Constat via Internet

6 septembre 2020ExpertisesOlivier THEBAUD

Le constat via internet, analyse technique & recommandations.

Le constat via internet est l’une des activités d’un Huissier ; pour effectuer le constat, l’Huissier suit la norme AFNOR NF Z67-147, norme rédigée par la commission « actes authentiques d’huissiers de Justice « , basée sur du bon sens, du pragmatisme et l’addition des jurisprudences passées.

Respecter cette norme permettra à l’Huissier de produire un constat depuis internet plus difficilement remis en cause par une tierce partie puisque les conditions techniques de constat sont précisément définies et explicitées.

Compte tenu de la technicité de certaines opérations, l’Huissier de Justice pourra se faire accompagner d’un expert informatique.

Si ce n’est pas suivi par l’Huissier, le constat est considéré comme nul.

Exemple de ce qui arrive (même si le premier exemple relève de la caricature) : http://www.cyberdroit.fr/2016/10/pv-de-constat-en-ligne-obligation-de-conformite-a-la-norme-nf-z67-147/
Cour d’appel, Bordeaux, 1ère chambre civile, 20 Novembre 2018 – n° 16/06735
https://www.legalis.net/jurisprudences/cour-dappel-daix-en-provence-2eme-ch-arret-du-15-septembre-2016/

Recommandations pour un constat internet

Enfin, le 12 janvier 2016, la Cour d’Appel de Paris a rendu un arrêt décrivant précisément les actions et informations indispensables de l’huissier avant d’effectuer un constat internet. Ces éléments sont repris, et largement complétés de retour d’expérience d’une douzaine de constats internet analysés.

citer la norme utilisée pour réaliser le constat Internet
décrire ordinateur utilisé (marque, modèle, numéro de série)
décrire le système d’exploitation (version précise de l’OS + date des derniers correctifs),
décrire le navigateur Internet (version précise), et démontrer l’absence de plugins/composants tiers
assurer qu’il n’y a pas de proxy indiqué au niveau de l’OS, comme au niveau de navigateur.
l’architecture du réseau local (absence de connexion à un serveur Proxy, adresses des serveurs DNS utilisés, adresses IP locales, pare-feu)
joindre le résultat d’un tracert vers le site visé.
assurer que l’ip du site web est bien liée au nom FQDN (https://whois.icann.org/fr)
montrer qu’un moteur antivirus est présent, actif, à jour et ne mentionne aucune alarme.
décrire le mode de connexion à Internet (+FAI)
préciser le paramétrage de définition de l’écran qui servira à la capture,
synchroniser la date et l’horloge de l’ordinateur avec une source de temps fiable (NTP),
supprimer les fichiers temporaires stockés sur celui-ci, les mémoires caches, l’historique de navigation et les cookies,
paramétrer les fichiers temporaires à 0 pour que le navigateur n’exploite pas le cache local (cookies, mots de passe, cache, formulaire,…) et qu’il affiche la page directement du site web
décrire, répertorier et enregistrer le contenu de ses constatations et, à la fin de son constat, procéder à la capture des informations sur la cible (en mentionnant la date /heure de chaque capture, l’url , et le séquencement)

Mêmes si points semblent nombreux, ils peuvent être pris comme du bon sens (d’un point de vue technique) mais ne doivent pas obscurcir quelques difficultés complémentaires :

est-ce qu’il n’y a pas dans le réseau de sortie internet un proxy transparent au niveau du firewall, au niveau de la box d’accès internet ou au niveau de l’opérateur ?
est-ce que les flux (type http voire https) ne sont pas modifiés ou altérés par des équipements réseaux ou même via l’opérateur ?

Dans certains cas de figure, quelques points complémentaires sont alors à ajouter dans le constat :

vérifier la neutralité avec ce site web par exemple https://ip.lafibre.info/neutralite.php qui permet d’identifier les textes et/ou images sont modifiés entre l’origine et la version du navigateur.
vérifier la détection d’un proxy web via ce lien http://monip.org/ ou http://fr.infobyip.com/detectproxy.php
vérifier l’état du fichier hosts local au poste
privilégier un serveur DNS ouvert et libre (pour éviter les DNS menteurs)
un Wireshark prêt à capturer tout le trafic le temps de la navigation web depuis le début jusqu’à la fin de la saisie (capture vers une second disque), capture qui sera haschée (SHA256 min)
Une capture vidéo de la séquence de constat internet (également haschée)
sauvegarder chaque page page capturée au format HTML (texte) afin de renforcer la valeur de la capture « visuelle »
Idéalement compléter le constat par une 2 opération depuis un autre PC (ou VM ou Live USB) avec un autre OS/Navigateur pour confirmer la similitude des résultats.
Prêter attention si le site web est accessible par un CDN (type AWS, Akamai, Cloudfare), qui joue le rôle de cache….

Il arrive que les éléments à constater disparaissent du web avec le temps, plutôt que réaliser le constat depuis le site web en live, le constat peut être réalisé à partir de l’un des outils en ligne qui archivent/sauvegardes des versions antérieures de sites webs avec notamment : archive.org , archive-it.org , google.com et screenshots.com

En 2014, archive.org a été intégré dans un arrêt de la cour de Cassation, et en le 04/10/2019 la Cour d’Appel de Paris a confirmé une évolution vers la reconnaissance de la valeur probante des extraits de la Wayback Machine (archive.org). Cette position s’aligne avec certaines juridictions européennes (OEB – Office Européen des Brevets) et internationales (OMPI – Office Mondial de la Propriété Intellectuelle) qui ont précédemment consacré ce mode de preuve.

PS : il existe des outils d’acquisition de site web accessible depuis internet comme FAW, i-constat, Fastone Capture,… Ces outils peuvent faire gagner du temps par l’automatisme de certains points mais ne répondent pas à l’intégralité des exigences qui devront être abordées manuellement.

Outils d’analyse post-mortem …

10 mai 2020Expertises, LogicielsOlivier THEBAUD

… principalement pour les experts de justice.

1 – Boot sur USB avec plusieurs ISO

On jongle souvent avec nombre parfois important de distributions type Linux (Cain, Kali, Paladium, …) ou Windows sur des clés USB différentes qu’il faut mettre à jour régulièrement. Selon les distributions, il faudra utiliser son outil préféré (Rufus, ou Etcher, ou « Outils de téléchargement USB », ou Ubootin ou…).

Pour éviter de jongler avec toutes les clés USB, une première solution est matérielle en achetant un disque USB type Zalman ZM-VE-350 (environ 60€ pour le boitier nu) qui stockera tous vos ISO sur disque et seront sélectionnables via un menu affiché sur le disque dur.

La seconde solution, utiliser un outil open source.

Soit Easy2boot très bien expliqué ici https://www.cachem.fr/easy-2-boot-creez-cle-usb-multi-iso/

Soit Ventoy, ultra simple, rapide à mettre en place aussi bien pour une clé USB qu’un disque dur USB !!

https://www.ventoy.net/en/index.html

Il suffit d’exécuter le fichier Ventoy2disk.Exe,

Choisir le support USB qui sera formaté et go via Install

Il faut copier ensuite ses ISO préférées dans le lecteur (partition) du support USB créé par Ventoy et c’est tout !

Plus de 215 ISO sont validées avec Ventoy : https://www.ventoy.net/en/isolist.html

OpenVAS 9 – audit de vulnérabilités

10 mai 2020Logiciels, VulnérabilitésOlivier THEBAUD

OPENVAS 9 – audit de vulnérabilité

Concept d’OpenVAS

OpenVAS est un framework, et un fork (ou une branche dérivée) de NESSUS. Nessus étant sous licence propriétaire, OpenVAS s’est développé sous licence GNU GPL.

Il est constitué d’éléments Backoffice :

– Scanner en charge du scan des vulnérabilités

-Manager qui contient toute l’intelligence du framework, il contrôle notamment le scanner, écrit dans la base SQLite. Il planifie, les audits, génère les reports, …

– Administator qui se charge de la gestion des utilisateurs, de l’alimentation en modèle de vulnérabilités ou en plugins,

D’éléments FrontEnd :

o Interface CLI en ligne de commande pour transmettre les ordres d’audit au Manager

o Greenbone Security Desktop, l’interface complète qui suit via un tableau de bord l’état des audits, des vulnérabilités. Disponible pour Linux comme pour Windows.

o GreenBone Security Assistant, un client http/HTTPS pour le Manager.

A noter que la solution OpenVAS s’appuie sur un ensemble de vulnérabilités connues (environ +55000 NVTs connues en 2017).

Le schéma présente les différents composants de l’architecture d’OpenVAS ainsi que les sources d’alimentation des NVTs.

Depuis 2017, il existe 2 éditions bien distinctes : l’edition Entreprise (GSF = Greenbone Security Feed) et l’édition Communautaire (GCF = Greenbone Communauty Feed). Le tableau ci-dessous précise les NVTs auxquels vous pourrez souscrire.

Source : https://www.greenbone.net/wp-content/uploads/The-Different-Flavors-of-Greenbones-Technology-20180205.pdf

Il peut être utile de rappeler que cet outil ne peut être utilisé sur son propre réseau, uniquement à destination de son environnement, à l’exclusion de tout autre serveur, application, site web tiers.

Installation/Configuration

L’installation documentée est sur une base KALI 2018.4 avec OpenVas 9 ; testé également sur un Raspiberry 3+ (avec Raspian Buster).

Préparation de Kali :

mise à jour complète (prévoir de patienter…)

sudo apt-get clean && sudo apt-get update && sudo apt-get upgrade --fix-missing -y && sudo apt-get dist-upgrade --fix-missing  -y

Installation de NMAP 5.51.6 : la version 7 installée n’est réellement supportée que pour des scan « Full & Fast », si vous prévoyez d’utiliser les NVT NSE alors installez la version NMAP recommandée.
- ```
wget http://nmap.org/dist-old/nmap-5.51.tgz
```
- ```
tar xzvf nmap-5.51.tgz
```
- ```
cd nmap-5.51
```
- ```
./configure
```
- ```
sudo make && sudo make install
```
- ```
cd ..
```
- ```
sudo ldconfig
```
- ```
sudo apt-get install alien nsis rpm
```

Options :

Vous pouvez choisir d’installer les packages suivants pour la partie reporting (polices de caractère et génération de documents PDF) :

sudo apt-get install texlive-latex-extra --no-install-recommends

sudo apt-get install texlive-fonts-recommended

Si vous prévoyez des scans d’environnement Windows, notamment sur des partages SMB, installez le client SMB (normalement déjà installé sous Kali):

```
sudo apt-get install smbclient
```

Installation de OpenVas :

Installation :
- ```
sudo apt-get install openvas
```
Le Setup (le script intégra la mise à jour des bases de vulnérabilité depuis 2002, et plus de 1.2 Go de données, donc prévoir un peu de temps, voire un peu plus sur un PI3 ….) :
- ```
sudo openvas-setup
```
Vérification que l’installation s’est bien déroulée : il ne doit y avoir aucun warning.
- ```
sudo openvas-check-setup
```
Par la suite, il sera nécessaire d’effectuer les mises à jour des bases de vulnérabilités avec les commandes ci-dessous :
- ```
sudo greenbone-scapdata-sync
```
- ```
sudo greenbone-certdata-sync
```
- ```
sudo greenbone-nvt-sync
sudo openvasmd --update
```

Configuration d’OPENVAS

Pour changer le mot de passe Admin de la console Web :

sudo openvasmd --user=admin --new-password=le-nouveau-motdepasse

Pour pouvoir vous connecter sur l’interface Web depuis une IP autre que KALI, il faut modifier l’IP 127.0.0.1 par l’IP de KALI :
- ```
sudo nano /lib/systemd/system/greenbone-security-assistant.service
```
Complétez les modifications sur ces fichiers par un :
- ```
sudo systemctl daemon-reload
```

C’est fini, le re-démarrage d’OpenVAS se fait par la commande :

 sudo openvas-stop && sudo openvas-start

Time out au démarrage d’OpenVAS ?

