Discussion :

[Patrick Ruiz]

Le piratage catastrophique d’un fournisseur de services de messagerie détruit près de deux décennies de données
Relatives à des courriels

VFEmail a, il y a peu, subi ce que l'entreprise appelle « destruction catastrophique » de la part d'un tiers encore inconnu qui est parvenu à détruire toutes les données primaires et de sauvegarde de l'entreprise aux États-Unis. D’après le fondateur de l’entreprise, c’est près de deux décennies de données relatives à des courriels qui sont perdues.

Fondée en 2001 et basée à Milwaukee dans le Wisconsin, VFEmail fournit un service de courrier électronique aux entreprises et aux particuliers. Les premiers signes de l'attaque ont fait surface le matin du 11 février lorsque le compte Twitter de l'entreprise a commencé à recevoir les rapports des utilisateurs qui disaient ne plus recevoir de messages. Quelques heures plus tard, une mise à jour tombait pour signaler que l’attaquant a tout formaté.

À ce stade, l'attaquant a formaté tous les disques sur chaque serveur. Chaque machine virtuelle est perdue. Chaque serveur de fichiers est perdu, chaque serveur de sauvegarde est perdu. Curieusement, toutes les machines virtuelles ne partageaient pas la même clé d’authentification, mais toutes ont été détruites. C'était plus qu'une attaque par mots de passe multiples via ssh et il n'y avait pas de rançon. L'attaquant n'avait qu'un objectif : détruire.

Dans un autre de ses interventions sur une plateforme en ligne, le fondateur de l’entreprise explique que l’attaquant a fait usage de plusieurs moyens d’accès à l’infrastructure mail. Il vient d’après ce dernier que l’authentification à deux facteurs mises en place n’a pu suffire pour contenir l’assaut.

La méthode 2FA ne marche que dans le cas où la tentative d’accès se fait par authentification, mais dans le cas d’espèce il s’agit plutôt d’exploits. L’attaquant s’est appuyé sur trois moyens différents (au minimum) pour parvenir à ses fins

.
Le 11 février, une mise à jour est parue sur le site web de l’entreprise pour annoncer la reprise du service et que des efforts étaient faits pour récupérer les données des utilisateurs qui pourraient l’être.

Présentement, je ne suis pas sûr du statut du courrier existant pour les utilisateurs américains. Si vous avez votre propre client de messagerie, N'ESSAYEZ PAS DE LE FAIRE fonctionner. Si vous reconnectez votre client à votre nouvelle boîte aux lettres, tout votre courrier local sera perdu.

KrebsOnSecurity rapporte à propos des tentatives de récupération des données que l’entreprise a pu récupérer un disque de sauvegarde hébergé aux Pays-Bas, mais qu’il semble que les courriels des utilisateurs américains sont définitivement perdus. Un utilisateur de longue date de VFEmail confirme via le blog spécialisé en sécurité que l’attaque a entièrement effacé sa boîte aux lettres ; dans les chiffres, on parle de 60 000 courriels entrants et sortants.

Il est rare que des pirates informatiques prennent des mesures pour effacer (sans motivation apparente) toutes les données d'une entreprise, ce qui fait de l'épisode VFEmail un cas un peu à part. La plupart des attaques s'appuient généralement sur des serveurs compromis pour lancer des botnets, héberger des logiciels malveillants ou demander des rançons. En novembre 2015, l’entreprise a justement été la cible d'Armada Collective - un groupe de pirates qui exigeait des entreprises victimes des rançons pour arrêter des attaques DDoS.

La demande de rançon la plus importante jamais payée à ce jour est celle de Nayana. La société d'hébergement web sud-coréenne a versé 1 million de dollars en Bitcoin après que des intrus ont piraté son réseau et exécuté le logiciel de rançon Erebus qui cryptait les données sur des milliers de serveurs des clients.

En juin 2014, le fournisseur d'infrastructure en tant que service Code Spaces a été contraint de fermer ses portes après que des pirates ont également piraté ses serveurs et effacé ses serveurs.

Source : Twitter, KrebsOnSecurity

Et vous ?

