vendredi 25 janvier 2013

Aventure en APT ?

Alors que nous publions hier une nouvelle série d'article relatif à la SSI, voici le récit du traitement à distance d'une possible attaque.

Finalisant l'article, un mail apparaît dans la boite aux lettres. L'expéditeur m'est connu et rien ne suscite encore la méfiance. Celui-ci demande de l'aide en ce qui concerne les informations contenues dans une pièce jointe. En bref, la pièce jointe est un pdf dont le titre, bourré de majuscules, est très "FUD".
La personne en question s'interroge : est-ce que les informations du PDF, en l'occurence relative à la propagation d'un malware particulier, sont vraies ou s'agit-il d'un simple hoax que l'on ne souhaitera pas rediffuser.

3 questions m'interpellent :

- l'expéditeur est-il bien la personne que je connais ?

- le pdf embarque-t-il du code malveillant ?

- est-ce juste un hoax

La première question appelle une réponse simple : je téléphone à la personne. Celle-ci est bien l'expéditeur et je lui pose alors une seconde question : "as-tu ouvert le fichier ?"

Patatras => la réponse est "OUI"....Respirant un grand coup, j'entame alors un laïus sur les attaques de type "APT" et surtout leurs prémisses. Comme il semble bien que mon interlocuteur s'effraie un peu, je lui conseille de faire appel à son service informatique et de poser la question.

Recontacté quelques instants plus tard, la personne me confirme avoir eu le service informatique qui après quelques vérifications, sur les fichiers et le poste de travail. Confirmé par quelques recherches personnelles, il s'avère que ce n'est, sans doute, rien de très préoccupant.

Que révèlent cette aventure ?

Tout d'abord, quelques éléments positifs : la personne qui a reçu le mail a bénéficié d'une réaction presque parfaire. Dans le doute, elle a pris contact afin de se rassurer. Bien sur, ne pas ouvrir le fichier aurait été encore mieux. 

Un autre élément positif est la connaissance d'un point de contact auprès des services informatiques, que l'on peut contacter facilement et dont le numéro est connu. Le fait que celui-ci ait pu intervenir pour réaliser des actions interdites au destinataire du mail révèle non seulement que des capacités d'actions centralisées existent mais également que l'utilisateur possède des droits réduits dans une certaine mesure.

L'affaire révèle également un déficit de sensibilisation. Les problématiques de "chaines"de mail et de hoax sont des aspects connus et dont la dangerosité apparaît comme inférieure aux méthodologies d'attaque plus récente. De même, le destinataire a pu s'assurer que l'expéditeur était bien la personne indiquée par le courriel : celui-ci l'a donc renvoyé sans prendre de précautions supplémentaire et sans se soucier réellement du risque de saturation des courriels.

Plus que jamais donc, une sensibilisation accrue, intelligente et permanente semble nécessaire face aux risques potentiels.

Avons-nous toutefois répondu à toutes les questions ? Quelles leçons ?

1/ Les "personnes" ?

Afin de vérifier que l'expéditeur est bien la personne indiquée par l'adresse du mail, il semble important de se servir d'un second canal afin de garantir la véracité de l'information. Un coup de téléphone est une bonne idée. L'usage de solutions cryptographiques assurant l'authentification de l'utilisateur apporte aussi un niveau d'automatisation intéressant.

2/ Le code malveillant ?

On ne reviendra pas sur les politiques anti-virus. Un scan des fichiers douteux est sans doute une bonne réaction. Mais c'est une question plus globale que l'utilisateur ne doit pas forcément appréhender.

Un site comme VirusTotal permet de lever certains doutes en soumettant le document à de nombreux anti-virus.  Si vous êtes préoccupés par le contenu du document en question, VirusTotal accepte aussi des signatures sous formes d'empreintes. Dans notre cas, le fichier avait déjà été soumis  - un fait intéressant - et ne recueillait aucune détection sur les 46 anti-virus testés.

3/ Oiseau de mauvaise augure ?

Dans la frénésie du traitement, nous ne savons toujours pas si ce document est un hoax ou non. Qu'à cela ne tienne, il suffit d'aller sur http://www.hoaxbuster.com/, une référence appréciable pour déterminer ou non la légitimité du message.

Enfin, si vous songez que celui-ci demeure vrai, il vaut mieux alerter votre service informatique sur cette alerte que la renvoyer à vos contacts. Vos informaticiens ne verront pas d'un bon oeil cette "usurpation" de leurs prérogatives surtout si cela doit conduire à des dysfonctionnements de serveurs de messagerie. Ils disposent sans doute de relais plus efficaces que vous.

Une aventure donc qui aura eu le mérite d'éclairer certains aspects, peut-être de fournir quelques éléments de réflexion et de, peut-être, vous intéresser !

Source :

des proches....

4 commentaires:

  1. Salut Cidris,
    Très bon article. Par contre si tu pouvais m'aider. Je suis dans la merde. Je suis à Londres et on m'a volé mes papiers et mon argent. J'ai besoin de 1300 € pour payer l'hôtel. Est-ce que tu pourrais me faire un virement ?

    RépondreSupprimer
  2. Ravi qu'il te plaise :)

    Sinon, on fait ça par paypal !!

    RépondreSupprimer
  3. Ce qui m'amuse au boulot c'est les gens qui nous transfèrent des spam.
    Il y a généralement 3 raisons :
    - Est-ce un spam ? Parce que j'ai un léger doute d'avoir gagné 250000 € à la loterie Microsoft. Bah oui je ne m'y suis pas inscrit !
    - J'ai reçu un spam ! Pouvez-vous revoir la configuration de vos équipements parce ça en fait déjà 2 cette semaine...
    - J'ai identifié un phishing. La personne prétend être le fils de l'ancien président du Bénin en exil qui a besoin d'aide mais je pense que c'est faux. Pouvez-vous prévenir tous les employés pour qu'ils ne se fassent pas piéger ?

    Comme dirait Michel Muller : "Fallait pas leur donner un ordinateur."

    RépondreSupprimer