Si vous avez ce message d’erreur au démarrage du service openvas :

Redirecting to /bin/systemctl start openvas-scanner.service.service Job for openvas-scanner.service failed because a timeout was exceeded. See "systemctl status openvas-scanner.service" and "journalctl -xe" for details.

Effacer le fichier dump.rdb (dans /var/run/redis )
Sur le fichier redis.conf (/etc/redis), retirez le commentaire devant save xy z
Faites un flush de votre base de données redis redis-cli -s /var/run/redis/redis.sock flushall
Redémarrez redis : service redis-server restart
Redémarrez le Scanner (openvassd)

Mon premier scan !

La connexion à l’interface se fait via https://@ip:9392 avec le login admin et le mot de passe défini plus haut.

Deux méthodes pour lancer un audit depuis Openvas :

la plus rapide (et la moins efficace)
1. aller dans le menu Scans / Tasks
2. cliquer sur l’icone assistant et sélectionnez Task Wizard
3. saisir l’adresse IP à scanner et cliquer sur Start Scan

la plus complète : cf paragraphe ci-dessous.

Un scan « complet »

Le principe d’un scan dans Openvas consiste à configurer au préalable son environnement de test ; cela consiste à définir au préalable les éléments suivants :

le type de scan (listés dans Configuration / Scan Configs) qui définir le nombre de vulnérabilités testées (nombre de NVTs actives), ce qui aura un impact sur la richesse des résultats, la lenteurs d’exécution,.. il est possible de créer, personnaliser son propre scan en utilisant le bouton News Scan Config (étoile blanche/bleue en haut à gauche).
les identifiants (dans Configuration/ Credentials). Pour le cas, où vous avez déjà des indices sur les identifiants, mots de passe à utiliser pour l’exécution de certains tests applicatifs : vous pouvez déclarez ceux-ci en créant un nouveau « Credential »
la liste des ports (dans Configuration/ Port Lists) ; un certain nombre de listes de port est déjà préconfigurée, mais vous pouvez ajouter/créer une liste de ports personnalisés comme par exemple vouloir scanner que ce qui touche au HTTPS (en ajouter une nouvelle liste, déclarer dans port range : T:443 pour ne scanner que le port 443 sur TCP).
et enfin, les cibles (dans Configuration / targets) ; ici vous déclarer vers quelles IP l’audit va s’exécuter, en se basant sur quels ports (présents dans Port Lists), en utilisant quelle authentification (parmi celles présentent dans Credential) et enfin avec quelle méthode de détection (Alive Test) : le choix par défaut « Scan Config Default » est trop souvent bien inadapté, il est préférable de test avec TCP-ACK Service Ping ou ICMP & TCP-Ack Service Ping (voire ARP Ping si vous êtes sur un réseau local direct).
Quand vous avez précisé tous les paramètres, cliquez sur CREATE.
Allez ensuite dans Scans /Tasks, puis cliquez sur l’icone NEW TASK
Nommez votre tâche d’audit, sélectionnez la TARGET créée précédemment, choisissez le type de scan (Full, Fast, ou personnalisé), si vous avez plusieurs IP vous pouvez choisir un scan basé sur un choix séquentiel ou aléatoire, et enfin vous pouvez ajuster (baisser) le nombre d’IP scannée en simultanée ainsi que le nombre de tests de vulnérabilités simultanés par IP.

Puis créez la tâche en finissant sur Create.
Retournez dans le menu Scans / Tasks puis au regard de votre nouvelle tâche, cliquez sur le bouton Play pour lancer l’exécution de l’audit. Celui-ci sera terminé lorsque le status passera à DONE.
la colonne Reports indiquera le nombre d’audit exécuté, la dernière date de l’audit et le niveau de sévérité détecté.
En cliquant sur la date der dernier audit vous afficherez le résultat de l’audit
En cliquant sur chacune des vulnérabilités, vous aurez accès au résumé, au détail de la détection, la solution proposées, les logiciels affectés, la méthode de détection ainsi que les références CVE/CERT ou autres organisme.
Sur la page de report, en haut à gauche, vous pourrez exporter le rapport complet au format XML, HTML ou PDF (entre autres).

Exemple PDF

Exemple d’un scan sur un Windows 2008R2 standard, mise à jour en date de 07/2016, donc vulnérable à Wannacry

reportW2K8

Richesse d’Openvas

Ce qu’on voit ici est puissant et plutôt basique : OPENVas offre des fonctionnalités à ne pas négliger comme, la programmation régulière d’audit afin d’identifier automatiquement si de nouvelles vulnérabilités sont trouvées (par exemple après une livraison ou mise à jour applicative) ; il est également possible de générer des alertes par mail au delà d’un certain seuil, …

Liens complémentaires :

http://wiki.networksecuritytoolkit.org/index.php/OpenVAS

https://www.blackmoreops.com/2014/03/03/20-things-installing-kali-linux/

http://docs.kali.org/general-use/kali-linux-sources-list-repositories

https://hackertarget.com/openvas-9-install-ubuntu-1604/

Article sous licence Creative Commons « CC-NC »

Easter Eggs

1 mars 2020Non classéOlivier THEBAUD

Enfin un article qui ne sert à rien d’autre que de partager des fonctions cachées des environnements couramment utilisés.

Windows

Activation du mode démo (ou mode Retail) !

Attention, cette manipulation efface tous vos paramétrages et données

Pour l’activer, il faut aller dans Paramètres, Mise à jour & sécurité, aller sur la page d’Activation, puis cliquer 5 fois sur le « Windows » du haut de la fenetre.

Une confirmation vous sera demandée… avant de mettre votre PC en paramètres d’usine : lisez-bien, toutes vos données seront supprimées !!!

Mode Dieu

Ce mode donne accès à toute une liste de fonctions ou raccourcis de configuration de Windows10.

Il faut créer un dossier sur le bureau qui porte le nom GodMode.{ED7BA470-8E54-465E-825C-99712043E01C} puis ouvrir le dossier qui ressemble ensuite à ça

Le dossier affiche ensuite une liste d’actions classées par thème:

Star Wars – un nouvel espoir

La première chose est d’installer le Client TELNET : touches Windows + R, executer C:\Windows\System32\OptionalFeatures.exe puis cocher « Telnet Client »

Pour exécuter le générique de SW, à nouveau les touches Windows + R, puis exécuter telnet towel.blinkenlights.nl » puis l’histoire de SW IV défilera sous vos yeux en ASCII.

Génération de texte Word

Sous Word, vous pouvez générer du texte (avec paragraphe en auto) dans la langue de votre plateforme.

Ouvrer un nouveau document, puis tapez (ne pas faire un copier/coller) : =rand(5,10)

Word va remplir la page Word avec 5 paragraphes de 10 lignes.

Ca fonctionne aussi avec =rand.old() ou =lorem(10) pour remplir 10 paragraphes de texte » lorem ipsum …. »

La maison du Hobbit

Aller dans les paramètres, option d’ergonomie, puis sous-titres et l’exemple affiché vous montrera la fameuse maison

GOOGLE

L’effet de Thanos.

Recherchez le le gant de Thanos.

Dans les résultats, cliquer sur le gant en haut à droite :

Le gant claque des doigts, et comme il se doit : la moitié de vos résultats google disparaissent.

Halloween et les chats

Aller sur l’URL https://www.google.com/logos/2016/halloween16/halloween16.html?&hl=fr&host=www.google.fr

Et vous aurez pour mission de faire un sort aux fantômes.

Solfège

Découvrez le solfège via cette URL : https://www.google.com/logos/2016/rockmore/rockmore16.html?&hl=fr&host=www.google.fr

Casse brique old fashion

Jouer au casse-briques Atari en tapant « atari breakout » dans Google.

Aller sur le résultat des images, puis cliquer sur la première image (Play Google Atari BreakOut)

En haut du menu, vous pourrez accède aux autres jeux Google en ligne : Pacman, T-REX,…

Faire tourner les résultats

Tapez « do a barrel roll » et les résultats feront un tonneau

Les jeux de Santa Claus

Sur la mois de décembre, il possible d’accèder à plusieurs jeux du Père Noël en allant sur https://santatracker.google.com/

Firefox

Un autre jeu caché dans Firefox : https://techviral.net/hidden-unicorn-game-in-mozilla-firefox/

Microsoft Edge

Dans Edge aussi, on va retrouver également un jeu caché de surf : https://techviral.net/play-microsoft-edges-secret-surfing-game/

WordPress : liste de 24 points de sécurisation.

17 septembre 2019Logiciels, VulnérabilitésOlivier THEBAUD

CMS parmi d’autres, WordPress permet comme les autres de créer et gérer facilement un site web, de le personnaliser à l’extrême, d’y ajouter des tonnes de fonctionnalités.

Bien que ce CMS soit l’un des plus infectés en 2018 sur internet (source Suciri.net ), c’est aussi l’un des plus répandus, et qui bénéficie de nombreux articles pour le sécuriser.

L’objet de l’article n’est pas de faire la retape de WordPress mais de se concentrer sur les meilleurs moyens pour rendre son installation la plus securisée possible.

Les recommandations ci-dessous ne concernent pas les couches inférieures qui supportent WordPress (environnement virtuel ou physique, OS , moteur PHP,…). Tous ces éléments se doivent d’être à jour, bénéficier des derniers correctifs de sécurité, ne pas être obsolètes (EOL).

Très utile pour vérifier l’efficacité des mesures ci-dessous, quelques sites « d ‘audit » automatiques de votre propre CMS à la seule condition que vous en soyez le gestionnaire, propriétaire ou que vous ayez toutes les autorisations nécessaires (opérateur, hébergeur,…) avant de lancer ces tests.

Effectuer un scan de vos entêtes HTTP et obtenir une note (de A+ à R). L’outil sous licence CC-BY-SA 4 sponsorisé par Sophos.

https://securityheaders.com/

Effectuer un scan gratuit dédié à WP.

https://wpscans.com/

Effectuer un scan gratuit de WP avec un faible impact sur la stabilité de votre site

https://hackertarget.com/wordpress-security-scan/

plus https://firstsiteguide.com/tools/free-fsg/wordpress-security-online-scanner/

….