Qu’en pensez-vous ?

Avez-vous une copie de sauvegarde de vos mails ou d'autres services en ligne que vous utilisez au cas où ?

Voir aussi :

Le ransomware WCry prend en otage des milliers d'ordinateurs dans une attaque d'envergure mondiale, des rançons de 300 $ minimum sont exigées

Petya/NotPetya serait un wiper déguisé en ransomware, son objectif serait de supprimer irrévocablement les données de ses victimes

Les données chiffrées par le ransomware Jaff, demandant jusqu'à 5000$ à ses victimes, sont déchiffrables gratuitement avec un outil de Kaspersky

[transgohan]

On comprends donc qu'ils n'avaient pas de sauvegardes ?
Ou bien que leurs sauvegardes n'étaient pas archivées ? (et donc que l'attaque a formaté les sauvegardes)
Incompétence totale... Cela me ferai peut d'avoir un sous-traitant comme ça.

[siick]

On comprends donc qu'ils n'avaient pas de sauvegardes ?
Ou bien que leurs sauvegardes n'étaient pas archivées ? (et donc que l'attaque a formaté les sauvegardes)
Incompétence totale... Cela me ferai peut d'avoir un sous-traitant comme ça.

Je ne pense pas justement, quand je lis j'ai plutôt l'impression qu'il avait bien des sauvegardes mais qu'elles sont passés à la trappe aussi. Il a visiblement effacer TOUS les serveurs de l'entreprise.

l'attaquant a formaté tous les disques sur chaque serveur. Chaque machine virtuelle est perdue. Chaque serveur de fichiers est perdu, chaque serveur de sauvegarde est perdu.

Donc tu as beau sauvegarder sur d'autres serveurs et en plusieurs fois, si l'attaquant avait l'accès aux serveurs de sauvegarde, les sauvegardes ne servent à rien dans ce cas.

[Doksuri]

On comprends donc qu'ils n'avaient pas de sauvegardes ?
Ou bien que leurs sauvegardes n'étaient pas archivées ? (et donc que l'attaque a formaté les sauvegardes)
Incompétence totale... Cela me ferai peut d'avoir un sous-traitant comme ça.

sur le site, un message en rouge :

This person has destroyed all data in the US, both primary and backup systems.

[gallima]

... Donc tu as beau sauvegarder sur d'autres serveurs et en plusieurs fois ...

L'idée est de faire des copies sur bandes régulière via des robots de sauvegarde. Les bandes (cassettes) sont ensuite physiquement déplacés vers des centres de stockage adapté.
En terme de sauvegarde c'est aussi le plus rapide et le le moins chère.
Dans certains domaines (bancaire par exemple) cette pratique est même obligatoire.

[Folgore]

Leur site est quand même d'une autre époque... Enfin, ils n'ont pas l'air d’être sortie des années 2000. Ca doit faire peur aussi au niveau de l'archi et la sécurité derrière. Bon vous me direz que l'habit fait pas le moine, mais en tant que client, un site c'est aussi office de vitrine et faut que ca respire le neuf

Vaux mieux qu'ils retirent aussi leur slogan du logo

[transgohan]

Donc tu as beau sauvegarder sur d'autres serveurs et en plusieurs fois, si l'attaquant avait l'accès aux serveurs de sauvegarde, les sauvegardes ne servent à rien dans ce cas.

C'est ce que je dis justement... C'est de l'amateurisme.
Voir la réponse de Gallima qui indique ce qui aurait du être fait et ce que je ciblais derrière le terme "archiver".
On doit toujours scinder sauvegardes et système en cours d'exécution.
Généralement on prévoit deux bâtiments différents.
Mais si c'est numérique, en réseau... Bah cela a beau être à deux endroits physique cela ne change rien au danger vu que c'est accessible au même moment de partout.
Par contre si c'est déconnecté du réseau alors il n'y a plus de souci et cela respecte bien les contraintes de sécurité.

[Mimoza]

Une sauvegarde «froide» leur aurait sauvé la mise en effet. A voir comment le formatage a été fait mais avec un bon outil de récupération de données il y a moyen de rattraper pas mal de choses.

