#OPFrance : des sites français attaqués, l'ANSSI publie ses recommandations

#OPFrance : des sites français attaqués, l’ANSSI publie ses recommandations

En trois mots : mise à jour !

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

15/01/2015 4 minutes
49

#OPFrance : des sites français attaqués, l'ANSSI publie ses recommandations

Depuis quelques jours, de nombreux sites français ont été defacés suite à des cyberattaques dont le point d'orgue devrait avoir lieu aujourd'hui même. De son côté, l'ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) publie des fiches d'informations afin de permettre à chacun de savoir comment mieux se protéger.

#OPFrance : de nombreux sites français défacés

Suite aux attentats perpétrés contre Charlie Hebdo, un groupe revendiquant son appartenance au mouvement « anonymous » avait lancé une opération #OpCharlieHebdo dont le but est de s'attaquer à des sites affiliés à la mouvance radicale. Réponse du berger à la bergère, via Pastebin, un autre groupe du nom d'Anon Ghost annonçait la mise en place d'une action #OpFrance dont le but est de viser des sites français.

Depuis le début de la semaine, les attaques se multiplient, notamment sur les sites de tailles modestes, souvent moins bien protégés contre ce genre d'actions. L'ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) confirme et évoque « un accroissement significatif du nombre d’attaques informatiques visant des sites Internet français ». Il est généralement question de remplacer la page d'accueil du site par un message de propagande (défaçage), qui peut varier suivant le groupe qui revendique l'attaque. Selon plusieurs experts en sécurité et des pirates, le point d'orgue de cette opération devrait avoir lieu aujourd'hui même.

Le but ici n'est pas spécialement de récupérer des données personnelles, mais d'occuper le terrain médiatique en multipliant les attaques et les défacement, et ce, quel que soit le site. Mais, au second plan, pourrait également se cacher une manœuvre d'un genre différent, sur des sites institutionnels français cette fois-ci. Nous aurons l'occasion d'y revenir si cela devait se confirmer.

L'ANSSI met en ligne deux guides pour protéger son site d'une cyberattaque

Afin de permettre à chacun de se protéger, l'ANSSI a mis en ligne deux fiches pratiques. La première prend la forme d'un guide de bonne conduite pour les internautes et commence par rappeler l'importance d'utiliser un mot de passe robuste. L'agence recommande 12 caractères minimum, avec un mélange de minuscules, de majuscules et de caractères spéciaux. Mais elle précise également qu'il ne faut pas le réutiliser sur d'autres services. En effet, comme nous avons déjà eu l'occasion de l'évoquer à de nombreuses reprises lors du vol de données personnelles, cela pourrait conduire à un piratage en chaine via plusieurs de vos comptes.

Mais l'ANSSI va plus loin et précise également que toute « mise à jour de contenu doit être effectuée exclusivement depuis un poste informatique maîtrisé par votre service informatique (DSI) et dédié à cette activité. Elle ne doit en aucun cas s’effectuer à distance depuis le domicile, une tablette ou un smartphone ». Encore faut-il disposer d'un DSI...

De l'importance de toujours être à jour...

Bien évidemment, il est important de tenir à jour son site (notamment les CMS comme Drupal, Wordpress, Joomla, SPIP, etc.), son système d'exploitation et ses logiciels. En effet, c'est certainement l'un des principaux vecteurs d'infection : exploiter des failles publiques, certes corrigées, mais dont les patchs ne sont malheureument pas toujours appliqués par les administrateurs. Une histoire qui n'est pas sans rappeler l'épisode Synolocker par exemple.

La seconde fiche pratique s'adresse, elle, aux administrateurs des sites. Dans la partie prévention, on retrouve à peu près les mêmes recommandations : mot de passe fort et composants à jour. L'ANSSI en profite pour rappeler qu'« il est important de garder à l’esprit qu’un site ayant été compromis contient a minima une vulnérabilité qui doit être identifiée et corrigée. L’ensemble des actions ayant pu être réalisées par les attaquants doit être analysé. En aucun cas la restauration d’une sauvegarde ou la suppression de l’élément ajouté/modifié ne pourra être considérée comme étant une réponse adaptée ». Une seconde partie se penche sur le cas d'une attaque par Déni de Service (DoS, voire DDoS si elle est distribuée).

Quoi qu'il en soit, si vous ne respectez pas ces quelques consignes de bases, notamment au niveau des mots de passe et des mises à jour logicielles, il est plus que temps d'y remédier.

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

#OPFrance : de nombreux sites français défacés

L'ANSSI met en ligne deux guides pour protéger son site d'une cyberattaque

De l'importance de toujours être à jour...

