derniers voudront probablement accéder à vos systèmes pour effectuer une analyse en criminalistique numérique. Il sera possible de restaurer les fichiers chiffrés, si le rançongiciel utilisé a été décodé.
|
||||
Si vous recevez une demande de rançon, capturez l'écran avec votre mobile ou un appareil photo. Ne payez rien. Communiquez avec la police et une ou un spécialiste en cybersécurité. Ces derniers voudront probablement accéder à vos systèmes pour effectuer une analyse en criminalistique numérique. Il sera possible de restaurer les fichiers chiffrés, si le rançongiciel utilisé a été décodé.
|
||||
|
||||
### Formater le système infecté
|
||||
|
||||
Une fois qu'un système infecté a été désamorcé, il sera possible de le réinstaller. Dans ce cas, il est préférable de formater les disques avec une méthode aléatoire, puis de tout réinstaller. Il faut tout de même s'assurer que le rançongiciel ne s'est pas installé dans une des parties critiques du système, tel que le gestionnaire d'amorçage. Pour ce faire, on devra attendre les résultats de l'enquête en criminalistique numérique.
|
||||
Une fois qu'un système infecté a été neutralisé, il sera possible de le réinstaller. Dans ce cas, il est préférable de formater les disques avec une méthode de remplissage aléatoire. Il faut tout de même s'assurer que le rançongiciel ne s'est pas installé dans une des parties critiques du système, tel que le gestionnaire d'amorçage. Pour ce faire, nous devrons attendre les résultats de l'enquête en criminalistique numérique.
|
||||
|
||||
### Effectuer une restauration
|
||||
|
||||
Localisez votre sauvegarde la plus récente et planifiez une restauration de celle-ci sur un autre réseau informatique que celui qui a été infecté, afin de, par exemple, publier en ligne un site web le plus rapidement possible. Ce peut être l'occasion de louer un serveur infonuagique temporaire pour se remettre sur pied.
|
||||
|
||||
Sur Windows, il peut être difficile de restaurer un système sur une autre machine. On voudra alors utiliser, au besoin, la fonctionnalité intégrée, qui se nomme le point de restauration. Elle est disponible depuis les Propriétés système, dans la section Protection du système.
|
||||
Avec Windows, ça peut être difficile de reproduire un système sur une autre machine. Nous voudrons alors utiliser, au besoin, la fonction intégrée, qui se nomme le point de restauration. Elle est disponible depuis les Propriétés système, dans la section Protection du système.
|
||||
|
||||
|
||||
|
||||
|
|
|
|||
Loading…
Reference in a new issue