Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Le piratage catastrophique d'un fournisseur de services de messagerie détruit près de deux décennies de données
Relatives à des courriels

Le , par Patrick Ruiz

479PARTAGES

13  0 
VFEmail a, il y a peu, subi ce que l'entreprise appelle « destruction catastrophique » de la part d'un tiers encore inconnu qui est parvenu à détruire toutes les données primaires et de sauvegarde de l'entreprise aux États-Unis. D’après le fondateur de l’entreprise, c’est près de deux décennies de données relatives à des courriels qui sont perdues.

Fondée en 2001 et basée à Milwaukee dans le Wisconsin, VFEmail fournit un service de courrier électronique aux entreprises et aux particuliers. Les premiers signes de l'attaque ont fait surface le matin du 11 février lorsque le compte Twitter de l'entreprise a commencé à recevoir les rapports des utilisateurs qui disaient ne plus recevoir de messages. Quelques heures plus tard, une mise à jour tombait pour signaler que l’attaquant a tout formaté.

Citation Envoyé par VFEmail
À ce stade, l'attaquant a formaté tous les disques sur chaque serveur. Chaque machine virtuelle est perdue. Chaque serveur de fichiers est perdu, chaque serveur de sauvegarde est perdu. Curieusement, toutes les machines virtuelles ne partageaient pas la même clé d’authentification, mais toutes ont été détruites. C'était plus qu'une attaque par mots de passe multiples via ssh et il n'y avait pas de rançon. L'attaquant n'avait qu'un objectif : détruire.

Dans un autre de ses interventions sur une plateforme en ligne, le fondateur de l’entreprise explique que l’attaquant a fait usage de plusieurs moyens d’accès à l’infrastructure mail. Il vient d’après ce dernier que l’authentification à deux facteurs mises en place n’a pu suffire pour contenir l’assaut.

Citation Envoyé par Rick Romero
La méthode 2FA ne marche que dans le cas où la tentative d’accès se fait par authentification, mais dans le cas d’espèce il s’agit plutôt d’exploits. L’attaquant s’est appuyé sur trois moyens différents (au minimum) pour parvenir à ses fins
.
Le 11 février, une mise à jour est parue sur le site web de l’entreprise pour annoncer la reprise du service et que des efforts étaient faits pour récupérer les données des utilisateurs qui pourraient l’être.

Citation Envoyé par Rick Romero

Présentement, je ne suis pas sûr du statut du courrier existant pour les utilisateurs américains. Si vous avez votre propre client de messagerie, N'ESSAYEZ PAS DE LE FAIRE fonctionner. Si vous reconnectez votre client à votre nouvelle boîte aux lettres, tout votre courrier local sera perdu.
KrebsOnSecurity rapporte à propos des tentatives de récupération des données que l’entreprise a pu récupérer un disque de sauvegarde hébergé aux Pays-Bas, mais qu’il semble que les courriels des utilisateurs américains sont définitivement perdus. Un utilisateur de longue date de VFEmail confirme via le blog spécialisé en sécurité que l’attaque a entièrement effacé sa boîte aux lettres ; dans les chiffres, on parle de 60 000 courriels entrants et sortants.

Il est rare que des pirates informatiques prennent des mesures pour effacer (sans motivation apparente) toutes les données d'une entreprise, ce qui fait de l'épisode VFEmail un cas un peu à part. La plupart des attaques s'appuient généralement sur des serveurs compromis pour lancer des botnets, héberger des logiciels malveillants ou demander des rançons. En novembre 2015, l’entreprise a justement été la cible d'Armada Collective - un groupe de pirates qui exigeait des entreprises victimes des rançons pour arrêter des attaques DDoS.

La demande de rançon la plus importante jamais payée à ce jour est celle de Nayana. La société d'hébergement web sud-coréenne a versé 1 million de dollars en Bitcoin après que des intrus ont piraté son réseau et exécuté le logiciel de rançon Erebus qui cryptait les données sur des milliers de serveurs des clients.

En juin 2014, le fournisseur d'infrastructure en tant que service Code Spaces a été contraint de fermer ses portes après que des pirates ont également piraté ses serveurs et effacé ses serveurs.

Source : Twitter, KrebsOnSecurity

Et vous ?

Qu’en pensez-vous ?

Avez-vous une copie de sauvegarde de vos mails ou d'autres services en ligne que vous utilisez au cas où ?