[Anselme45]

Cette histoire ne fait que prouver que la politique de plus en plus courante des entreprises consistant à déléguer toute la responsabilité de leur informatique et de leur données à des sociétés tierces n'est qu'une vaste connerie.

Pour des raisons d'économie apparentes (apparentes car la solution est économique tant qu'il n'y a pas un problème), les entreprises jouent leur pérennité au dé en se jetant dans les bras de prestataires sans même en vérifier la crédibilité (quand c'est possible car la plupart du temps, il est même impossible de s'assurer du sérieux du prestataire).

Pensée émue pour un client de ma connaissance qui a déplacé son ERP dans le cloud d'un prestataire qui se dit professionnel: Quand ce prestataire vous ouvre un accès à distance avec tous les droits administrateur, il vous envoie les login/password en clair dans un mail. Et de toute manière à quoi cela servirait d'intercepter ce mail quand le login=le nom de l'entreprise et le password = l'année en cours?

[abriotde]

politique de plus en plus courante des entreprises consistant à déléguer toute la responsabilité de leur informatique et de leur données à des sociétés tierces n'est qu'une vaste connerie

Non, car si c'était fait en interne e serait très certainement encore moins bien sécurisé et sauvegardé. Si la quantité de données en internes n'est pas gigantesque la maintenance d'un tel système en interne n'est absolument pas rentable du coup son budget est sabré. Une entreprise dédié à tout intérêt à être bien sécurisé ce qui était le cas. La sauvegarde sur bande et/ou déconnecté du réseau est très rarement mise en place on préférera pour beaucoup moins cher ajouter des obstacles.

[transgohan]

La sauvegarde sur bande et/ou déconnecté du réseau est très rarement mise en place on préférera pour beaucoup moins cher ajouter des obstacles.

Aucune sécurité n'est parfaite...
Quand au coût... La blague je dis moi !
Quand on voit le coût d'un simple cron pour dupliquer le contenu d'un disque dur couplé à un système qui coupe physiquement un câble ethernet d'une seconde carte réseau...
A heure dite on reconnecte la liaison réseau, le cron se met en route un peu après, et ça recoupe le lien réseau après un temps qui est plus grand que le temps de copie.
On a ainsi un système de sauvegarde connecté périodiquement au réseau système et de manière autonome...
Et niveau coût n'importe qui dans son garage peut le faire.

Entre payer des ingénieurs sécurité pendant plusieurs mois pour blinder le système et mettre en place des choses simples...
La coupure physique sera toujours la meilleure solution.
Alors certes là on a une coupure qui n'est que partielle (du fait du temps de la copie) mais on peut imaginer couper le lien vers le réseau externe de la même façon durant la copie pour peu qu'on ai d'autres serveurs qui soient en redondances ailleurs pour que le client ait toujours son service en ligne.

[Pvb10]

Meme si les données étaient archivées dans d'autres serveurs les pirates auraient retrouvés la source en suivant les traces numériques laissées par le transfert des données du serveur principal aux autres serveurs auxiliaires, dès lors qu'ils sont passés a travers le vpn en cassant les barrieres du protocole ssh, ils ont accès aux données des serveurs...faut avouer qu'ils sont doués,

[Asmodan]

Un ancien employé mécontent ?

[Fagus]

Aucune sécurité n'est parfaite...
Quand au coût... La blague je dis moi !
Quand on voit le coût d'un simple cron pour dupliquer le contenu d'un disque dur couplé à un système qui coupe physiquement un câble ethernet d'une seconde carte réseau...

Dans l'absolu, à part faire des backups sur des médias physiquement en lecture seule, je ne vois pas trop ce qui pourrait empêcher un attaquant exceptionnellement puissant de tout détruire. Je veux dire, s'il a obtenu le privilège admin sur toutes vos machines, rien ne l'empêche de mettre une bombe logique qui écrase les données sur toutes les backup au moment où elles sont branchées. On peut avoir plusieurs backups déconnectées qu'on branche alternativement au réseau, mais c'est coûteux. Si on a juste deux jeux de sauvegarde, comment savoir si la sauvegarde ancienne n'est pas corrompue si justement la machine qui la vérifie est corrompue ? À part archiver sur une longue période beaucoup de sauvegardes réinscriptibles c'est compliqué.