Fermer

Commentaires (49)


Vous avez bien sécurisé Next Inpact ?!?! <img data-src=" />








FRANCKYIV a écrit :



Vous avez bien sécurisé Next Inpact ?!?! <img data-src=" />





ils ont mis à jour OpenOffice sur le frontend du coup c’est safe&nbsp;









typhoon006 a écrit :



ils ont mis à jour OpenOffice sur le frontend du coup c’est safe







Ah ben s’ils ont mis le parefeu OpenOffice on peut dormir sur nos deux oreilles … <img data-src=" /> <img data-src=" />



Entre les complots, les récupérations, les lois liberticides, les OP des deux bords…

&nbsp;

Faudrait lancer un autre mot d’ordre : #jesuisfatigué








FRANCKYIV a écrit :



Vous avez bien sécurisé Next Inpact ?!?! <img data-src=" />





“PCI est dév avec FrontPage, l’éditeur&nbsp; recommandé par MS pour IE6. Aucun danger, le code est sûr.”

&nbsp;

&nbsp;(J.Vachez)

&nbsp;









Ricard a écrit :



“PCI est dév avec FrontPage, l’éditeur  recommandé par MS pour IE6. Aucun danger, le code est sûr.”

 

 (J.Vachez)





<img data-src=" /> me voilà rassuré :ouf:



A mon boulot, on utilise Typo3 version 4. On en est à la 7. Sur plusieurs sites, qui font des dizaines de milliers de visiteurs par jour.

Dans ces conditions ce n’est pas difficile de trouver la faille pour défacer un site <img data-src=" />








FRANCKYIV a écrit :



Vous avez bien sécurisé Next Inpact ?!?! <img data-src=" />





Y’a CloudFlare <img data-src=" />









jb18v a écrit :



Y’a CloudFlare <img data-src=" />





<img data-src=" />



En cliquant sur tout ces liens je risque pas d’être fiché quelque part ?








Naneday a écrit :



En cliquant sur tout ces liens je risque pas d’être fiché quelque part ?





Tu viens sur NXI, c’est déjà fait, donc tu ne risques rien.



Bon tout va bien j’ai pas encore un méchant djihadiste en page d’accueil de mon site.

Faut dire que j’ai mis wordpress à jour récemment et je fais confiance à OVH pour le reste.



Mais il est vrai que c’est fatiguant à force toute cette phobie ambiante.

La nuit dernière 4 jeunes renverse une flic dans une rue à sens unique immédiatement premier commentaire des journaliste il n’avait pas de lien avec le terrorisme.

Demain Robert va prendre un coup de rouge de trop et va écraser Marcelle sur la place du village en rentrant voir Simone en voiture et on lancera une enquête par les services anti terroriste.


Vu le lieux de l’accident vaut mieux mettre les points sur les i rapidement.








kras a écrit :



Des terroristes, ces Anonymous.





Je me doutais qu’en attaquant les djihadistes ils risquaient de leur donner des idées….

félicitation, Anon…



C’est intéressant ces attaques informatiques, ça fait évoluer le débat.


«&nbsp;toute mise à jour de contenu doit être effectuée exclusivement depuis un poste&nbsp;informatique maîtrisé par votre service informatique (DSI) et dédié à cette activité&nbsp;&nbsp;





&nbsp;&nbsp;Vu l’immense compétence de certains DSI je suis pas sur que le conseil soit forcément des plus judicieux&nbsp;<img data-src=" />



p.s. toujours pas de balise “quote” dans la fenêtre de rédaction&nbsp;<img data-src=" />








Guyom_P a écrit :



Bon tout va bien j’ai pas encore un méchant djihadiste en page d’accueil de mon site.

Faut dire que j’ai mis wordpress à jour récemment et je fais confiance à OVH pour le reste.



Je te conseille de jeter un coup d’oeil à tes logs de connexion <img data-src=" />









Guinnness a écrit :



«&nbsp;toute mise à jour de contenu doit être effectuée exclusivement depuis un poste&nbsp;informatique maîtrisé par votre service informatique (DSI) et dédié à cette activité&nbsp;&nbsp;





&nbsp;&nbsp;Vu l’immense compétence de certains DSI je suis pas sur que le conseil soit forcément des plus judicieux&nbsp;<img data-src=" />



p.s. toujours pas de balise “quote” dans la fenêtre de rédaction&nbsp;<img data-src=" />





Ca marche si tu l’écris à la main.



J’adore l’info de l’ANSSI, l’avant-veille.

“Bon si vous avez des trous béants de sécurité dans votre SI, veillez bien à les corriger d’ici après-demain”.

