Le piratage catastrophique d'un fournisseur de services de messagerie détruit près de deux décennies de données
Relatives à des courriels

Le , par Patrick Ruiz

305PARTAGES

13  0 
VFEmail a, il y a peu, subi ce que l'entreprise appelle « destruction catastrophique » de la part d'un tiers encore inconnu qui est parvenu à détruire toutes les données primaires et de sauvegarde de l'entreprise aux États-Unis. D’après le fondateur de l’entreprise, c’est près de deux décennies de données relatives à des courriels qui sont perdues.

Fondée en 2001 et basée à Milwaukee dans le Wisconsin, VFEmail fournit un service de courrier électronique aux entreprises et aux particuliers. Les premiers signes de l'attaque ont fait surface le matin du 11 février lorsque le compte Twitter de l'entreprise a commencé à recevoir les rapports des utilisateurs qui disaient ne plus recevoir de messages. Quelques heures plus tard, une mise à jour tombait pour signaler que l’attaquant a tout formaté.

Citation Envoyé par VFEmail
À ce stade, l'attaquant a formaté tous les disques sur chaque serveur. Chaque machine virtuelle est perdue. Chaque serveur de fichiers est perdu, chaque serveur de sauvegarde est perdu. Curieusement, toutes les machines virtuelles ne partageaient pas la même clé d’authentification, mais toutes ont été détruites. C'était plus qu'une attaque par mots de passe multiples via ssh et il n'y avait pas de rançon. L'attaquant n'avait qu'un objectif : détruire.

Dans un autre de ses interventions sur une plateforme en ligne, le fondateur de l’entreprise explique que l’attaquant a fait usage de plusieurs moyens d’accès à l’infrastructure mail. Il vient d’après ce dernier que l’authentification à deux facteurs mises en place n’a pu suffire pour contenir l’assaut.

Citation Envoyé par Rick Romero
La méthode 2FA ne marche que dans le cas où la tentative d’accès se fait par authentification, mais dans le cas d’espèce il s’agit plutôt d’exploits. L’attaquant s’est appuyé sur trois moyens différents (au minimum) pour parvenir à ses fins
.
Le 11 février, une mise à jour est parue sur le site web de l’entreprise pour annoncer la reprise du service et que des efforts étaient faits pour récupérer les données des utilisateurs qui pourraient l’être.

Citation Envoyé par Rick Romero
Présentement, je ne suis pas sûr du statut du courrier existant pour les utilisateurs américains. Si vous avez votre propre client de messagerie, N'ESSAYEZ PAS DE LE FAIRE fonctionner. Si vous reconnectez votre client à votre nouvelle boîte aux lettres, tout votre courrier local sera perdu.
KrebsOnSecurity rapporte à propos des tentatives de récupération des données que l’entreprise a pu récupérer un disque de sauvegarde hébergé aux Pays-Bas, mais qu’il semble que les courriels des utilisateurs américains sont définitivement perdus. Un utilisateur de longue date de VFEmail confirme via le blog spécialisé en sécurité que l’attaque a entièrement effacé sa boîte aux lettres ; dans les chiffres, on parle de 60 000 courriels entrants et sortants.

Il est rare que des pirates informatiques prennent des mesures pour effacer (sans motivation apparente) toutes les données d'une entreprise, ce qui fait de l'épisode VFEmail un cas un peu à part. La plupart des attaques s'appuient généralement sur des serveurs compromis pour lancer des botnets, héberger des logiciels malveillants ou demander des rançons. En novembre 2015, l’entreprise a justement été la cible d'Armada Collective - un groupe de pirates qui exigeait des entreprises victimes des rançons pour arrêter des attaques DDoS.

La demande de rançon la plus importante jamais payée à ce jour est celle de Nayana. La société d'hébergement web sud-coréenne a versé 1 million de dollars en Bitcoin après que des intrus ont piraté son réseau et exécuté le logiciel de rançon Erebus qui cryptait les données sur des milliers de serveurs des clients.

