Protection de la messagerie par SPF et DKIM

Deux techniques assez efficaces utilisées sur les serveurs de messagerie pour renforcer sa protection vis à vis de tout ce qui s’apparente à du SPAM.

SPF – Sender Policy Framework

Le principe

Lorsqu’un mail va être envoyé par un serveur SMTP A vers un serveur SMTP B, le serveur A va commencer sa séquence de commandes SMTP habituelles type « helo », puis « mail from: toto@mondomaine.org » auprès du serveur B.

Read more « Protection de la messagerie par SPF et DKIM »

Ransomware & Cryptolocker – limiter les dégâts en entreprise

Locky puis … puis …. puis WannaCry … puis (not)Petya

Des malware particulièrement dangereux se propagent dans nombre d’entreprises de taille différente, de secteur d’activité, dans nombre de pays ; leur but est d’infecter un premier PC de la société, puis par ce biais de chiffrer tous les fichiers bureautiques que le malware va rencontrer aussi bien sur le poste local et que sur les partages des serveurs de fichiers.  Une fois les dizaines de fichiers chiffrés, la société est condamnée à restaurer ses fichiers… à payer…. ou avec un peu de chance à utiliser l’un des outils proposés par certains éditeurs d’Antivirus (cf point 3).

Attention : Petya ne permet aucune récupération (même avec paiement), il semble que l’objectif soit de rendre inaccesiblement les données (au niveau de la partition et des fichiers), il se classe donc moins dans la catégorie des ransomwares que des destructeurs.

Tous ces malwares ne sont pas à mettre dans le même sac et n’ont pas les mêmes objectifs : mais tous justifient de respecter quelques règles d’hygiène en terme de sécurité informatique pour s’en prémunir efficacement.

1 – Fonctionnement d’un cryptolocker / ransomware

Comment l’utilisateur contribue à infecter son poste de travail et surtout les serveurs de sa société ?

  • un mail assez bien rédigé est envoyé à l’utilisateur, le mail contient soit une pièce jointe, soit un lien URL.
  • le mail est souvent envoyé en rafale à un nombre important de collaborateurs supposant qu’il s’en trouvera bien pour ouvrir la pièce jointe.
  • pour les 2 vecteurs de propagation (mail ou URL), la charge active est rarement détectée par les antivirus voire jamais les premières heures de l’attaque. Il faut souvent attendre 12 heures pour commencer à voir les premiers antivirus se mettre à jour.
  • dès qu’un poste informatique est infecté, le malware va chercher tous les lecteurs réseaux accessibles en écriture puis chiffrer tous les fichiers en les renommant avec une extension particulière (par exemple *.locky ou dernièrement *.wcry)
  • même si l’utilisateur n’est pas admin de son poste Windows, l’infection fonctionne correctement.
  • Les ransomwares rencontrés (janvier 2016) se limitent à se connecter aux lecteurs réseaux des postes de travail. Il faut prévoir que progressivement ces malware iront chercher les partages réseau (même sans lecteur réseau connecté) et mieux encore, les partages administratifs ou cachés (avec le $).  Depuis début mars 2016, ces mêmes logiciels savent se propager non seulement sur les lecteurs réseaux, mais aussi sur les partages réseaux des serveurs de fichiers.

L’infection d’un poste de votre entreprise voire de vos serveurs est un scénario hautement probable voire inévitable….

…Autant vous y préparer au mieux.

 

2 – La prévention

En quelques points rapides :