Toutes les mesures proposées ci-dessous visent à renforcer le niveau de sécurité de WordPress mais peuvent aussi provoquer un crash de votre CMS pour plein de raisons : ne les appliquez que UNE par UNE , en vous assurant de bien avoir sauvegardé au préalable votre CMS (fichiers + base) avant chaque opération.

Si vous ne savez pas restaurer votre CMS, ou si votre CMS est en production/critique, abandonnez la lecture de cet article.

1 – règles de bon sens

Avant d’aller plus loin dans les aspects techniques, quelques règles essentielles lors de l’installation du CMS

1.1 Mises à jour AUTO WP

Vérifier que son WordPress soit mis à jour automatiquement : depuis la version 3.7, c’est automatique pour les versions mineures mais vous devrez rester vigilant pour appliquer les mises à jour majeures.

Si les mises à jour sont configurées en manuel, vous recevrez un email prévenant de la mise à disposition de nouvelles versions.

Le paramétrage précis des mises à jour WP se fait dans le fichier wp-config.php, en modifiant sur la valeur de la constante suivante :

define( 'WP_AUTO_UPDATE_CORE', true);

Si true, alors toutes les mises à jour sont appliquées automatiquement

Si minor, alors seules les mises à jour mineures sont appliquées

Si false, aucune mise à jour… donc fortement déconseillé (sauf incompatibilité avec un dev spécifique ou un plugin).

1.2 Plugins et Thèmes

Limitez au maximum l’utilisation des Plugins ou des Thèmes sans en justifiant réellement le besoin ou en maitriser la source ou sa conception. Les Plugin notamment sont régulièrement des sources d’introduction de backdoor, de fuite de données, de contournement d’authentification, de collecte d’information personnelle des visiteurs,…

Quelques soient le nombre de plugin ou thèmes installés (le moins possible de préférence), pensez à en faire la mise à jour régulièrement et supprimez ceux qui ne sont pas utilisés (ne pas se limiter à les désactiver).

Les site https://wpvulndb.com/ recense les vulnérabilités connues autour de l’écosystème de WordPress.

1.3 HTTPS

Là aussi, c’est sans doute redondant de dire pourquoi :

votre site sera mieux indexé dans les moteurs de recherche
tout le trafic réseau et les données entre votre site et le navigateur web seront chiffrées, y compris les authentifications (notamment lorsque vous vous connectez à l’interface d’administration).

La mise en œuvre d’un certificat TLS/SSL ne relève pas de cet article, mais le meilleur conseil serait d’utiliser Let’s Encrypt , gratuit, automatique et ouvert !

Une fois le certificat ajouté, pensez à préciser la nouvelle URL dans WordPress :

Menu Réglages / Général :

1.4 Inscription automatique des visiteurs

Si cette fonction ne présente pas d’intérêt pour votre site web (l’auto inscription des visiteurs), désactivez-là !

Menu Réglages / Général :

1.5 Mise à jour des articles par email

Si cette fonctionnalité n’est pas utilisée (et évitez), assurez-vous qu’elle ne soit pas exploitable.

Menu Réglages / Ecriture

1.6 Mots de passe de BDD et mot de passe du compte d’administration

Là aussi c’est élémentaire, mais prévoyez des mots de passe longs et complexes (12 caractères minimum, avec un mélange de chiffres/lettres/majuscules/minuscules/caractères exotiques,…).

Références :

https://www.cnil.fr/fr/authentification-par-mot-de-passe-les-mesures-de-securite-elementaires

https://www.ssi.gouv.fr/administration/precautions-elementaires/calculer-la-force-dun-mot-de-passe/

1.7 Renommer le compte admin

Par défaut, vous utiliserez le compte ADMIN créé avec l’installation de WP ; autant le changer par un compte qui vous soit propre et inconnu.

Il faut :

créer un nouvel utilisateur (menu utilisateurs/Ajouter)
ajouter à cet utilisateur avec un rôle Administrateur (en renseignant @mail, mot de passe complexe,…)
connectez-vous avec ce nouveau compte et cela fonctionne passez à l’étape 4
supprimer le compte nommé ADMIN

En complément : vous pouvez envisager de créer un second compte WordPress qui vous servira à la publication des articles, ainsi le nom de votre compte d’administration ne sera jamais affiché ou associé à vos articles.

1.8 Activer l’authentification double facteur sur votre compte admin.

Complémentaire au 1.7, le mieux pour éviter les attaques par brute force par exemple (ou la connexion à votre WordPress par une personne ayant vos identifiants), c’est de mettre en place une solution d’authentification à double facteur (2FA).

L’un des plugins confortable et fonctionnel est Google Authenticator https://wordpress.org/plugins/google-authenticator/#installation

Une fois installé/configuré ce plugin nécessitera une validation complémentaire de votre mobile (android ou iphone).

L’avantage est que l’app Mobile Google Authenticator est utilisée également par d’autres applications ou sites webs !

Cet article décrit très bien toutes les étapes de configuration :

Activer l’authentification à deux facteurs sur WordPress

1.9 Changer le préfixe des tables WordPress

Par défaut, les tables WordPress auront le préfixe wp_xxxx ce qui peut faciliter le travail d’accès aux données. Renommez soit manuellement les tables (dans la base + fichier de conf, ou mieux en suivant le tuto http://www.responsive-mind.fr/changer-prefixe-tables-wordpress/ ou https://wpchannel.com/wordpress/tutoriels-wordpress/modifier-prefixe-base-donnees-wordpress-installation/ ) ou via un plugin .

2 – Configuration de WordPress

Toutes les recommandations ci-dessous s’appliqueront au fichier wp-config.php de votre site web.

2.1 Editeur de thème

Une fonction avancée de WP permet d’éditeur le code du thème installé, dans le principe cela peut être confortable pour le personnaliser, voire y ajouter des fonctions…. mais c’est aussi le meilleur moyen pour qu’une personne malveillante y copie/colle du code mailveillant (trojan, cryptominage,….).

Dans si ce n’est pas utile , désactivez cette fonction dans le fichier wp-config.php an ajoutant les 2 lignes

/* désactiver l'édition de fichiers PHP dans l'editeur WP */
define(‘DISALLOW_FILE_EDIT’,true);

2.2 Désactiver les messages d’erreur

Les rapports ou messages d’erreur WP qui peuvent s’afficher pourraient fournir des informations sur la configuration de votre site web (comme le chemin). Autant les désactiver en ajoutant les 3 lignes :

/* désactiver les messages d'erreurs */
error_reporting(0);
@ini_set(‘display_errors’, 0);

2.3 Ajouter des clefs de chiffrement des mots de passe

Par défaut, vous devriez avoir dans votre fichier wp-config.php les lignes suivantes :

define('AUTH_KEY', 'xxxxxxxxxxxxxx');
define('SECURE_AUTH_KEY', 'xxxxxxxxxxxxxx');
define('LOGGED_IN_KEY', 'xxxxxxxxxxxxxx);
define('NONCE_KEY', 'xxxxxxxxxxxxxx');
define('AUTH_SALT', 'xxxxxxxxxxxxxx');
define('SECURE_AUTH_SALT', 'xxxxxxxxxxxxxx');
define('LOGGED_IN_SALT', 'xxxxxxxxxxxxxx');
define('NONCE_SALT', 'xxxxxxxxxxxxxx');

il est recommandé de changer ces clés/phrases installées par défaut en utilisant le lien https://api.wordpress.org/secret-key/1.1/salt/

A chaque connexion sur cette url, vous aurez une génération auto de nouvelles clés à copier/coller dans votre fichier initial (ceci est un exemple !!!) :

define('AUTH_KEY','~)rD^kdp<)HqoCLfQu3#n|;9}7TKPmc0oJ?9CVhN-K$F?>a{bVTSMrJq<*Z=>+N8');
define('SECURE_AUTH_KEY',  'lpY(J;9j6EQe`GCYLT|u?V}$-D5vd-|n%!h9Yh12&#%1/JqD?kWCa Y/u2Syd )<');

define('LOGGED_IN_KEY',    'X[h>%!b;kEKj:=aYQ&V_)`5;]E.C6`r+(,)fAA=nzAM/?(44--5E_+`LtO<D?Bhn');

define('NONCE_KEY',        '3hCDkB~T0E9e.vY(F(`XG^m&vSSJw}c9VF10vnb/1~)=@n^I-P0xPaeJp}DnRBfi');

define('AUTH_SALT',        'L]/}[e[19r}7]nB2UZ-3.<-G_n[*%|^hHBf~^Fx+BzQz3+H#p}gx>T0Gw4?tt1M@');

define('SECURE_AUTH_SALT', 'K]L|mcc38&RCw[^[2SylmQ>Z&`~|Rv_d&hWlt;+]mtI+=J_Z[@GP_!!J+Nv1=99|x'); 

define('LOGGED_IN_SALT', 'G&Be{v`b6Gb*+2GrZ_6Wiy ?&o>gU,.}X+XQb2-{qrTR64pjHAX551(}[R`{nG |');

define('NONCE_SALT', 'Y3V/f4AIe/a}IHA32b-rW8N^QZu(g-)qvc3TB-`d#pS4p@Hm#Dq&8EGF!IM-6L%A');

2.4 Changer l’URL de connexion au portail

La page de connexion ou d’authentification au WordPress est classiquement https:/www…..truc.fr/wp-admin

Le mieux est changer le /wp-admin par un nom improbable afin d’éviter les tentatives de connexion (même en ayant le bon login et mot de passe).

Le plus simple est d’utiliser un plugin WordPress WPS Hide Login https://wordpress.org/plugins/wps-hide-login/

L’autre solution est d’intervenir dans la configuration du WordPress + le nom du répertoire.

3 – configuration du .htaccess (pour WP)

Toutes les recommandations ci-dessous s’appliqueront au fichier .htaccess de votre site web.

3.1 Blocage de l’accès au fichier wp-config.php

Ce fichier est central dans la configuration de WP, autant le protéger, notamment en ajoutant dans votre fichier .HTACCESS à la racine de votre site web, la directive suivante :

<Files wp-config.php> order allow,deny deny from all </Files>

3.2 Protection contre le XSS / ClickJacking

Le Click Jacking consiste pour un utilsateur malveillant de superposer par exemple un second bouton sur votre propre bouton de formulaire . Autrement dit, la protection consiste à interdire toute inclusion de page issue d’un autre domaine que le domaine courant (référence : https://www.lexsi.com/securityhub/en-tetes-et-vous-comment-ajouter-de-la-protection-dans-ses-echanges/).

Ajouter la ligne ci-dessous pour s’en protéger :

Header set X-Frame-Options SAMEORIGIN

3.3 Protection contre le XSS / Drive by Download

Cette fois, il s’agit de forcer le type MIME envers le navigateur pour éviter toute mauvaise interprétation du type de données envoyée.

Il faut ajouter la directive :

Header always set X-Content-Type-Options "nosniff"

3.4 Mise en œuvre de HSTS

HSTS est l’acronyme de HTTP Strict Transport Security, spécification de HTTPS qui renforce la communication entre le serveur et le navigateur (sur la politique de sécurité) avant de commencer les échanges en HTTPS.