En juin 2014, le fournisseur d'infrastructure en tant que service Code Spaces a été contraint de fermer ses portes après que des pirates ont également piraté ses serveurs et effacé ses serveurs.

Source : Twitter, KrebsOnSecurity

Et vous ?

Qu’en pensez-vous ?

Avez-vous une copie de sauvegarde de vos mails ou d'autres services en ligne que vous utilisez au cas où ?

Voir aussi :

Le ransomware WCry prend en otage des milliers d'ordinateurs dans une attaque d'envergure mondiale, des rançons de 300 $ minimum sont exigées

Petya/NotPetya serait un wiper déguisé en ransomware, son objectif serait de supprimer irrévocablement les données de ses victimes

Les données chiffrées par le ransomware Jaff, demandant jusqu'à 5000$ à ses victimes, sont déchiffrables gratuitement avec un outil de Kaspersky

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de transgohan
Expert éminent https://www.developpez.com
Le 13/02/2019 à 8:20
On comprends donc qu'ils n'avaient pas de sauvegardes ?
Ou bien que leurs sauvegardes n'étaient pas archivées ? (et donc que l'attaque a formaté les sauvegardes)
Incompétence totale... Cela me ferai peut d'avoir un sous-traitant comme ça.
Avatar de siick
Nouveau membre du Club https://www.developpez.com
Le 13/02/2019 à 8:49
On comprends donc qu'ils n'avaient pas de sauvegardes ?
Ou bien que leurs sauvegardes n'étaient pas archivées ? (et donc que l'attaque a formaté les sauvegardes)
Incompétence totale... Cela me ferai peut d'avoir un sous-traitant comme ça.
Je ne pense pas justement, quand je lis j'ai plutôt l'impression qu'il avait bien des sauvegardes mais qu'elles sont passés à la trappe aussi. Il a visiblement effacer TOUS les serveurs de l'entreprise.

l'attaquant a formaté tous les disques sur chaque serveur. Chaque machine virtuelle est perdue. Chaque serveur de fichiers est perdu, chaque serveur de sauvegarde est perdu.
Donc tu as beau sauvegarder sur d'autres serveurs et en plusieurs fois, si l'attaquant avait l'accès aux serveurs de sauvegarde, les sauvegardes ne servent à rien dans ce cas.
Avatar de Doksuri
Membre émérite https://www.developpez.com
Le 13/02/2019 à 8:58
Citation Envoyé par transgohan Voir le message
On comprends donc qu'ils n'avaient pas de sauvegardes ?
Ou bien que leurs sauvegardes n'étaient pas archivées ? (et donc que l'attaque a formaté les sauvegardes)
Incompétence totale... Cela me ferai peut d'avoir un sous-traitant comme ça.
sur le site, un message en rouge :
This person has destroyed all data in the US, both primary and backup systems.
Avatar de gallima
Membre habitué https://www.developpez.com
Le 13/02/2019 à 9:22
Citation Envoyé par siick Voir le message
... Donc tu as beau sauvegarder sur d'autres serveurs et en plusieurs fois ...
L'idée est de faire des copies sur bandes régulière via des robots de sauvegarde. Les bandes (cassettes) sont ensuite physiquement déplacés vers des centres de stockage adapté.
En terme de sauvegarde c'est aussi le plus rapide et le le moins chère.
Dans certains domaines (bancaire par exemple) cette pratique est même obligatoire.
Avatar de Folgore
Membre du Club https://www.developpez.com
Le 13/02/2019 à 9:41
Leur site est quand même d'une autre époque... Enfin, ils n'ont pas l'air d’être sortie des années 2000. Ca doit faire peur aussi au niveau de l'archi et la sécurité derrière. Bon vous me direz que l'habit fait pas le moine, mais en tant que client, un site c'est aussi office de vitrine et faut que ca respire le neuf