  • 1 – Maintenez votre parc de PC et Serveurs avec les dernières mises à jour !!!WannaCry ne se propage que sur des Windows non à jour avec le patch MS017-10, Petya fait de même mais peut aussi utiliser les comptes windows locaux pour se propager sur les autres postes.
  • 2 – Assurez vous d’avoir des sauvegardes fonctionnelles et régulières de vos serveurs de fichiers.
  • 3 – Assurez-vous de tester régulièrement vos sauvegardes du point 1
  • 4 – Activer les Clichés Instantanés de Windows , plusieurs fois par 24h si vous avez assez d’espace  sur vos stockages. La restauration des versions précédentes, en cas d’infection sera particulièrement efficace et rapide.
  • 5 – Filtrer tous vos mails internet entrants contenant scripts (type js, js dans du ZIP, macro dans les XLS, DOC, PPT, PDF) – exemple de Petya
  • 6 – Rejetez les mails internet envoyés depuis votre domaine interne en vérifiant que tous les procédés d’obfsucation soient détectés dans la rédaction du domaine source.
  • 7 – Vérifiez que le contrôle des mails entrant se fasse bien sur le  type MIME et SMTP.
  • 8  – A partir de Windows 2008R2, activez la fonctionnalité de filtrage d’extension de fichier. Cette fonctionnalité doit être installée et permet de bloquer la création de nouveaux fichiers avec une extension définie, et/ou de générer une alerte mail auprès des sysadmins dès qu’un fichier avec une extension non désirée apparait sur le serveur de fichiers (par exemple *.locky ou *.wcry). L’article ici détaille les opérations pour un exemple avec LOCKY. mais c’est très simple de l’adapter à WannaCry
  • 9 – si votre parc de PC est en Windows 7 Entreprise , activez APPLOCKER : pour Petya, interdire PSExec a un effet immédiat.
  • 10 – Ne naviguez pas sur internet ou ne consultez pas vos mails avec un compte utilisateur privilégié (ou administrateur) : exemple avec Petya se sert du compte Admin pour se propager.
  • 11 – Sensibilisez, Sensibilisez, et recommencer, à sensibiliser vos utilisateurs. Comme pour les sauvegardes : ce point est primordial.

Ne comptez pas sur les seuls « antivirus, antispam et firewall  » pour vous protéger efficacement.  Les points ci-dessous seront un parfait début, à compléter par le trio.

Une plaquette de prévention éditée par l’ANSSI en 4 points à respecter en entreprise : https://www.ssi.gouv.fr/uploads/2016/06/20160819_flyers_eben_a4_v10.pdf

 

3 – Touchés  ?

La question est de savoir comment vous allez avoir l’information qu’un PC du parc est infecté (au moins 1…). Vous vous en rendez compte par une alerte sur un serveur de fichiers ou par un utilisateur.

Dans l’ordre, il faudra stopper la propagation du chiffrage, identifier quels postes sont infectés et mettre de côté vos dernières sauvegardes pour ne pas qu’elles soient ré-écrasées par une sauvegarde corrompue.

Immédiatement : éteignez le serveur identifié puis tous les serveurs de fichiers de votre parc ayant un partage réseau (ou sur lesquels les postes informatiques ont un lecteur réseau).  Cette seule opération vise à stopper le cryptage des fichiers, cela va très vite : en 1 heure, un PC infecté peut chiffrer près de 40 000 fichiers d’un seul serveur.

Reste à identifier le ou les PC ayant causés ces infections :

  • demandez à l’ensemble des utilisateurs de se manifester, si ils pensent avoir cliqué sur un lien ou une pièce jointe mais que rien ne s’est produit  : cela aide, certains utilisateurs se manifesteront et cela permettra rapidement d’isoler ces postes du réseau puis de les soumettre à une analyse complète à partir d’ISO antivirus proposé par les éditeurs.. le temps que les définitions soient mises à jour.
  • redémarrez le premier serveur détecté, hors réseau, puis en tant qu’admin du serveur  et après avoir affiché tous les systèmes / cachés des volumes du serveur, recherchez tous les fichiers ayant été infectés. Un DIR *.locky /S  > C:\temp\diag-date-heure.txt permettra de faire un premier journal des fichiers infectés. Ce journal texte vous indiquera quels sont les premiers fichiers infectés (date et heure). Mieux encore, il est possible que certains fichiers infectés n’auront été accessibles que par un utilisateur (lecteur  individuel) ou une poignée d’utilisateurs ce qui vous permettra très vite d’isoler les postes des personnes identifiées.
  • Faites de même avec l’ensemble des autres serveurs de fichiers pour vous assurer de ne pas avoir laissé un poste infecté.
  • Si le fichier chiffré contient une extension non filtré par le serveur de fichiers, ajoutez cette extension au filtre (passif ou actif).
  • Identifiez la source potentielle d’infection (mail ou URL) par l’utilisateur puis soumettez le fichier infecté à www.virustotal.com .