Une vaste campagne de mise à jour des navigateurs Web consiste à vérifier que HSTS soit activé sur le serveur Web avant d’en autoriser l’accès (ou sinon d’émettre un warning). Par ailleurs, les sites HSTS peuvent aussi bénéficier d’un meilleur référencement dans certains moteurs de recherche.

Il faut ajouter cette ligne :

Header set strict-transport-security "max-age=31536000; includeSubDomains"

3.5 Désactiver la version PHP

Afficher la version du moteur PHP de votre CMS peut déjà renseigner sur les vulnérabilités existantes liées à votre version PHP, autant la masquer.

Il faut ajouter cette ligne dans le php.ini ou dans l’interface d’admin de votre hébergeur :

/* masquer la version PHP */
expose_php = Off

3.6 Interdire la navigation dans les répertoires de votre site

Cette option essentielle impose de naviguer dans votre site web par les pages et non en explorant le contenu des répertoires (à l’image de l’explorateur Windows ou d’une liste type FTP), dans le .htaccess

/* Interdire la navigation */
Options All -Indexes

3.7 Supprimer les fichiers inutiles post-installation

Les fichiers /wp-admin/install.php ou /wp-includes/admin-bar.php ou readme ou changelog doivent être supprimés.

4 Compléments

4.1 Plugins utiles

Un plugin opensource peut être utile à la protection de l’authentification, il s’agit au choix de

Login LockDown https://wordpress.org/plugins/login-lockdown/
Limit Login Attempts Reloaded https://wordpress.org/plugins/limit-login-attempts-reloaded/
SecuPress : https://secupress.me/fr/ la version gratuite reste utile et pertinente.

Ces plugins vous permettront de :

limiter le nombre de tentatives de connexions avec un mauvais mot de passe,
verrouiller automatiquement un compte pendant quelques minutes,
masquer les erreurs si le bon login est renseigné avec le mauvais mot de passe.
scanner/évaluer la sécurité de votre site web, proposer des actions de sécurité.

4.2 Version WP

Il peut être utile de masquer le numéro de version WP mentionné dans les variables meta renvoyées au navigateur web. Il faut ajouter au fichier functions.php les 2 lignes suivantes :

/* supprimer la version WP*/

 remove_action('wp_head', 'wp_generator');

4.3 Sauvegarde WordPress

La sauvegarde automatique de WordPress passe inévitablement par un plugin (sauf si vous avez la main sur les tâches CRON…) : BAckupWordPress est un plugin facile , intuitif qui vous créera un backup par jour, avec un mail de notification pour chaque backup.

Pensez-juste à sauvegarder le fichier de backup généré quotidiennement vers un autre emplacement (en local).

Ponctuellement, avant de grosses mises à jour ou modifications WP : réalisez aussi une sauvegarde via FTP ou SCP de vos fichiers ainsi qu’un DUMP MySQL.

5 Si ca devait arriver.

Il faut prévoir le jour où un chercheur de vulnérabilités détectera un problème majeur sur votre site, le mieux est alors de prévoir ce cas et de placer un fichier security.txt placé dans le répertoire /.well-know/ de votre site.

Ce fichier contiendra les éléments qui permettront de vous contacter rapidement si un incident est détecté sur votre site.

Ce principe est tellement simple qu’il a été soumis à l’examen de la RFC

Pour vous aider à le générer, vous pouvez utiliser ce site :

https://securitytxt.org/

6 Conclusion

Refaites les deux premiers test/scan/audit proposés en début d’article, et vous devriez obtenir des résultats corrects !

A suivre : sauvegarde, page légale,…

Protection de la messagerie par SPF et DKIM

6 juin 2019Informations, Normes & LégislationsOlivier THEBAUD

Deux techniques assez efficaces utilisées sur les serveurs de messagerie pour renforcer sa protection vis à vis de tout ce qui s’apparente à du SPAM.

SPF – Sender Policy Framework

Le principe

Lorsqu’un mail va être envoyé par un serveur SMTP A vers un serveur SMTP B, le serveur A va commencer sa séquence de commandes SMTP habituelles type « helo », puis « mail from: toto@mondomaine.org » auprès du serveur B.

Le rôle de serveur B (et de la fonctionnalité SPF) va être de vérifier si le serveur A est bien autorisé à envoyer un mail sous le nom du domaine mondomaine.org. Pour faire cette vérification Serveur B va interroger le DNS qui gère le domaine mondomaine.org, et notamment la présence d’un champ TXT qui commence par « v=spf1 ».

Cet enregistrement DNS SPF peut être précisé la ou les adresses IP autorisées à envoyer des mails pour le compte du domaine mondomaine.org alors l’enregistrement aura la forme « v=spf1 ip4:109.234.161.30/32 -all » ou « v=spf1 ip4:109.234.161.30 -all« => Seule l’IP (format v4 !) 109.234.161.30.

Partant de ce principe, il serait possible de lister dans le champ SPF les n serveurs SMTP qui envoient des mails pour le compte du domaine mondomaine.org, ce qui donnerait « v=spf1 ip4:109.234.161.30 ip:111.234.116.1167 -all » auquel cas on autorise les 2 IP du champ.

Quand c’est possible, une manière simple de configurer ce champ est d’exploiter la présence des champs MX ; normalement le domaine de messagerie contient au moins 2 IP déclarées dans les enregistrements MX du domaine, il suffit alors préciser dans le champ SPF que les serveurs SMTP déclarés dans les champs MX sont « autorisés » , ce qui donnerait simplement : « v=spf1 mx:mondomaine.org -all » ou encore plus simple « v=spf1 mx -all »

Il est aussi possible (et parfois nécessaire) de combiner les options de test, notamment lorsque vous n’êtes pas gestionnaire de l’émetteur de mail de votre domaine (cas d’un domaine parqué chez un hébergeur qui fournit une messagerie clé en main comme OVH, Gandi, o2switch ou Office365), ou que votre système de messagerie comprend des passerelles émettrices distinctes etc… . Les serveurs qui envoient des mails pour votre domaine sont parfois distincts des serveurs qui les reçoivent (<> MX).

En ce cas, il suffit de préciser par exemple : « v=spf1 ip4:109.234.161.30/32 include:spf.protection.outlook.com include:mx.ovh.com » . On autorise à la fois une plage de 256 IP , l’envoi des mails depuis Office365 et OVH pour le compte du domaine mondomaine.org.

A noter qu’une longueur excessive du champ SPF peut ne pas être lue par tous les serveurs SMTP, et du coup toutes les conditions ne sont pas traitées donc les mails peuvent être rejetés anormalement.

Options SPF

Si l’enregistrement est de la forme « v=spf1 ip4:10.0.0.148/32 ~all » , le mail est accepté mais marqué dans son entête comme non conforme SPF ce qui laisse l’outil de messagerie (serveur ou client) agir pour le classer comme SPAM potentiel. Avec « … -all« le mail est purement rejeté.

-all => rejette le mail si il n’est pas conforme aux critères précédents (enregistrement MX ou IP)

~all => accepte le mail mais le marque dans son entête SMTP, en laissant la possibilité au client de messagerie (Outlook, Thunderbird,…) ou serveur (Domino, Exchange,…) de le marquer comme indésirables ou non, à la de l’administrateur ou l’utilisateur.

include => permet d’inclure un domaine externe au domaine courant (par exemple si il faut autoriser un tiers comme mx.ovh.com).

+ => selon certaines version SPF, il peut être recommandé de faire précéder chaque condition par un + afin que les critères soient tous pris en compte du premier au dernier, ce qui donnerait par exemple « v=spf1 +ip4:109.234.161.30/32 +include:spf.protection.outlook.com +include:mx.ovh.com »

Vérifier le bon paramétrage SPF

La première chose est de tester la présence de l’enregistrement SPF avec DIG « dig TXT mondomaine.org » ou NSLOOKUP « nslookup -type=TXT mondomaine.org »

La seconde est de vérifier l’interprétation du champ SPF avec :

http://www.kitterman.com/spf/validate.html

https://mxtoolbox.com/spf.aspx

ou encore https://www.mail-tester.com/

DKIM – Domain Keys Identified Mail

Principe

Cette technique est plus avancée que SPF car elle utilise un système cryptographique pour valider l’authenticité et l’intégrité (partielle) du mail envoyé.

Côté serveur d’envoi de mails : le serveur de mail (A) va disposer d’une clé privée pour signer tous les mails envoyés sur internet. Chaque mail contiendra alors dans l’entete SMTP le champ « DKIM-Signature » avec notamment la signature sur le contenu du mail :

« DKIM-Signature v=1; a=rsa-sha256; c=relaxed/relaxed; d=TEST.onmicrosoft.com; s=selector1-TEST-onmicrosoft-com; h=From:To:Date:Subject:Message-ID:Content-Type:MIME-Version; bh=0+yZl+O+5j+9zxhyuFJNecLjWjl/UNkbPS1zLzoDW5s=; b=Jt4uYq2EDtdOQdVe6B4G6VgPPM++JAa4K4UeJ5tQHKJyzwNeI1tHQR/cELwOd2f47ecMDvJkgUZSY6edY8+NWBzdNwrN4ZCOC1xKH1RSIX/Vi4PNgV2LwUFYsCmxnFFzeKv8CGVMeWGPRpTj48dBGjwecrVr6EUKWggtT9eZo9I= »

Le champ précise les champs du mails qui ont fait l’objet de la signature, dans l’exemple ci-dessus la signature porte sur l’émetteur, le destinataire, la date, l’objet, l’ID du message et son type.

Lorsque le serveur A envoi ce mail à un serveur B, le serveur B peut alors détecter le champ DKIM dans l’entete SMTP ; en ce cas, le serveur B interrogera la zone DNS du domaine émetteur pour chercher la clé publique dans le champ TXT du DNS qui ressemble à cela :

« v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAtEC6GaaDSq5/92jozjayuKRY3+KSq6Cg9LpAaRW0cSJp9d8rTWfPhA8HPD9tkBhBtwgxQ++I0Wu5Aj/bPqAfJ8kIu8thrhyZbx/uah0SizN5lEXLWS ….. »

A partir de cette clé publique, le serveur B pourra vérifier que la signature du mail corresponde.

Si la signature est vérifiée OK avec la clé publique, alors le mail sera accepté et réputé intégre sur les champs signés ; si la signature est invalide, soit par ce que le mail a été modifié par un outils antivirus/antispam après l’envoi du mail par le serveur A, soit parce que le mail a été envoyé par un autre serveur alors ce mail pourra être rejeté selon la politique du serveur de messagerie B.

L’utilisation de DKIM suppose que le serveur émetteur sache intégrer une signature DKIM dans les messages SMTP sortants, et que le serveur de réception (serveur de mail ou moteur antispam) soit en mesure d’interroger le contenu DNS du domaine émetteur pour chaque mail reçu.

Quelques outils web qui permettent de vérifier la bonne implémentation de DKIM/SPF et plus généralement d’évaluer la configuration de votre domaine de messagerie :

https://internet.nl/mail/

https://ssi.economie.gouv.fr/

https://www.mail-tester.com/

https://mxtoolbox.com/spf.aspx

Email ou mot de passe volé ?

