> Tech > Arrêter l’hémorragie : un plan de reprise après piratage

Arrêter l’hémorragie : un plan de reprise après piratage

Tech - Par iTPro - Publié le 24 juin 2010
email

Si vous constatez que l’un de vos systèmes a été piraté, ne paniquez pas. Gardez votre sang froid et procédez de manière logique. Le plan d’action ci-après vous aidera à limiter les dégâts.

  • Isoler le réseau. Fermez toutes les interfaces externes du réseau, y compris Internet, WAN, VPN

et les connexions commutées. Et déconnectez également toutes les lignes provenant des routeurs, des AP (Access Points) sans fil et de tout autre appareil qui relie le réseau au monde extérieur. Ce genre d’action peut stopper net une attaque en cours et empêcher l’intrus de compromettre d’autres systèmes.

  • Effectuer un balayage sans fil. A l’aide d’un renifleur sans fil comme Airscanner Mobile Sniffer ou NetStumbler de NetStumbler.com, localisez les éventuels AP douteux dans le secteur. Veillez à installer le renifleur sur une carte compatible avec tous les standards sans fil classiques (c’est-à-dire, 802.11a, 802.11b et 802.11g).
  • Voir si d’autres machines sont compromises. Utilisez les techniques de cet article pour voir si d’autres machines ont été piratées.
  • Revoir la configuration du pare-feu. Recherchez les règles non autorisées, les ports ouverts non autorisés vers le monde extérieur, et les règles NAT (Network Address Translation) non autorisées. Voyez si les journaux du pare-feu ne signalent aucune activité suspecte. A cet égard, il est bon de toujours restreindre le trafic sortant aux seuls ports de sortie nécessaires, et de s’assurer que seuls les ordinateurs autorisés peuvent envoyer du courrier sortant au travers du pare-feu.
  • Inspecter l’AD. Recherchez d’éventuels comptes utilisateur non autorisés et, si vous en trouvez, désactivez-les.
  • Changer les mots de passe de tous les comptes sur le réseau. Pour les comptes à privilèges élevés, créez un mot de passe (ou une phrase de passe) d’au moins 15 caractères. Les mots de passe de cette longueur sont difficiles à percer parce que les totaux des mots de passe LM (LAN Manager) ne sont pas stockés sur le serveur pour les mots de plus de 14 caractères.
  • Remplacer les disques durs sur les ordinateurs piratés. Le remplacement des disques isole l’activité de piratage. Vous pourrez ensuite examiner calmement les données des anciens disques pour recueillir des indices à propos de l’attaque.
  • Identifier et traiter la vulnérabilité. Essayez de déterminer comment le pirate a pu accéder au réseau. C’est souvent plus facile à dire qu’à faire (et hors du cadre de cet article). Si vous ne parvenez pas à identifier le maillon faible, songez à demander l’aide d’un conseiller en sécurité spécialiste.
  • Reconstruire la machine compromise. Il est presque impossible de nettoyer entièrement un ordinateur piraté. Si un ou plusieurs outils de piratage restent sur la machine, l’intrus peut à nouveau accéder à celle-ci. Le seul moyen d’obtenir un ordinateur propre et net consiste à formater le disque dur et à reconstruire la machine à partir de zéro. On veillera bien sûr à ne restaurer aucun des outils de piratage précédemment installés. Il faut réinstaller tous les programmes à partir des CD-ROM, installer manuellement les éventuels correctifs, et ne restaurer que les fichiers de données. Il ne faut jamais restaurer à partir d’une bande, le registre, l’OS, ni aucun programme.
  • Effectuer une recherche de virus complète sur toutes les machines. Sachez que les logiciels antivirus considèrent parfois les outils de piratage comme des programmes légitimes. Si le logiciel antivirus considère une machine propre alors que vous la soupçonnez d’avoir été piratée, il vaut mieux reconstruire la machine en partant de zéro.
  • Reconnecter la ligne WAN. Reconnectez et supervisez soigneusement les lignes WAN pour être certains d’avoir fermé les trous sur votre réseau. Surveillez tout usage intensif de bande passante sur le réseau, examinez de près les journaux du pare-feu et activez l’audit de sécurité sur tous les serveurs.
  • Faire l’autopsie des disques durs piratés. Installez les disques durs piratés sur un ordinateur autonome et examinez-les pour recueillir plus d’informations sur le piratage. Bien que les intrus bricolent souvent leurs adresses IP, l’adresse IP est un bon point de départ pour remonter à la source de l’attaque. Vous pouvez obtenir la liste des allocations d’adresses IP auprès du site Web de l’IANA (Internet Assigned Numbers Authority) à http://www. iana.org.
  • Notifier les autorités. Aux Etats-Unis, le FBI gère l’Internet Fraud Complaint Center (IFCC – http://www .ifccfbi.gov/index.asp) pour signaler toute activité suspecte sur Internet, et la plupart des bureaux du FBI ont des CAT (Cyber Action Teams). Personne n’aime admettre avoir été piraté, mais le fait de le signaler aux autorités compétentes peut empêcher un pirate de continuer à nuire. Aux Etats-Unis, le bureau FBI local peut être contacté à http://www.fbi. gov/contact/fo/fo.htm. Vous pouvez utiliser ces étapes pour concevoir un plan de reprise personnalisé après piratage. Adaptez les étapes à votre organisation et intégrezles au plan de reprise après sinistre.
  • Téléchargez gratuitement cette ressource

    Guide Startup : 5 leviers pour consolider votre croissance

    Guide Startup : 5 leviers pour consolider votre croissance

    Créer une startup, c’est une aventure. Pour maximiser les chances de succès, il faut pouvoir rêver les pieds sur terre. Bénéficiez d'une feuille de route infographique complète pour mettre en œuvre un parcours de croissance robuste et pérenne avec SAP Business One & ERT Intégration - groupe kardol.

    Tech - Par iTPro - Publié le 24 juin 2010