|
Conduite à tenir en cas d’incident de sécurité
Intrusion
On considère qu'il y a intrusion sur un système d'information lorsqu'une personne réussit à obtenir un accès non autorisé sur ce système.
Toute intrusion avérée doit donner lieu à une déclaration d’incident (se référer à la procédure, ci-dessous). La conservation des traces éventuelles laissées par l’attaquant est, d’autre part, nécessaire.
Moyens d’intrusion
Une intrusion sur une machine, quel que soit son système d’exploitation (windows, linux, macos …), est possible lorsque l’une des conditions suivantes est vérifiée :
- Une faille de sécurité vient d’être découverte et il n’existe pas encore de correctif disponible (ou bien le correctif n’a pas encore été appliqué).
Pour comprendre ce risque, il faut garder à l’esprit les faits suivants :
-
Une machine peut être attaquée par l’intermédiaire de paquets envoyés sur le réseau. Un ver, par exemple, se propage de cette façon.
-
La mise en place d’un pare-feu aide à réduire le risque, mais on ne peut y avoir recours lorsque les adresses IP des machines autorisées à se connecter ne sont pas connues à l’avance et que l’accès à un service ne requiert pas d’authentification préalable (ex : serveur web).
-
Quand vous travaillez connectés sur le réseau du campus votre machine est protégée des attaques les plus répandues. Mais si vous utilisez un PC portable que vous connectez à votre domicile ou surd’autres réseaux, il peut éventuellement être attaqué à votre insu, puis contaminer les machines de votre laboratoire une fois reconnecté sur le réseau Jussieu. Avec le système windows, l’installation des mises à jour (windows update) et l’activation d’un logiciel antivirus sont absolument nécessaires.
-
En général, lorsqu’il existe des programmes disponibles sur internet permettant d’exploiter facilement et à grande échelle une faille de sécurité non corrigée, un avis d’alerte est publié par le CERT et le CERTA, ne les ignorez pas…
Pour diminuer l’impact d’une intrusion :
-
Un utilisateur installe sur sa machine, sans y prendre garde, un programme malveillant en cliquant sur un lien figurant sur un site web,oubien parce qu’il a ouvertune pièce jointe à un courriel apparemment envoyé par un correspondant connu.
-
Le champ expéditeur (from) d’un courriel ne garantit en aucune manière l’identité de l’émetteur.
-
Le programme, une fois installé, peut effectuer des actions malveillantes (destructions de données, vol d’identifiants) et tenter de se propager sur d’autres machines accessibles par le réseau. Il peut aussi permettre à l’attaquant de se connecter à distance (cheval de Troie ou backdoor).
-
Afin de minimiser les conséquences de ce type d’intrusion, il est vivement recommandé de travailler au quotidien avec un compte utilisateur n’ayant pas de privilèges administrateur
- Une intrusion peut aussi avoir lieuà la suite d’un vol (ordinateur portable, clé USB, mot de passe …).
-
Par exemple, si un utilisateur conserve sur son portable des identifiants de connexion non protégés, un voleur pourra usurper son identité pour tenter d’avoir accès à des systèmes d’information sécurisés.
Découverte d’une intrusion
Souvent, le trafic anormal généré par une machine piratée est détecté par le pôle logistique de la DSI ou bien par le CERT-Renater et le correspondant du laboratoire est alors alerté par courriel.
Certains signes permettent, cependant, de soupçonner qu’une machine a été piratée, par exemple :
Procédure à suivre en cas d’intrusion sur une machine
En cas de dépôt de plainte, il faut impérativement conserver l’original du disque de la machine piratée et le remettre aux enquêteurs. Dans tous les autres cas il faudra réaliser une copie du disque.
Déconnecter la machine du réseau et alerter la chaine fonctionnelle
-
déconnectez la machine du réseau pour stopper l’attaque en cours, mais ne la redémarrez pas avant d’avoir collecté les traces éventuelles de l’activité de l’attaquant.
-
prévenez le correspondant sécurité de votre laboratoire
-
prévenez rapidement le directeur de votre laboratoire,en particulier si un dépôt de plainte risque d’avoir lieu.
-
-
En cas de tutelles multiples, prévenir les homologues RSSI des autres tutelles. Pour le CNRS envoyez un courriel à : crssi-drd2@services.cnrs.fr
Collecter les traces
-
Suivez la procédure correspondant au système d’exploitation de la machine piratée que vous trouverez ici. ( windows.zip, macosx-10.5.zip et linux.zip)
-
Faîtes une copie physique de votre disque (suivez l'un de ces liens pour plus d’informations : windows-linux ou macosx)
-
Recherchez des traces pouvant être collectées sur des équipements réseau : pare-feux, routeurs, sondes de détectiond'intrusion, etc..
-
Consultez les bulletins du CERT-RENATER et du CERTA afin d’identifier éventuellement le vecteur d’intrusion ou la faille utilisés par l’attaquant.
-
Remplissez et envoyez la fiche de déclaration d’incidents ( fichier pdf) au CERT-RENATER et transmettez une copie à rssi@upmc.fr ainsi qu’aux RSSI des autres tutelles.
-
Nous vous conseillons de noter toutes les commandes que vous aurez effectuées.
Aspects légaux d’une intrusion
Seul le président de l’UPMC, personne juridiquement responsable, est habilité à déposer plainte en cas d’attaque du système d’information de l’UPMC.
Inversement, les dégâts causés à un organisme tiers à partir du SI de l’UPMC peuvent donner lieu à des poursuites à l’encontre de l’UPMC.
Il faut noter, qu’en cas de poursuites pénales,la mise en cause de la responsabilité d’un administrateur ou d’un utilisateur peut être engagée.
Repartir sur des bases saines après l’intrusion
- Réinstallez complètement le système d’exploitation à partir d’une distribution saine après avoir reformater le disque de la machine si vous le réutilisez.
- Appliquez tous les correctifs de sécurité préconisés pour le système d'exploitation et les logiciels utilisés avant de reconnecter la machine sur le réseau.
- Supprimez tous les services inutiles.
- Activez un pare-feu local.
- Restaurez les données d'après une copie de sauvegarde non compromise.
- Changez tous les mots de passe du système d'information.
|