Chez moi, sous windows, j'ai des jeux de sauvegarde sur disque dur déconnecté, faite par un utilisateur dédié ce qui fait que l'utilisateur courant n'a pas par défaut les droits d'écriture sur le disque dur (protection perso antiransomware), mais pour les données irremplaçables comme les documents et les photos, j'ai aussi des blue ray MDISC, juste au cas où...

[FMJ]

Il n'y a des NAS qui font ça très bien.
Mais visiblement le (surement les) salgouin qui a fait ça a dû méticuleusement logger tous les accès, les habitudes, etc..
Donc rien ne dit qu'il n'aurait pas trouvé la plage horaire de ton connexion et qu'il n'ait pas pris le controle de ton serveur.
Visiblement c'est une attaque très bien orchestrée, qui a été scriptée pour être très rapide et empêcher toute contre-action.

Non la seule vrai parade, c'est d'avoir au moins deux jeux d'archives stockées dans des lieux différents, en permanence déconnectés et nécessitant une intervention humain pour son utilisation : DAT, LTO, DLT, SDLT, RDX, etc.
OK c'est très compliqué pour une grosse société mais les robots de sauvegarde /archivage eux aussi peuvent se faire pirater.

[SalathielGenese]

Ça c'est une belle connerie moyenne-âgeuse.
Les sauvegardes doivent rester read-only et il y bien de façons de s'y prendre.

[candide02]

S'il n'y a pas de demande de rançon, c'est, à mon avis mais la sécurité n'est pas mont fort, soit une vengeance d'un ex-employé soit une répétition générale avant une attaque globale d'une puissance étrangère. mais ça fiche les jetons

[Christian_B]

La sauvegarde sur bande et/ou déconnecté du réseau est très rarement mise en place on préférera pour beaucoup moins cher ajouter des obstacles.

Sans être expert en sécurité, il me semble évident que sur une longue durée (près de 20 ans dans le cas évoqué !), ne pas faire de temps en temps des sauvegardes déconnectées du réseau ou sur support non réinscriptible (ou verrouillé physiquement) est absurde.
Particulièrement pour des entreprises qui conservent des données de volume raisonnable (ici des courriels) d'un grand nombre d'utilisateurs.
Compte tenu des moyens actuels de stockage, cela ne coûterait pas si cher. Comme l'ont remarqué plusieurs, il s'agit de négligence ou d'incompétence crasse.

Aucune sécurité n'est parfaite [...] La coupure physique sera toujours la meilleure solution.

Quelque peu contradictoire. En théorie certes rien n'est "logiquement" parfait. Mais la 2e phrase fournit une solution en pratique : faire de temps en temps des sauvegardes déconnectées ensuite et stockées dans, disons, deux bâtiments différents, protège parfaitement (sauf pour les données les plus récentes) des attaques par internet et de la plupart des accidents plausibles. Sauf bien sûr malveillance interne, heureusement beaucoup plus rare.

D'une façon plus générale, je trouve que l'évolution des systèmes informatiques a privilégié la nouveauté (parfois superficielle), la sophistication et la puissance (souvent mal utilisée) sur la sécurité des données (qui devrait être basée sur des modèles rigoureux). De nombreux exemples le montrent, y compris ces bogues inattendues révélées récemment sur les processeurs Intel. On voit que même à ce niveau l'architecture n'est pas maîtrisée.
A plus forte raison aux niveaux plus élevés d'organisation dont le réseau internet constitue un système global d'une complexité inouïe et qui est exposé à une multitude de malveillances.

[transgohan]

Quelque peu contradictoire. En théorie certes rien n'est "logiquement" parfait. Mais la 2e phrase fournit une solution en pratique

Rien de contradictoire dans mon message. Même la solution de faire des sauvegardes physiques déconnectées du réseau n'est pas absolu en terme de sécurité.
Vous le citez même en fin de phrase.