6 octobre 2018AuthentificationOlivier THEBAUD

Une liste de sites webs qui permet d’identifier si son compte email ou son mot de passe se retrouvent parmi les nombreuses fuites de données.

Il existe plusieurs ressources utiles pour détecter si vos données se sont retrouvées dans la nature.

Le plus connu, peut-être le plus complet « Have I Been Pwned » avec plus de 5 milliards de comptes. Il suffit de mettre son adresse email, puis le site indiquera sur quels sites votre compte aura été dérobé.

https://haveibeenpwned.com/

Un nouveau proposé par Mozilla: Monitor qui s’appuie entre autre sur le lien précédent. Un avantage, le site permet d’être alerté si votre email apparait dans une fuite de données à venir.

https://monitor.firefox.com/

Pour finir, le site Ghostproject permet de connaitre si son email, son compte (login) ou son mot de passe a fait l’objet d’une fuite de données. A noter que si l’un des éléments est trouvé, alors il affiche l’information complémentaire en clair !!

https://ghostproject.fr/

Dans l’exemple ci-dessous , une adresse email soumise, et le site renvoi que l’email fait bien partie d’une fuite de données, puis renvoi le mot de passe associé (vérifié, le couple login/mot de passe a bien existé… il y a 8 ou 9 ans).

Chiffrer vos données avec VeraCrypt

4 mars 2018Cryptologie, LogicielsOlivier THEBAUD

Le menu :

1 – Intro.

2 – Modes opératoires possibles avec TrueCrypt

3 – Installation.

4 – Configuration.

5 – Montage automatique des volumes

6 – Montage de volume en ligne de commande

7 – Sauvegarde / Restauration.

8 – Les KeyFiles pour une authentification renforcée

9 – Chiffrement du volume contenant le Système d’Exploitation.

10 – Chiffrer ET cacher sa partition (système).

11 – Détecter la présence de volume VeraCrypt

1 – Intro.

Sur la base de TrueCrypt, VeraCrypt est un logiciel qui permet le chiffrement des fichiers et partitions sous forme de conteneur global ou fichier unique.

Dans la continuité de Truecrypt, sans les problèmes identifiés en 2014, une société Française Idrix a développé un produit similaire disponible sur SourceForge et CodePlex. VeraCrypt est sous licence TrueCrypt et surtout MS-PL (Licence Microsoft Public).

Qu’apporte VeraCrypt vis à vis de la version de TrueCrypt ? Les équipes de VeraCrypt ont tenu compte et corrigé un bon nombre de faiblesses/vulnérabilités identifiées par l’Open Crypto Audit Project sur TrueCrypt.

Le rapport d’origine sur l’audit de TrueCrypt : https://opencryptoaudit.org/reports/iSec_Final_Open_Crypto_Audit_Project_TrueCrypt_Security_Assessment.pdf

La liste des corrections apportées suite à l’audit de TruceCrypt :

https://veracrypt.codeplex.com/discussions/569777#PostContent_1313325

Le document présente différentes utilisations possibles de VeraCrypt: un usage classique avec création d’un fichier(volume) chiffré et protégé par un mot de passe, la même chose protégé par un fichier clé (keyfile), le chiffrement de tout votre PC ou portable y compris la partition système ( !), et le chiffrement d’un volume qui sera caché.

VeraCrypt effectue le chiffrement/déchiffrement à la volée après lecture du fichier, avant enregistrement du fichier. C’est aussi ce qu’on appelle le chiffrement OFT = On The Fly

La version 1.0f2 présente les fonctionnalités suivantes :

Compatibilité Mac OS X 10.6 à 10.10
Compatibilité Windows XP à 8.1 en 32 et 64 bits
Compatibilité Linux kernel 2.6+ en 32 et 64 bits
Montage automatique des volumes VeraCrypt. Si vous posséder un volume VeraCrypt sur un support amovible que vous connectez celui-ci sur votre PC, le volume pourra être monté automatiquement.
Comptabilité entière des volumes TrueCrypt (merci Korben : http://korben.info/veracrypt-est-maintenant-compatible-avec-les-conteneurs-truecrypt.html)
Les partitions supportent des secteurs de taille 1024 à 4096 octets.
La gestion de Volumes Favoris présente de nombreuses options (montage lecture seule, ordre de montage, etc…)
la possibilité de chiffrer une partition contenant des données, sans perdre le contenu (sous Vista/Windows 2008)
le support des tokens et smart cards
l’interopérabilité d’un volume chiffré sous Windows et utilisable sous Linux/Mac
…

Cette dernière release intègre des corrections aux vulnérabilités identifiées dans la phase II de l’audit de TrueCrypt (https://opencryptoaudit.org/reports/TrueCrypt_Phase_II_NCC_OCAP_final.pdf)

Précaution élémentaire : n’effectuez pas les opérations ci-dessous sur un environnement de production ou bien acceptez que ce soit en totalité à vos risques et périls .

2 – Modes opératoires possibles avec VeraCrypt

Il existe plusieurs variantes à l’usage de VeraCrypt : certains ont la première utilité de chiffrer ses fichiers pour se protéger de tout vol alors que d’autres visent à masquer, voire leurrer l’hypothèse que vous puissiez chiffrer vos fichiers. En voici cinq :

– Créer un conteneur VeraCrypt dans un fichier visible. Cette option basique vous permet de vous promener avec votre conteneur (fichier) sur une clé USB, votre disque externe, vos sauvegardes, etc avec un minimum de confidentialité. C’est ce qui est expliqué dans la partie 3

– Dédier une partition (non système) en tant que conteneur VeraCrypt . Option similaire à la précédente avec un conteneur qui fera la taille de votre partition ou de votre disque complet, donc particulièrement confortable pour les disques externes par exemple.

– Mettre sa partition Système dans un conteneur VeraCrypt . Cette fois-ci, votre système d’exploitation et tout l’environnement/paramètres/données qui se trouvent sur la partition système se trouvent chiffrés, de manière transparente pour l’OS, hormis le VeraCrypt Boot Loader initial qui vous demandera un mot de passe pour lancer votre OS. Partie 7.

– Déclarer un conteneur dans un fichier qui contiendra lui-même un autre conteneur caché. Imaginez un coffre-fort caché derrière un tableau de maitre, ce coffre-fort une fois découvert s’avère posséder quelques documents peu compromettants mais possède surtout un double fond contenant vos véritables documents confidentiels. A ceci près qu’en fonction du mot de passe du conteneur initial, soit vous ouvrez le conteneur leurre, soit vous ouvrez le conteneur qui vous est cher.

– A l’image de l’option précédente, vous chiffrez votre partition système, qui se trouve contenir également une autre partition systèmes chiffrée accessibles l’une comme l’autre selon le mot de passe saisi. Cet usage est détaillé en partie 8

Enfin, une fonctionnalité commune à tous les modes ci-dessus concerne la clé d’accès au conteneur chiffré : dans les cas les plus simples, la clé sera un mot de passe mais peut également être un fichier de votre choix.

3 – Installation

Parce que le parc de postes Windows est encore important, c’est cet OS qui est utilisé pour expliquer un peu plus comment çà s’installe.

Il vous faudrait donc :

Windows 7+

VeraCrypt 1.19 (https://veracrypt.codeplex.com) – le package d’installation fait environ 23 Mo

Etre administrateur du poste (uniquement durant la phase d’installation)

Après avoir accepté la licence, un premier choix :

Vous pouvez choisir de poursuivre une installation classique ou d’extraire VeraCrypt: ce choix est utile si vous souhaitez utiliser VeraCryptponctuellement sans installer quoique soit sur l’ordinateur (utilisation dans un cadre mobile). Choisissons le cas le plus répandu : install

Rien de particulier dans cet écran sauf à noter la possibilité de forcer un point de restauration Windows.

L’installation finie

Vous aurez cette icône sur votre bureau :

Pour avoir une interface en langue autre qu’US :

Allez simplement dans Settings / Langages….

4 – Configuration

L’étape primordiale est ensuite de créer un volume (unité logique de type e, f, g,…) qui sera chiffrée et qui contiendra l’ensemble de vos données protégées.

Allez dans le menu Volumes, Créer un Nouveau Volume ou cliquez sur le bouton « Creer un volume »

Trois choix s’offrent à vous :

1 – « Créer un fichier conteneur chiffré», créer un volume qui sera associé à un fichier unique de type confidentiel.tc qui contiendra les fichiers chiffrés sur votre volume habituel (par exemple sur C 🙂

2 – « Chiffrer une partition/ un disque non système », créer un volume complet sur un espace disque disponible tel que une clé USB, une partition de disque non-utilisée, un disque externe

3 – « Chiffrer la partition ou l’intégralité du disque système », modifier une partition actuelle pour la rendre chiffrée en totalité. Cette partition peut-être la partition système ou le disque système.

Ces 3 choix définissent ce à quoi ressemblera le container chiffré qui stockera les fichiers chiffrés.

Choisissons la première option .

L’écran suivant vous propose deux options (disponibles également pour les autres choix précédents) :

– Standard TrueCrypt Volume : globalement, vous allez créer un espace (fichier ou partition) qui sera visible en tant qu’élément chiffré. Traditionnel…

– Hidden TrueCrypt Volume (ou mode paranoïa) : le container qui recevra les fichiers chiffrés sera ‘invisible’, cet espace sera plus précisément sur un espace de disque non partitionné donc non visible sous Windows. Dans le détail, c’est un schéma de fonctionnement peu plus compliqué mais davantage sécurisé puisqu’une analyse rapide d’un ordinateur ne permettra pas de repérer l’existence d’un volume chiffré.

Vous devez ensuite définir de l’emplacement de votre container (ou fichier global) qui contiendra vos éléments à protéger). Cet emplacement peut être vos disque local, externe, USB,… précisez un chemin, voir un nom de fichier. Si celui-ci existe, il ne sera pas réutilisé mais écrasé par TrueCrypt.

L’étape suivante consiste à sélectionner en premier le type de chiffrement que vous souhaitez utiliser. AES, Serpent ou TwoFish mais plus amusant encore, vous pouvez choisir d’additionner séquentiellement 1 ou 2 voire 3 de ces algorithmes déjà forts puissants utilisés de manière individuelle. Partons sur AES, un système de chiffrement à clé symétrique très répandu dans maintes applications informatiques, système robuste et approuvé par le NIST, le FIPS et la NAS comme algorithme de chiffrement fort. Pour l’anecdote qui n’en pas une, l’algorithme a été conçu par deux Belges Vincent Rijmen et Joan Daemen.

Le menu Outils / Banc de Test vous permettra d’évaluer le chiffrement le plus rapide.

Sélectionnez aussi le type de hachage retenu. Le hachage étant l’algorithme qui permet de définir une empreinte « unique » pour un fichier donné. Si le contenu du fichier est modifié, le hachage ne sera plus vérifiable et confirmera que le fichier a été modifié.

Choisissez SHA-512, relativement répandu et très fiable (produit un condensat ou Hash de 512 bits, ce qui est assez important).

Définissez le volume que fera votre conteneur (en Ko ou Mo ou Go). L’espace sera alors alloué dans son intégralité sur le disque mais comme une coquille vide.