Voir aussi :

Le ransomware WCry prend en otage des milliers d'ordinateurs dans une attaque d'envergure mondiale, des rançons de 300 $ minimum sont exigées

Petya/NotPetya serait un wiper déguisé en ransomware, son objectif serait de supprimer irrévocablement les données de ses victimes

Les données chiffrées par le ransomware Jaff, demandant jusqu'à 5000$ à ses victimes, sont déchiffrables gratuitement avec un outil de Kaspersky

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de gallima
Membre actif https://www.developpez.com
Le 13/02/2019 à 9:22
Citation Envoyé par siick Voir le message
... Donc tu as beau sauvegarder sur d'autres serveurs et en plusieurs fois ...
L'idée est de faire des copies sur bandes régulière via des robots de sauvegarde. Les bandes (cassettes) sont ensuite physiquement déplacés vers des centres de stockage adapté.
En terme de sauvegarde c'est aussi le plus rapide et le le moins chère.
Dans certains domaines (bancaire par exemple) cette pratique est même obligatoire.
5  0 
Avatar de transgohan
Expert éminent https://www.developpez.com
Le 13/02/2019 à 10:20
Citation Envoyé par siick Voir le message
Donc tu as beau sauvegarder sur d'autres serveurs et en plusieurs fois, si l'attaquant avait l'accès aux serveurs de sauvegarde, les sauvegardes ne servent à rien dans ce cas.
C'est ce que je dis justement... C'est de l'amateurisme.
Voir la réponse de Gallima qui indique ce qui aurait du être fait et ce que je ciblais derrière le terme "archiver".
On doit toujours scinder sauvegardes et système en cours d'exécution.
Généralement on prévoit deux bâtiments différents.
Mais si c'est numérique, en réseau... Bah cela a beau être à deux endroits physique cela ne change rien au danger vu que c'est accessible au même moment de partout.
Par contre si c'est déconnecté du réseau alors il n'y a plus de souci et cela respecte bien les contraintes de sécurité.
4  0 
Avatar de Fagus
Membre actif https://www.developpez.com
Le 21/02/2019 à 16:10
Citation Envoyé par transgohan Voir le message
Aucune sécurité n'est parfaite...
Quand au coût... La blague je dis moi !
Quand on voit le coût d'un simple cron pour dupliquer le contenu d'un disque dur couplé à un système qui coupe physiquement un câble ethernet d'une seconde carte réseau...
Dans l'absolu, à part faire des backups sur des médias physiquement en lecture seule, je ne vois pas trop ce qui pourrait empêcher un attaquant exceptionnellement puissant de tout détruire. Je veux dire, s'il a obtenu le privilège admin sur toutes vos machines, rien ne l'empêche de mettre une bombe logique qui écrase les données sur toutes les backup au moment où elles sont branchées. On peut avoir plusieurs backups déconnectées qu'on branche alternativement au réseau, mais c'est coûteux. Si on a juste deux jeux de sauvegarde, comment savoir si la sauvegarde ancienne n'est pas corrompue si justement la machine qui la vérifie est corrompue ? À part archiver sur une longue période beaucoup de sauvegardes réinscriptibles c'est compliqué.

Chez moi, sous windows, j'ai des jeux de sauvegarde sur disque dur déconnecté, faite par un utilisateur dédié ce qui fait que l'utilisateur courant n'a pas par défaut les droits d'écriture sur le disque dur (protection perso antiransomware), mais pour les données irremplaçables comme les documents et les photos, j'ai aussi des blue ray MDISC, juste au cas où...
3  0 
Avatar de transgohan
Expert éminent https://www.developpez.com
Le 13/02/2019 à 8:20
On comprends donc qu'ils n'avaient pas de sauvegardes ?
Ou bien que leurs sauvegardes n'étaient pas archivées ? (et donc que l'attaque a formaté les sauvegardes)
Incompétence totale... Cela me ferai peut d'avoir un sous-traitant comme ça.
3  1 
Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 13/02/2019 à 12:10
Cette histoire ne fait que prouver que la politique de plus en plus courante des entreprises consistant à déléguer toute la responsabilité de leur informatique et de leur données à des sociétés tierces n'est qu'une vaste connerie.

Pour des raisons d'économie apparentes (apparentes car la solution est économique tant qu'il n'y a pas un problème), les entreprises jouent leur pérennité au dé en se jetant dans les bras de prestataires sans même en vérifier la crédibilité (quand c'est possible car la plupart du temps, il est même impossible de s'assurer du sérieux du prestataire).