Rappel précieux, les conseils de l’ANSSI : https://www.ssi.gouv.fr/actualite/alerte-campagne-de-rancongiciel-2/

+ un lien spécifique pour Petya : http://www.cert.ssi.gouv.fr/site/CERTFR-2017-ALE-012/CERTFR-2017-ALE-012.html

 

4 – Remise en route

Lors que les PC infectés semblent avoir été identifiés, que les filtres sur les serveurs de fichiers sont effectifs et correspondent à l’attaque actuelle, remettez les serveurs sur le réseau progressivement en vérifiant (par la commande Dir /s *.locky) si de nouveaux fichiers apparaissent ou pas.

Restaurez les répertoires touchés via les clichés instantanés ou par les backups.

Ne remettez les postes soupçonnés sur le réseau que lorsque vous avez en main un antivirus à jour qui détecte la charge active.

Des outils gratuits pour retrouver vos fichiers chiffrés.

Kaspersky propose 6 décrypteurs de fichiers – https://noransom.kaspersky.com/

AVAST propose 15 outils pour des variantes différentes  – https://www.avast.com/ransomware-decryption-tools

AVG contribue également avec 5 outils – http://www.avg.com/fr-fr/ransomware-decryption-tools

TrendMicro propose une console unique qui intervient sur bon nombre de variantes de Ransomware – https://success.trendmicro.com/solution/1114221-downloading-and-using-the-trend-micro-ransomware-file-decryptor

A cette heure, il n’existe pas d’outils pour les fichiers chiffrés par WannaCrypt.

Dans tous les cas, ne téléchargez ou n’exécutez jamais un outil magique déchiffreur sur un autre site qu’un éditeur d’antivirus, sans quoi vous risquez de vous retrouver avec d’autres problèmes.

Quelques liens utiles :

http://korben.info/locky-quil-y-a-a-savoir-malware-moment.html

 

Alerte sécurité : Nouvelle vague d’attaque virale de type « ransomware » à l’aide du virus Locky

Le Ransomware Locky (extension .asasin)

http://www.ssi.gouv.fr/en-cas-dincident/

PETYA :

 

Charte Informatique

Charte Informatique ou

Charte des Systèmes ou d’Information

 

Le principe d’une telle charte :
  • Rappeler aux salariés le contexte légal liés aux Technologies de l’Information
  • Exprimer auprès des salariés les limites spécifiques au contexte de l’entreprise avec transparence.
  • Lister les bonnes pratiques, les précautions d’hygiène de l’usage du système d’information au cœur de l’entreprise.
  • Protéger à la fois l’employeur et les salariés de l’entreprise, vis-à-vis des responsabilités respectives
  • Evoluer au gré de l’évolution de l’entreprise, des lois, et des services du système d’information.
Applicabilité :

Pour qu’elle soit pleinement applicable donc opposable au salarié ou exploitable en cas de conflit, la charte informatique doit être :

  • Soumise à l’avis des membres du Comité d’Entreprise,
  • Faire l’objet d’un dépôt au greffe du conseil de prud’hommes
  • Transmise à l’Inspection du Travail accompagné de l’avis du CE.
  • soit signée par chaque collaborateur (ce qui peut s’avérer simple au début deviendra complexe à gérer lorsque celle-ci évoluera), soit intégrée ou annexée au règlement intérieur (ce qui peut sembler un peu plus long mais plus facile à faire évoluer.
  • Communiquée à tous les salariés concernés et mis à disposition (affichage, lien intranet,..)

 

Contenu d’une charte :

La charte va être présentée au CE, lue par les salariés : elle doit être la plus succincte possible, claire, avec des termes compréhensibles par tous les salariés. Attention aux chartes de plus de 10 pages…

Voici les thèmes principaux à aborder.