Petit rappel : un Ko est Kilo Octet = 1000 octets et qu’il ne faut pas confondre avec un Kibi Octet = 1024 octets. Le CEI a normalisé tout ceci (le kibi octet, le mebioctet,…) en 1998.

Sur le choix du mot de passe, inutile de préciser que plus c’est long plus c’est bon … mais si c’est trop long et trop compliqué on est obligé de le noter sur un post-it… Cela n’empêche pas pour autant d’y glisser quelques caractères exotiques, chiffres, majuscules, minuscules,…).

Le mot de passe est limité à 64 caractères. C’est ce mot de passe qui vous sera demander pour accéder au volume chiffré.

Si vous cochez « Fichier Clé », vous devrez indiquer un fichier qui servira de « clé » supplémentaire au mot de passe. Ce fichier sera ensuite toujours nécessaire pour pouvoir ouvrir le fichier TrueCrypt. Cela peut-être un fichier mp3, avi, texte… Mais un fichier qui ne soit plus modifié !

En fonction de l’utilisation de votre conteneur (notamment si la taille des fichiers hébergés dans le volume sont > 4 Go), TrueCrypt utilisera le système de fichier adapté (exclusion de FAT).

L’étape suivante est de générer les clés nécessaires au chiffrement du volume sur un modèle le plus aléatoire possible sans utiliser la fonction pseudo aléatoire de votre ordinateur. Plus le mouvement de la souris sera long, plus la clé sera difficile à reproduire.

Sélectionnez également le système de fichier retenu (FAT, NTFS)

L’option « Dynamique » permet de créer un conteneur de taille limité qui grossira au fur et à mesure des besoins (mais ne diminuera pas) : cette fonction mérite de ne pas occuper la totalité du volume spécifié au départ, en revanche cela a un impact sur les performances.

Vous devez donc bouger la souris puis faire « Formater »

Le container sera formaté et l’espace chiffré

Vous pouvez ensuite quitter sans quoi l’assistant vous re-proposera de créer un nouveau volume…

Le conteneur créé (sous forme de fichier) avec l’extension que vous avez choisi.

5 – Montage automatique des volumes

Une icône en bas à droite est apparue :

Faites un double-click pour accéder à l’interface

– Sélectionnez la lettre de lecteur qui sera affectée au volume chiffré,

– Dans Volume, sélectionnez le fichier que vous avez généré.

– Cliquez sur « Monter »

– Saisissez votre mot de passe

– l’option « Mode Truecrypt » vous permet de spécifier que le volume sélectionné a été créé par TrueCrypt.

– Cliquez sur OK

– Aller ensuite dans le menu Favorites, et sélectionnez « Add mounted volumes to Favorites…»

De nombreuses options associables au montage de ce volume favori :

– Mettre un label pour rendre le volume facile à identifier parmi d’autres.

– Monter le volume en lecture seule,

– Préciser que le volume est monté à partir d’un support amovible,

– Ne monter le volume que pendant que la session est ouverte,

– Préciser que le volume est monté à partir d’un lecteur réseau

– Ouvrir l’explorateur Windows dès que le volume est monté,

– Ne pas monter le volume favori quand la hot key est pressée.

– Choisir parmi plusieurs volumes, l’ordre de montage des volumes chiffrés.

Validez par OK.

Lorsque vous redémarrez votre PC, VeraCrypt se lancera au démarrage (à l’ouverture de session) et vous demandera votre mot de passe (ou le fichier clé et/ou le mot de passe) puis montera automatiquement le volume chiffré.

L’idéal est dans la plupart des cas, d’avoir VeraCrypt exécuté et initialisé à chaque démarrage de Windows.

Dans le menu Paramètres / Préférences des options sont à activer pour permettre cela :

Notamment « Start VeraCrypt Background Task »

Vous trouverez alors dans votre explorateur windows, l’unité logique montée comme une partition ; tout ce que vous y mettrez sera chiffré et accessible uniquement avec VeraCrypt + votre mot de passe (ou votre fichier clé+mot de passe)

A chaque lancement de VeraCrypt , le (ou les) volumes sauvegardés dans les favoris seront montés automatiquement.

6 – Montage de volume en ligne de commande

Un volume VeraCrypt peut être monté en ligne de commande.

Exemple : "C:\Program Files\VeraCrypt\VeraCrypt.exe" /a /v d:\temp\test.vc /l m /e /p montmotdepasse

/a => pour monter automatiquement le volume qui va suivre

/v d:\temp\test.vc => /v permet de préciser où se trouve le fichier VeraCrypt à monter en indiquant le chemin complet.

/l m => indique la lettre de lecteur (ici : M) doit être associée au volume chiffré.

/p monmotpdepasse => évidemment à déconseiller, mais permet de renseigner automatiquement le mot de passe du conteneur chiffré.

7 – Sauvegarde / Restauration

L’essentiel est maintenant d’envisager la situation suivante :

– que faites-vous si votre fichier conteneur est perdu, altéré, effacé ?

Il n’y a pas grand chose à faire dans le cas où le conteneur est un fichier stocké sur un volume windows : sauvegardez le fichier classiquement sur bande, média externe,…Restaurez, réinstallez VeraCrypt et voilà…

8 – Les KeyFiles pour une authentification renforcée

Dans l’étape 3, vous avez associé l’accès au conteneur à un mot de passe. Ce dernier est plus facilement vulnérable (exemple de BrutForce ou Keylogger,….)

Avec VeraCrypt, une utilisation plus sécurisée est possible. L’accès à une donnée confidentielle n’est plus dépendant de ce que je sais, mais aussi de ce que je possède : le keyfile

L’utilisation des keyfiles : c’est associer un fichier ou les fichier d’un répertoire (la clé) qui vous donnera accès au volume chiffré à la condition initiale que le mot de passe fourni soit le bon.

Le fichier peut-être aussi bien un mp3, qu’un avi, qu’un fichier word,… Il doit faire au moins 30 octets et ne doit plus être modifié.

Pour basculer d’u simple « mot de passe » au mode « mot de passe + keyfile »

– Ouvrez l’interface VeraCrypt (ne montez pas le volume)

– Cliquez sur Outils pour le Volume (ou dans le menu Volume / Modifier le mot de passe du volume)

– Choisissez Change Volume Password…

– Dans la zone Actuel, saisissez votre mot de passe actuel

– Dans la zone Nouveau , saisissez avec confirmation votre nouveau mot de passe, puis

– Cliquez sur le bouton Fichiers clés

– Sélectionner le fichier (ou le répertoire) qui vous servira de clé

Le fichier sélectionné ne sera pas modifié.

-Validez.

Bougez votre souris de manière aléatoire.

Et c’est tout.

Pour monter le volume chiffré, il vous restera à spécifier le fichier clé et le mot de passe comme auparavant.

Pensez à sauvegardez votre fichier clé car il devient désormais une clé essentielle pour l’ouverture de votre conteneur (ainsi que votre mot de passe).

9 – Chiffrement du volume contenant le Système d’Exploitation

Plus délicat maintenant mais tellement plus efficace, la mise en place du chiffrement au niveau du volume complet où se trouve le système d’exploitation.

Autrement dit, le système démarre au sein d’un conteneur chiffré.

Pour commencer, il faut avoir son OS et VeraCrypt installés normalement.

1 – aller ensuite dans le menu Système / Chiffrer la partition/le disque système…

Choisir « Normal »

– Dans le choix suivant, soit vous décidez de chiffrer le volume système seulement, à l’exception de toutes les autres partitions présentes, soit « Chiffrer l’intégralité du disque » , soit de « Chiffrer la partition système Windows » . Dans le premier cas vous décidez (et c’est sans doute le meilleur choix) de chiffrer le volume système et TOUTES les partitions présentes sur le disque physique ; dans ce dernier cas, un chargeur VeraCrypt sera installé : à chaque boot du système, le chargeur vous demandera le mot de passe Veracrypt et la séquence de boot système pourra démarrer ensuite.

Attention, si vous avez choisi l’option « Chiffrer l’intégralité du disque », VeraCrypt va alors chiffrer TOUS les volumes du disque physique, y compris les volumes contenant des utilitaires ou boot spécifiques ou systèmes de restauration etc… Donc si pensez être dans cette situation (vérifier avec les DiskManager de Windows), choisissez Yes. Veracrypt va alors détecter ces volumes spécifiques et les exclure.

Dans le cas d’un volume sur un disque virtuel, sur certains portables également, on pourra choisir No.

L’écran suivant permet de spécifier si le module de boot doit intégrer la présence de 1 ou plusieurs OS déjà installés en multi-boot.

Étapes suivantes, choisissez l’algorithme de chiffrement :

Spécifiez votre mot de passe suffisamment robuste, c’est à dire 20car min avec une complexité habituelle (vous pouvez le tester ici : http://www.passwordmeter.com/)

Puis se démarre les séquences de génération de clés :

L’étape suivant consiste à créer un fichier ISO de secours – passage obligatoire.

Ce fichier est stocké sur un autre CD ou DVD.

Il vous permettre de booter votre système, de déchiffrer votre partition et contient une sauvegarde des premiers secteurs de boot. Veracrypt vous invitera d’ailleurs à le graver sur un CD ou DVD immédiatement : condition nécessaire pour pouvoir lancer le chiffrement de la ou des partitions.

Une fois, le CD gravé, vous devrez vérifier la bonne issue de l’opération.

Dernière opération : VeraCrypt prévoit une passe simple ou complexe de nettoyage du volume afin de réduire toute récupération de donnée non chiffrée.

Ensuite, VeraCrypt fera un premier test de chiffrement du système (au prochain reboot) :

Un dernier click : le reboot de votre système est lancé

Au boot du système, VeraCrypt vous demandera votre mot de passe :

Il suffit de le saisir, et Windows démarrera (pour faire un premier test de boot).

Après ce premier reboot, VeraCrypt doit valider que le prétest est OK puis vous proposera de lancer le chiffrement final des partitions.

Appuyez juste sur « Chiffrer » et c’est parti pour le chiffrement des partitions.

Ci-dessous une progression ; environ 25 minutes pour 30 Go.

A la fin :

Vos partitions sont chiffrées !

PS : si la partition est chiffrée, une fois l’OS démarré, les données sont bien entendues en clair accessible depuis l’explorateur, donc également à travers le réseau du PC…

10 – Chiffrer ET cacher sa partition (système) –

(partie non mise à jour pour VeraCrypt)

Cela peut s’avérer utile lorsque vous voyagez dans certains pays où on peut légalement vous demander votre portable à la douane : chiffrer un volume de données, ET le rendre non visible afin de ne pas susciter d’attention particulière.

Cette méthode est sensiblement plus complexe que l’étape précédente.

Globalement cela consiste à mettre en œuvre un premier OS sur une partition chiffrée dans lequel nous insérerons un second volume contenant l’OS final (et donc les données) chiffré et caché. Le premier OS sera ensuite formaté et vous devrez réinstaller un OS sur cette première partition !

Voici ce à quoi va ressembler votre partitionnement final :

La partition 1 est celle qui reçoit l’OS chiffré qui servira de leurre (c’est l’OS1).