Pensée émue pour un client de ma connaissance qui a déplacé son ERP dans le cloud d'un prestataire qui se dit professionnel: Quand ce prestataire vous ouvre un accès à distance avec tous les droits administrateur, il vous envoie les login/password en clair dans un mail. Et de toute manière à quoi cela servirait d'intercepter ce mail quand le login=le nom de l'entreprise et le password = l'année en cours?
2  0 
Avatar de transgohan
Expert éminent https://www.developpez.com
Le 13/02/2019 à 16:05
La sauvegarde sur bande et/ou déconnecté du réseau est très rarement mise en place on préférera pour beaucoup moins cher ajouter des obstacles.
Aucune sécurité n'est parfaite...
Quand au coût... La blague je dis moi !
Quand on voit le coût d'un simple cron pour dupliquer le contenu d'un disque dur couplé à un système qui coupe physiquement un câble ethernet d'une seconde carte réseau...
A heure dite on reconnecte la liaison réseau, le cron se met en route un peu après, et ça recoupe le lien réseau après un temps qui est plus grand que le temps de copie.
On a ainsi un système de sauvegarde connecté périodiquement au réseau système et de manière autonome...
Et niveau coût n'importe qui dans son garage peut le faire.

Entre payer des ingénieurs sécurité pendant plusieurs mois pour blinder le système et mettre en place des choses simples...
La coupure physique sera toujours la meilleure solution.
Alors certes là on a une coupure qui n'est que partielle (du fait du temps de la copie) mais on peut imaginer couper le lien vers le réseau externe de la même façon durant la copie pour peu qu'on ai d'autres serveurs qui soient en redondances ailleurs pour que le client ait toujours son service en ligne.
2  0 
Avatar de Doksuri
Membre expert https://www.developpez.com
Le 13/02/2019 à 8:58
Citation Envoyé par transgohan Voir le message
On comprends donc qu'ils n'avaient pas de sauvegardes ?
Ou bien que leurs sauvegardes n'étaient pas archivées ? (et donc que l'attaque a formaté les sauvegardes)
Incompétence totale... Cela me ferai peut d'avoir un sous-traitant comme ça.
sur le site, un message en rouge :
This person has destroyed all data in the US, both primary and backup systems.
1  0 
Avatar de Christian_B
Membre habitué https://www.developpez.com
Le 22/02/2019 à 13:16
Citation Envoyé par abriotde
La sauvegarde sur bande et/ou déconnecté du réseau est très rarement mise en place on préférera pour beaucoup moins cher ajouter des obstacles.
Sans être expert en sécurité, il me semble évident que sur une longue durée (près de 20 ans dans le cas évoqué !), ne pas faire de temps en temps des sauvegardes déconnectées du réseau ou sur support non réinscriptible (ou verrouillé physiquement) est absurde.
Particulièrement pour des entreprises qui conservent des données de volume raisonnable (ici des courriels) d'un grand nombre d'utilisateurs.
Compte tenu des moyens actuels de stockage, cela ne coûterait pas si cher. Comme l'ont remarqué plusieurs, il s'agit de négligence ou d'incompétence crasse.

Citation Envoyé par transgogan
Aucune sécurité n'est parfaite [...] La coupure physique sera toujours la meilleure solution.
Quelque peu contradictoire. En théorie certes rien n'est "logiquement" parfait. Mais la 2e phrase fournit une solution en pratique : faire de temps en temps des sauvegardes déconnectées ensuite et stockées dans, disons, deux bâtiments différents, protège parfaitement (sauf pour les données les plus récentes) des attaques par internet et de la plupart des accidents plausibles. Sauf bien sûr malveillance interne, heureusement beaucoup plus rare.

D'une façon plus générale, je trouve que l'évolution des systèmes informatiques a privilégié la nouveauté (parfois superficielle), la sophistication et la puissance (souvent mal utilisée) sur la sécurité des données (qui devrait être basée sur des modèles rigoureux). De nombreux exemples le montrent, y compris ces bogues inattendues révélées récemment sur les processeurs Intel. On voit que même à ce niveau l'architecture n'est pas maîtrisée.
A plus forte raison aux niveaux plus élevés d'organisation dont le réseau internet constitue un système global d'une complexité inouïe et qui est exposé à une multitude de malveillances.
1  0 
Avatar de Mimoza
Membre averti https://www.developpez.com
Le 13/02/2019 à 10:52
Une sauvegarde «froide» leur aurait sauvé la mise en effet. A voir comment le formatage a été fait mais avec un bon outil de récupération de données il y a moyen de rattraper pas mal de choses.
0  0 
Avatar de abriotde
Membre expérimenté https://www.developpez.com
Le 13/02/2019 à 13:45
politique de plus en plus courante des entreprises consistant à déléguer toute la responsabilité de leur informatique et de leur données à des sociétés tierces n'est qu'une vaste connerie
Non, car si c'était fait en interne e serait très certainement encore moins bien sécurisé et sauvegardé. Si la quantité de données en internes n'est pas gigantesque la maintenance d'un tel système en interne n'est absolument pas rentable du coup son budget est sabré. Une entreprise dédié à tout intérêt à être bien sécurisé ce qui était le cas. La sauvegarde sur bande et/ou déconnecté du réseau est très rarement mise en place on préférera pour beaucoup moins cher ajouter des obstacles.
0  0