Vaux mieux qu'ils retirent aussi leur slogan du logo
Avatar de transgohan
Expert éminent https://www.developpez.com
Le 13/02/2019 à 10:20
Citation Envoyé par siick Voir le message
Donc tu as beau sauvegarder sur d'autres serveurs et en plusieurs fois, si l'attaquant avait l'accès aux serveurs de sauvegarde, les sauvegardes ne servent à rien dans ce cas.
C'est ce que je dis justement... C'est de l'amateurisme.
Voir la réponse de Gallima qui indique ce qui aurait du être fait et ce que je ciblais derrière le terme "archiver".
On doit toujours scinder sauvegardes et système en cours d'exécution.
Généralement on prévoit deux bâtiments différents.
Mais si c'est numérique, en réseau... Bah cela a beau être à deux endroits physique cela ne change rien au danger vu que c'est accessible au même moment de partout.
Par contre si c'est déconnecté du réseau alors il n'y a plus de souci et cela respecte bien les contraintes de sécurité.
Avatar de Mimoza
Membre actif https://www.developpez.com
Le 13/02/2019 à 10:52
Une sauvegarde «froide» leur aurait sauvé la mise en effet. A voir comment le formatage a été fait mais avec un bon outil de récupération de données il y a moyen de rattraper pas mal de choses.
Avatar de Anselme45
Membre éprouvé https://www.developpez.com
Le 13/02/2019 à 12:10
Cette histoire ne fait que prouver que la politique de plus en plus courante des entreprises consistant à déléguer toute la responsabilité de leur informatique et de leur données à des sociétés tierces n'est qu'une vaste connerie.

Pour des raisons d'économie apparentes (apparentes car la solution est économique tant qu'il n'y a pas un problème), les entreprises jouent leur pérennité au dé en se jetant dans les bras de prestataires sans même en vérifier la crédibilité (quand c'est possible car la plupart du temps, il est même impossible de s'assurer du sérieux du prestataire).

Pensée émue pour un client de ma connaissance qui a déplacé son ERP dans le cloud d'un prestataire qui se dit professionnel: Quand ce prestataire vous ouvre un accès à distance avec tous les droits administrateur, il vous envoie les login/password en clair dans un mail. Et de toute manière à quoi cela servirait d'intercepter ce mail quand le login=le nom de l'entreprise et le password = l'année en cours?
Avatar de abriotde
Membre éprouvé https://www.developpez.com
Le 13/02/2019 à 13:45
politique de plus en plus courante des entreprises consistant à déléguer toute la responsabilité de leur informatique et de leur données à des sociétés tierces n'est qu'une vaste connerie
Non, car si c'était fait en interne e serait très certainement encore moins bien sécurisé et sauvegardé. Si la quantité de données en internes n'est pas gigantesque la maintenance d'un tel système en interne n'est absolument pas rentable du coup son budget est sabré. Une entreprise dédié à tout intérêt à être bien sécurisé ce qui était le cas. La sauvegarde sur bande et/ou déconnecté du réseau est très rarement mise en place on préférera pour beaucoup moins cher ajouter des obstacles.
Avatar de transgohan
Expert éminent https://www.developpez.com
Le 13/02/2019 à 16:05
La sauvegarde sur bande et/ou déconnecté du réseau est très rarement mise en place on préférera pour beaucoup moins cher ajouter des obstacles.
Aucune sécurité n'est parfaite...
Quand au coût... La blague je dis moi !
Quand on voit le coût d'un simple cron pour dupliquer le contenu d'un disque dur couplé à un système qui coupe physiquement un câble ethernet d'une seconde carte réseau...
A heure dite on reconnecte la liaison réseau, le cron se met en route un peu après, et ça recoupe le lien réseau après un temps qui est plus grand que le temps de copie.
On a ainsi un système de sauvegarde connecté périodiquement au réseau système et de manière autonome...
Et niveau coût n'importe qui dans son garage peut le faire.

Entre payer des ingénieurs sécurité pendant plusieurs mois pour blinder le système et mettre en place des choses simples...
La coupure physique sera toujours la meilleure solution.
Alors certes là on a une coupure qui n'est que partielle (du fait du temps de la copie) mais on peut imaginer couper le lien vers le réseau externe de la même façon durant la copie pour peu qu'on ai d'autres serveurs qui soient en redondances ailleurs pour que le client ait toujours son service en ligne.
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web