La partition 2, juste après la partition 1 est celle qui reçoit l’OS chiffré et caché (c’est l’OS2) : sa taille doit être de 2.1 fois la partition 1. La partition 2 doit être créée..

Sur l’OS1, vierge avec VeraCrypt installé :

1 – dans le menu Système, choisissez « Créer un systèmes d’exploitation caché»

On vous prévient que vous DEVREZ réinstaller vos OS situé sur la première partition. Votre OS1 et le contenu entier de la partition 1 sera recopié sur la partition 2.

Dans la question suivante, VeraCrypt détecte que le fichier d’échange est sur votre partition system ce qui peut représenter le risque de dévoiler la présence de votre partition système cachée. Si vous répondez Yes, Veracrypt fera la modification nécessaire.

Après le reboot éventuel pour suppression du Pagefile.sys, on peut relancer la séquence :

On vous rappelle que l’OS1 sera à réinstaller (donc supprimé)

Attention, nombreux avertissements de sécurité qui visent à faire en sortie que l’usage d’un système chiffré/caché reste « indétectable » : raison pour laquelle toute écriture en dehors de la partition 2 (typiquement sur la partition 1) ne sera pas possible.

Page suivante : on retrouve l’installation du BootLoader qui sera adapté en fonction votre choix « avez-vous un seul OS ou bien avez-vous plusieurs OS distincts ? »

Info importante : sous Windows, assurez-vous d’avoir activé votre système auprès de Microsoft avant de lancer la copie vers la Partition 2. Toujours pour éviter de faciliter la détection de l’existence de cet OS2…

Le « Volume de Chiffrement externe » sera par défaut, la totalité de votre partition 1 (officielle) et partition 2 (cachée).

Spécifiez un mot de mot de passe spécifique pour l’accès à ce volume.

Rappel que tout ce qui se trouve sur votre seconde partition sera effacé.

On lance le formatage de la partition dès que vous avez généré assez de mouvement aléatoire avec votre souris.

Maintenant que le volume externe est créé est accessible (par d »faut monté sous Z:), on passe à la création du volume caché de la partition 2.

Attention : l’algorithme de chiffrement de la partition 2 devra être le même que celui de la partition 1.

Spécifiez un mot de passe (un3ème) disctinct des 2 autres.

Formattage de la partition 2.

Reboot du système.

Saisissez le dernier mot de passe saisi (celui fourni pour la mise en œuvre du système caché)

L’opération de recopie du premier système vers le second système en version cachée commence. (clonage de la partition 1 vers Partition 2.)

Et là, il faut s’armer de patience….

…

Quand la copie est terminée, ressaisissez à nouveau votre mot de passe (le dernier créé, celui de votre partition cachée).

Votre système caché démarre.

A l’ouverture de session Windows, un nouvel avertissement fort sur les recommandations :

Ensuite démarre la procédure d’effacement de l’OS1 :

Une fois démarré, TrueCrypt va vous proposer d’effacer le plus efficacement possible le contenu de la partition 1.

Générer une clé supplémentaire aléatoire pour renforcer l’effacement :

Attention, toutes les données de la partition 1 seront effacées (sachant que c’est une copie de cette première partition qui actuellement sur la partition 2).

Quand c’est terminé :

Vous devez éteindre vos ordinateur (histoire de vider autant que possible toute rémanence de mémoire).

Redémarrez votre ordinateur et installez votre OS : ne bootez pas sur le disque contenant le système caché = donc démarrez sur votre média d’installation (DVD/USB/WDS).

…

Installation de votre OS

…

Une fois votre OS installé, bien sûr vous ne pouvez plus booter sur votre système caché.

Installez VeraCrypt sur le système fraichement réinstallé et lancez la fonction de chiffrement de votre partition système (comme au chapitre 7 précédent), c’est-à-dire :

– menu Système / Chiffrer la partition, le disque système,

– Choisissez « Normal » et non « Caché »

– Choisissez « Chiffrer la partition Sysème Windows »

– Si votre PC n’a qu’un seul système (hors celui est caché), choisissez Amorçage (simple),

– Dans l’étape Options de Chiffrement : choisissez impérativement le même chiffrement que celui utilisé pour votre système chiffré ET caché.

– Spécifiez un mot de passe (différent de celui qui vous permet de booter sur votre OS cyrpté et caché)

– Laissez VeraCrypt vous graver un CD de récupération d’urgence (si vous en avez déjà, mettez le CD pour que VeraCrypt en fasse la vérification)

– Sélectionnez le mode de nettoyage qui vous convienne,

– Lancez le pré-test de chiffrement du système => un reboot sera proposé.

– Au reboot, saissez votre password créé dernièrement (pas encore celui de la partition chiffrée/cachée)

– Lancement de votre OS chiffré (non caché), VeraCrypt vous propose vous confirme que le prétest est terminé et lance le chiffrage de votre partition.

– Quand c’est terminé, rebootez votre OS.

Maintenant, le process est terminé :

– Au boot de votre PC, le loader VeraCrypt vous demande un mot de passe

Si vous mettez le password de votre partition système chiffré ET cachée, vous booterez sur cet OS (l’OS2).

Si vous mettez le password de votre partition système chiffrée (la partition leurre), vous booterez sur l’OS normal .

Le troisième password vous permet d’accès à la partition externe.

11 – Détecter la présence de Conteneurs TrueCrypt

(partie non mise à jour pour VeraCrypt)

Utiliser TrueCrypt est sans doute indispensable lorsqu’on manipule des données confidentielles mais lorsqu’il s’agit à l’inverse de détecter si une personne abuse utilise TrueCrypt. Il existe à minima quelques pistes, outils et traces laissées par TrueCrypt.

TCHunt (TC pour TrueCrypt et Hunt pour…) : cet outil permet de détecter les fichiers TrueCrypt sur un ordinateur, pas seulement si ils ont l’extension .TC => http://16s.us/TCHunt A cette heure, TCHunt ne détectait pas encore les partitions. La dernière version était la 1.6, voici son usage :

TCHUNT –d C:\temp –v

-d pour Detect

C:\temp ou autre répertoire

-v pour mode verbeux.

Si vous lancez cette commande (surtout à la racine d’une partition), tous les fichiers seront analysés à la chaine, avec un résultat difficile à exploiter.

Préférez alors : tchunt –d c:\ 2>nul

TChunt vous renverra alors les éventuels fichiers ayant 1 conteneur TrueCrypt.

Attention : TChunt permet de suspecter la présence d’un fichier TrueCrypt. Le taux de faux négatifs et faux positifs peut être déroutant.

Traces locales :

Dans le cadre de conteneurs cachés (de second niveau), il reste deux arguments systématiques pour détecter la présence de ces conteneurs : 1 – le conteneur premier ne pourra jamais contenir ou stocker la totalité de l’espace qui lui est alloué, 2 – les fichiers leurres du premier conteneur sont rarement mis à jour et donc souvent obsolètes.

Le système d’exploitation laisse apparaitre également la présence de fichiers tels que truecrypt (-x64).sys dans system32\drivers

Le registre laisse entrevoir quelques associations de fichiers : .TC par défaut

Etc …

Ransomware & Cryptolocker – limiter les dégâts en entreprise

29 juin 2017Informations, Logiciels, VulnérabilitésOlivier THEBAUD

Locky puis … puis …. puis WannaCry … puis (not)Petya

Des malware particulièrement dangereux se propagent dans nombre d’entreprises de taille différente, de secteur d’activité, dans nombre de pays ; leur but est d’infecter un premier PC de la société, puis par ce biais de chiffrer tous les fichiers bureautiques que le malware va rencontrer aussi bien sur le poste local et que sur les partages des serveurs de fichiers. Une fois les dizaines de fichiers chiffrés, la société est condamnée à restaurer ses fichiers… à payer…. ou avec un peu de chance à utiliser l’un des outils proposés par certains éditeurs d’Antivirus (cf point 3).

Attention : Petya ne permet aucune récupération (même avec paiement), il semble que l’objectif soit de rendre inaccesiblement les données (au niveau de la partition et des fichiers), il se classe donc moins dans la catégorie des ransomwares que des destructeurs.

Tous ces malwares ne sont pas à mettre dans le même sac et n’ont pas les mêmes objectifs : mais tous justifient de respecter quelques règles d’hygiène en terme de sécurité informatique pour s’en prémunir efficacement.

1 – Fonctionnement d’un cryptolocker / ransomware

Comment l’utilisateur contribue à infecter son poste de travail et surtout les serveurs de sa société ?

un mail assez bien rédigé est envoyé à l’utilisateur, le mail contient soit une pièce jointe, soit un lien URL.
le mail est souvent envoyé en rafale à un nombre important de collaborateurs supposant qu’il s’en trouvera bien pour ouvrir la pièce jointe.
pour les 2 vecteurs de propagation (mail ou URL), la charge active est rarement détectée par les antivirus voire jamais les premières heures de l’attaque. Il faut souvent attendre 12 heures pour commencer à voir les premiers antivirus se mettre à jour.
dès qu’un poste informatique est infecté, le malware va chercher tous les lecteurs réseaux accessibles en écriture puis chiffrer tous les fichiers en les renommant avec une extension particulière (par exemple *.locky ou dernièrement *.wcry)
même si l’utilisateur n’est pas admin de son poste Windows, l’infection fonctionne correctement.
Les ransomwares rencontrés (janvier 2016) se limitent à se connecter aux lecteurs réseaux des postes de travail. Il faut prévoir que progressivement ces malware iront chercher les partages réseau (même sans lecteur réseau connecté) et mieux encore, les partages administratifs ou cachés (avec le $). Depuis début mars 2016, ces mêmes logiciels savent se propager non seulement sur les lecteurs réseaux, mais aussi sur les partages réseaux des serveurs de fichiers.

L’infection d’un poste de votre entreprise voire de vos serveurs est un scénario hautement probable voire inévitable….

…Autant vous y préparer au mieux.

2 – La prévention

En quelques points rapides :

1 – Maintenez votre parc de PC et Serveurs avec les dernières mises à jour !!!WannaCry ne se propage que sur des Windows non à jour avec le patch MS017-10, Petya fait de même mais peut aussi utiliser les comptes windows locaux pour se propager sur les autres postes.
2 – Assurez vous d’avoir des sauvegardes fonctionnelles et régulières de vos serveurs de fichiers.
3 – Assurez-vous de tester régulièrement vos sauvegardes du point 1
4 – Activer les Clichés Instantanés de Windows , plusieurs fois par 24h si vous avez assez d’espace sur vos stockages. La restauration des versions précédentes, en cas d’infection sera particulièrement efficace et rapide.
5 – Filtrer tous vos mails internet entrants contenant scripts (type js, js dans du ZIP, macro dans les XLS, DOC, PPT, PDF) – exemple de Petya
6 – Rejetez les mails internet envoyés depuis votre domaine interne en vérifiant que tous les procédés d’obfsucation soient détectés dans la rédaction du domaine source.
7 – Vérifiez que le contrôle des mails entrant se fasse bien sur le type MIME et SMTP.
8 – A partir de Windows 2008R2, activez la fonctionnalité de filtrage d’extension de fichier. Cette fonctionnalité doit être installée et permet de bloquer la création de nouveaux fichiers avec une extension définie, et/ou de générer une alerte mail auprès des sysadmins dès qu’un fichier avec une extension non désirée apparait sur le serveur de fichiers (par exemple *.locky ou *.wcry). L’article ici détaille les opérations pour un exemple avec LOCKY. mais c’est très simple de l’adapter à WannaCry
9 – si votre parc de PC est en Windows 7 Entreprise , activez APPLOCKER : pour Petya, interdire PSExec a un effet immédiat.
10 – Ne naviguez pas sur internet ou ne consultez pas vos mails avec un compte utilisateur privilégié (ou administrateur) : exemple avec Petya se sert du compte Admin pour se propager.
11 – Sensibilisez, Sensibilisez, et recommencer, à sensibiliser vos utilisateurs. Comme pour les sauvegardes : ce point est primordial.

