accueilSécuritéIncidents de sécurité
 

Intrusion


Se préparer

  • Une intrusion n’est pas toujours visible, il est important de mettre en place des moyens de détection. Le pire ce n’est pas d’avoir subi une intrusion, c’est de ne pas le savoir.
    • Journaux
    • IDS/IPS
  • Disposer d’outils pour effectuer une analyse forensique

Réponse immédiate

Il est impératif de tenir une main courante de tous les évènements constatés et de toutes les actions effectuées.

Face à une intrusion la première chose à faire est de déterminer la stratégie à adopter qui dépend

  • des objectifs qui sont contradictoires
    • limiter les dommages
    • rétablir le plus vite possible le fonctionnement
    • conserver des preuves
    • comprendre le scénario de l’attaque
  • des contraintes à intégrer
    • temps disponible
    • compétence, expérience
    • outils matériels à disposition
    • outils logiciels à disposition
    • privilèges (mots de passe) que l’on a pu obtenir sur la machine compromise (certaines action exige d’être administrateur)
  • de l’analyse forensique à réaliser
    • à partir des éléments
      • disques
      • mémoire
      • traces réseau
      • journaux
    • selon la méthode
      • post mortem
      • système vivant
  • afin de prendre une décision
    • arrêter la machine
      • arrêt brutal
      • arrêt propre
    • isoler la machine
      • débrancher le réseau
      • bloquer le trafic sur un équipement réseau
    • instantané (snapshot) de la machine virtuelle
    • observer la machine
      • enregistrer, étudier le trafic réseau
      • image de la mémoire vive
      • commandes

Il n’y a donc aucune méthode générale qui puisse s’appliquer dans toutes les situations. Cependant dans quelques cas, il est possible de donner des règles :

  • S’il s’agit d’une machine virtuelle, en prendre un instantané (snapshot) puis l’arrêter. Par la suite sauvegarder cet instantané (image de la mémoire et des disques). [1]
  • sinon s’il y a le moindre soupçon que la machine est contrôlée par un pirate pour effectuer des actions malveillantes, il faut la déconnecter du réseau (les risques sont trop grands) mais ne pas l’arrêter pour se laisser la possibilité d’analyser sa mémoire vive :
    • débrancher la prise Ethernet (brutal mais efficace)
    • agir sur un équipement réseau (shutdown du port, ACL)
  • ne jamais hésiter à prendre conseil auprès du CRSSI ou du CERT Renater

Signaler

Cf. Procédure de signalement

Traiter

  • L’intrusion (ainsi que la tentative d’intrusion) est sanctionnée par l’article 323 du code pénal (loi Godfrain). Il convient de déterminer l’opportunité de porter plainte.
  • Résolution de l’incident
    • réinstallation
    • reconfiguration
    • restauration des données perdues ou altérées
    • éradication des codes malveillants (souvent seule une réinstallation complète est réellement efficace)
    • application des correctifs de sécurité (il faut corriger la faille de sécurité qui a été utilisé pour éviter une nouvelle intrusion)
    • révision des règles de cloisonnement et filtrage
    • changer tous les secrets (mots de passe, certificats, clés) qui auraient pu être compromis
    • documenter les changements effectués
    • examiner toutes les autres machines qui auraient pu être compromises
    • reconnecter la machine au réseau

Investiguer

Il est vain de chercher à rétablir le fonctionnement sans avoir déterminé et corrigé la vulnérabilité exploitée par l’attaquant. C’est s’exposer à une nouvelle intrusion.

L’analyse forensique est délicate, nécessite une certaine expérience. Il ne faut donc jamais hésiter à faire appel au CRSSI ou au CERT Renater.

Communiquer

  • Profiter de l’incident pour sensibiliser sur les risques et la nécessité de la vigilance en particulier la cause en a été une imprudence d’un utilisateur.
  • Communiquer sur les nouvelles règles et mesures de sécurité mises en place à la suite de cet incident.


[1] La prise d’un instantané est une opération suffisamment courte pour ne pas aggraver significativement les dommages liés à l’intrusion. Pour une analyse forensique on dispose de l’ensemble des informations disques et mémoire vive. Le fait d’arrêter immédiatement la machine virtuelle prive de la possibilité d’examiner le trafic sur le réseau mais c’est un inconvénient mineur par rapport au risque de laisser une machine compromise en fonctionnement d’autant plus qu’il sera toujours possible si nécessaire de faire repartir la machine virtuelle.


ARESU
Direction des Systèmes d'Information du CNRS

358 rue P.-G. de Gennes
31676 LABEGE Cedex

Bâtiment 1,
1 Place Aristide Briand
92195 MEUDON Cedex



 

 

Direction des Systèmes d'Information

Pôle ARESU

Accueil Imprimer Plan du site Credits