Usage Professionnel

Les comptes utilisateur / politique des mots de passe :

Un compte utilisateur est théoriquement nominatif : les salariés ne doivent pas communiquer leur compte+mot de passe.

Le choix du mot de passe peut (doit) être imposé par une stratégie du SI sur la longueur, la complexité etc.. La stratégie doit être présentée et expliquée, ainsi que les règles de choix de mot de passe complexes.  De même les conditions de divulgation du mot de passe doit être claire (exemple vis-à-vis d’un service Support).

Courrier électronique

Rappeler les limites sur les pièces jointes, le nombre de destinataires simultanés ainsi que les recommandations sur les mailings, l’écriture en majuscule, l’usage de canaux de communications alternatifs (téléphone, chat, visio,…)…

 

Usage d’internet (et filtrage)

La navigation sur internet peut être « libre » depuis l’entreprise mais un filtrage doit être imposé vis à vis des sites web à caractère illégal. Si l’entreprise a une politique de filtrage supplémentaire (drive Google/Microsoft/Apple/Dropbox, jeux en ligne,…) la nature du filtrage doit être exposée ici.

Pour le reste, il s’agit évoquer le respect du droit (auteur, terrorisme,…).

 

Droit à la Déconnexion

En vigueur depuis janvier 2017, les salariés ont droit à la déconnexion informatique. Il s’agira de rappeler les devoirs des managers, des règles de déconnexion automatique (en fonction des horaires), des bonnes pratiques.

 

Sauvegarde et protection des données professionnelles

Les salariés doivent être sensibilisés à la valeur des données qu’ils manipulent et stockent. Ces données doivent être protégées (niveau de confidentialité ?), soumises à des obligations de chiffrage ou stockées dans des emplacements  protégés et sauvegardés (par opposition aux supports USB par exemple).

 

Publication sur internet et réseaux sociaux

Publier sur un blog professionnel, sur un espace Internet du site web de l’entreprise peut engager le directeur de la publication : une attention particulière doit être apportée aux collaborateurs qui sont en charge du contenu des sites webs.

Ce paragraphe peut être également l’occasion de préciser la latitude proposée par la Communication quant à l’usage des réseaux sociaux sous en-tête de l’entreprise ou au nom de celle-ci.

 

Téléphonie fixe et mobile

 en cours…

 

Les Super Utilisateurs

en cours…

 

Usage à titre extra Professionnel

Cet usage est autorisé dans le cadre légal, l’employeur doit en revanche en définir ses propres contours et permettre  au salarié de savoir si son propre usage à titre personnel des ressources de l’entreprise serait répréhensible ou pas. Cela concerne aussi bien l’usage de la téléphonie fixe, mobile, de la navigation internet, de la messagerie, du stockage de fichiers personnels (et des conditions de stockage).

 

Audit, journalisation, traitement des données personnelles

Par souci de transparence : il est primordial d’indiquer quelles sont les données collectées lorsque les salariés surfent, lorsqu’ils envoient/reçoivent des mails, etc… Il est également utile de rappeler les conditions d’accès aux données professionnelles des salariés par l’IT et les restrictions d’accès pour des données identifiées comme privées ou personnelles ou confidentielles.

En complément, des audits de sécurité, des recherches liés à dysfonctionnements peuvent être déclenchés et nécessiter des accès aux boites aux lettres, aux journaux d’activité, aux postes de travail,… Les salariés doivent en être informés et idéalement comprendre pourquoi cela peut être nécessaire.

La partie « traitement des données personnelles » vise à décrire la situation de l’entreprise vis à vis du règlement européen (sans pour autant faire doublon avec le registre CIL). Il faut indiquer combien de temps les données sont conservées, pour quels usages, quelle nature des données et comment s’informer davantage auprès du CIL (ou DPO).

 

Annexe

Un rappel des textes légaux en vigueur.

 

Quelques liens utiles :

Watchguard

Droits Finances

Olfeo

Journal du Net

Pour finir et si vous avez des doutes : faites vous accompagner par un Avocat pour la validation de la charte Informatique de votre entreprise.