Ne comptez pas sur les seuls « antivirus, antispam et firewall » pour vous protéger efficacement. Les points ci-dessous seront un parfait début, à compléter par le trio.

Une plaquette de prévention éditée par l’ANSSI en 4 points à respecter en entreprise : https://www.ssi.gouv.fr/uploads/2016/06/20160819_flyers_eben_a4_v10.pdf

3 – Touchés ?

La question est de savoir comment vous allez avoir l’information qu’un PC du parc est infecté (au moins 1…). Vous vous en rendez compte par une alerte sur un serveur de fichiers ou par un utilisateur.

Dans l’ordre, il faudra stopper la propagation du chiffrage, identifier quels postes sont infectés et mettre de côté vos dernières sauvegardes pour ne pas qu’elles soient ré-écrasées par une sauvegarde corrompue.

Immédiatement : éteignez le serveur identifié puis tous les serveurs de fichiers de votre parc ayant un partage réseau (ou sur lesquels les postes informatiques ont un lecteur réseau). Cette seule opération vise à stopper le cryptage des fichiers, cela va très vite : en 1 heure, un PC infecté peut chiffrer près de 40 000 fichiers d’un seul serveur.

Reste à identifier le ou les PC ayant causés ces infections :

demandez à l’ensemble des utilisateurs de se manifester, si ils pensent avoir cliqué sur un lien ou une pièce jointe mais que rien ne s’est produit : cela aide, certains utilisateurs se manifesteront et cela permettra rapidement d’isoler ces postes du réseau puis de les soumettre à une analyse complète à partir d’ISO antivirus proposé par les éditeurs.. le temps que les définitions soient mises à jour.
redémarrez le premier serveur détecté, hors réseau, puis en tant qu’admin du serveur et après avoir affiché tous les systèmes / cachés des volumes du serveur, recherchez tous les fichiers ayant été infectés. Un DIR *.locky /S > C:\temp\diag-date-heure.txt permettra de faire un premier journal des fichiers infectés. Ce journal texte vous indiquera quels sont les premiers fichiers infectés (date et heure). Mieux encore, il est possible que certains fichiers infectés n’auront été accessibles que par un utilisateur (lecteur individuel) ou une poignée d’utilisateurs ce qui vous permettra très vite d’isoler les postes des personnes identifiées.
Faites de même avec l’ensemble des autres serveurs de fichiers pour vous assurer de ne pas avoir laissé un poste infecté.
Si le fichier chiffré contient une extension non filtré par le serveur de fichiers, ajoutez cette extension au filtre (passif ou actif).
Identifiez la source potentielle d’infection (mail ou URL) par l’utilisateur puis soumettez le fichier infecté à www.virustotal.com .

Rappel précieux, les conseils de l’ANSSI : https://www.ssi.gouv.fr/actualite/alerte-campagne-de-rancongiciel-2/

+ un lien spécifique pour Petya : http://www.cert.ssi.gouv.fr/site/CERTFR-2017-ALE-012/CERTFR-2017-ALE-012.html

4 – Remise en route

Lors que les PC infectés semblent avoir été identifiés, que les filtres sur les serveurs de fichiers sont effectifs et correspondent à l’attaque actuelle, remettez les serveurs sur le réseau progressivement en vérifiant (par la commande Dir /s *.locky) si de nouveaux fichiers apparaissent ou pas.

Restaurez les répertoires touchés via les clichés instantanés ou par les backups.

Ne remettez les postes soupçonnés sur le réseau que lorsque vous avez en main un antivirus à jour qui détecte la charge active.

Des outils gratuits pour retrouver vos fichiers chiffrés.

Kaspersky propose 6 décrypteurs de fichiers – https://noransom.kaspersky.com/

AVAST propose 15 outils pour des variantes différentes – https://www.avast.com/ransomware-decryption-tools

AVG contribue également avec 5 outils – http://www.avg.com/fr-fr/ransomware-decryption-tools

TrendMicro propose une console unique qui intervient sur bon nombre de variantes de Ransomware – https://success.trendmicro.com/solution/1114221-downloading-and-using-the-trend-micro-ransomware-file-decryptor

A cette heure, il n’existe pas d’outils pour les fichiers chiffrés par WannaCrypt.

Dans tous les cas, ne téléchargez ou n’exécutez jamais un outil magique déchiffreur sur un autre site qu’un éditeur d’antivirus, sans quoi vous risquez de vous retrouver avec d’autres problèmes.

Quelques liens utiles :

http://korben.info/locky-quil-y-a-a-savoir-malware-moment.html

Alerte sécurité : Nouvelle vague d’attaque virale de type « ransomware » à l’aide du virus Locky

Locky Ransomware

http://www.ssi.gouv.fr/en-cas-dincident/

PETYA :

désactiver PSXEC = https://guyrleech.wordpress.com/2017/06/28/petya-easily-disabling-access-to-psexec/
détail de PETYA = https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/

Charte Informatique

8 janvier 2017Informations, Normes & LégislationsOlivier THEBAUD

Charte Informatique ou

Charte des Systèmes ou d’Information

Le principe d’une telle charte :

Rappeler aux salariés le contexte légal liés aux Technologies de l’Information
Exprimer auprès des salariés les limites spécifiques au contexte de l’entreprise avec transparence.
Lister les bonnes pratiques, les précautions d’hygiène de l’usage du système d’information au cœur de l’entreprise.
Protéger à la fois l’employeur et les salariés de l’entreprise, vis-à-vis des responsabilités respectives
Evoluer au gré de l’évolution de l’entreprise, des lois, et des services du système d’information.

Applicabilité :

Pour qu’elle soit pleinement applicable donc opposable au salarié ou exploitable en cas de conflit, la charte informatique doit être :

Soumise à l’avis des membres du Comité d’Entreprise,
Faire l’objet d’un dépôt au greffe du conseil de prud’hommes
Transmise à l’Inspection du Travail accompagné de l’avis du CE.
soit signée par chaque collaborateur (ce qui peut s’avérer simple au début deviendra complexe à gérer lorsque celle-ci évoluera), soit intégrée ou annexée au règlement intérieur (ce qui peut sembler un peu plus long mais plus facile à faire évoluer.
Communiquée à tous les salariés concernés et mis à disposition (affichage, lien intranet,..)

Contenu d’une charte :

La charte va être présentée au CE, lue par les salariés : elle doit être la plus succincte possible, claire, avec des termes compréhensibles par tous les salariés. Attention aux chartes de plus de 10 pages…

Voici les thèmes principaux à aborder.

Usage Professionnel

Les comptes utilisateur / politique des mots de passe :

Un compte utilisateur est théoriquement nominatif : les salariés ne doivent pas communiquer leur compte+mot de passe.

Le choix du mot de passe peut (doit) être imposé par une stratégie du SI sur la longueur, la complexité etc.. La stratégie doit être présentée et expliquée, ainsi que les règles de choix de mot de passe complexes. De même les conditions de divulgation du mot de passe doit être claire (exemple vis-à-vis d’un service Support).

Courrier électronique

Rappeler les limites sur les pièces jointes, le nombre de destinataires simultanés ainsi que les recommandations sur les mailings, l’écriture en majuscule, l’usage de canaux de communications alternatifs (téléphone, chat, visio,…)…

Usage d’internet (et filtrage)

La navigation sur internet peut être « libre » depuis l’entreprise mais un filtrage doit être imposé vis à vis des sites web à caractère illégal. Si l’entreprise a une politique de filtrage supplémentaire (drive Google/Microsoft/Apple/Dropbox, jeux en ligne,…) la nature du filtrage doit être exposée ici.

Pour le reste, il s’agit évoquer le respect du droit (auteur, terrorisme,…).

Droit à la Déconnexion

En vigueur depuis janvier 2017, les salariés ont droit à la déconnexion informatique. Il s’agira de rappeler les devoirs des managers, des règles de déconnexion automatique (en fonction des horaires), des bonnes pratiques.

Sauvegarde et protection des données professionnelles

Les salariés doivent être sensibilisés à la valeur des données qu’ils manipulent et stockent. Ces données doivent être protégées (niveau de confidentialité ?), soumises à des obligations de chiffrage ou stockées dans des emplacements protégés et sauvegardés (par opposition aux supports USB par exemple).

Publication sur internet et réseaux sociaux

Publier sur un blog professionnel, sur un espace Internet du site web de l’entreprise peut engager le directeur de la publication : une attention particulière doit être apportée aux collaborateurs qui sont en charge du contenu des sites webs.

Ce paragraphe peut être également l’occasion de préciser la latitude proposée par la Communication quant à l’usage des réseaux sociaux sous en-tête de l’entreprise ou au nom de celle-ci.

Téléphonie fixe et mobile

en cours…

Les Super Utilisateurs

en cours…

Usage à titre extra Professionnel

Cet usage est autorisé dans le cadre légal, l’employeur doit en revanche en définir ses propres contours et permettre au salarié de savoir si son propre usage à titre personnel des ressources de l’entreprise serait répréhensible ou pas. Cela concerne aussi bien l’usage de la téléphonie fixe, mobile, de la navigation internet, de la messagerie, du stockage de fichiers personnels (et des conditions de stockage).

Audit, journalisation, traitement des données personnelles

Par souci de transparence : il est primordial d’indiquer quelles sont les données collectées lorsque les salariés surfent, lorsqu’ils envoient/reçoivent des mails, etc… Il est également utile de rappeler les conditions d’accès aux données professionnelles des salariés par l’IT et les restrictions d’accès pour des données identifiées comme privées ou personnelles ou confidentielles.

En complément, des audits de sécurité, des recherches liés à dysfonctionnements peuvent être déclenchés et nécessiter des accès aux boites aux lettres, aux journaux d’activité, aux postes de travail,… Les salariés doivent en être informés et idéalement comprendre pourquoi cela peut être nécessaire.

La partie « traitement des données personnelles » vise à décrire la situation de l’entreprise vis à vis du règlement européen (sans pour autant faire doublon avec le registre CIL). Il faut indiquer combien de temps les données sont conservées, pour quels usages, quelle nature des données et comment s’informer davantage auprès du CIL (ou DPO).

Annexe

Un rappel des textes légaux en vigueur.

Quelques liens utiles :

Pour finir et si vous avez des doutes : faites vous accompagner par un Avocat pour la validation de la charte Informatique de votre entreprise.