Parce que bien sûr, si on a des trous béants, c’est pas parce qu’on n’a ni les moyens ni les compétences pour les boucher, et il suffit de nous le rappeler pour qu’on le fasse d’un claquement de doigt…


T’es pas au courant qu’un serveur web ça se monte et met à jour sans interruption de travail en 20 min ? <img data-src=" />


Les consignes de l’ANSSI sont connues depuis longtemps. Ceux qui savent le faire l’ont déjà fait, ceux qui ne l’ont pas fait, c’est parce qu’ils ne savent pas le faire. Je ne vois pas l’intérêt de dire “au fait, ce que vous n’avez pas réussi à faire dans les 3 derniers ans, faites-le vite d’ici demain soir”.

La partie information et conduite à tenir en cas d’attaque, elle, est utile.



Sinon tes 20 minutes c’est vrais chez les bisounours. Dans la vraie vie, une MAJ, ça se qualifie, et ça prend bien plus de 20 minutes. Surtout que tu as toujours des trucs qui passent pas dans la nouvelle version et qui nécessitent des adaptations, voire une reprise complète du site.




L’agence recommande 12 caractères minimum, avec un mélange de minuscules, de majuscules et de caractères spéciaux.





Raaaaah, toujours la même erreur… Au moins, ils demandent plus de 6 caractères !

La meilleure solution reste celle-ci : http://xkcd.com/936/





Sinon, la page actualité de mon école doctorale a été “hacké”, j’ai un screen du message laissé par Anon Ghost si ça intéresse, je ne l’ai personnellement pas lu (juste la première ligne qui ne donne pas envie de continuer).


Argh, pas possible d’éditer, j’ai un bug avec l’affichage des bon plans, l’un d’eux est e ndessous des autres du coup lorsque je vais vers le bouton éditer celui ci disparait et je peux scroller sur le coté pour faire bouger les bon plans…



Bref, le lien ne marche pas si vous cliquez dessus, faut le copier coller








Depardieu92 a écrit :



La meilleure solution reste celle-ci : http://xkcd.com/936/





la meilleur pour une attaque par dico <img data-src=" />



A l’usage, la méthode xkcd est médiocre, je trouve. Certes, le mot de passe est plus facile à retenir, mais comme il est nettement plus long, on fait beaucoup plus souvent des fautes de frappe.


Faut taper moins vite <img data-src=" /> Pas trop de soucis de mon coté, je dois perdre 2sec par rapport à mes anciens mots de passe !








Depardieu92 a écrit :



Raaaaah, toujours la même erreur… Au moins, ils demandent plus de 6 caractères !

La meilleure solution reste celle-ci : http://xkcd.com/936/





Oui, une URL non valide permet de bloquer l’accès à tout le monde, indépendamment de la longueur du mot de passe <img data-src=" />



C’est bien connu, pour éviter de se faire hacker, se débrancher est une méthode infaillible (je parle bien sûr d’EDF, se débrancher seulement d’internet laisse une grosse vulnérabilité vis-à-vis des clés USB).


Vous croyez qu’ils viseront Désir d’avenir et Pôle Emploi.fr, ces modèles&nbsp; de sites?

Je leur donnerait presque raison dans ce cas , mais à cause de l’anti ergonomie et du mauvais goût<img data-src=" />








Zerdligham a écrit :



C’est bien connu, pour éviter de se faire hacker, se débrancher est une méthode infaillible (je parle bien sûr d’EDF, se débrancher seulement d’internet laisse une grosse vulnérabilité vis-à-vis des clés USB).





Oui, et puis on sait pas ce qui peut se passer avec la technologie CPL <img data-src=" />







RaoulC a écrit :



Vous croyez qu’ils viseront Désir d’avenir et Pôle Emploi.fr, ces modèles  de sites?

Je leur donnerait presque raison dans ce cas , mais à cause de l’anti ergonomie et du mauvais goût<img data-src=" />





Pour Pôle Emploi, les développeurs l’ont déjà hackés eux-mêmes pour le rendre inutilisable <img data-src=" />



<img data-src=" /> C’est la guerre contre les djihadistes, mais au moins, dans celle la y pas de morts… c’est toujours ca de gagné








RaoulC a écrit :



Vous croyez qu’ils viseront Désir d’avenir et Pôle Emploi.fr, ces modèles&nbsp; de sites?

Je leur donnerait presque raison dans ce cas , mais à cause de l’anti ergonomie et du mauvais goût<img data-src=" />





Fais gaffe tu es sur la ligne pour basculer dans l’apologie du terrorisme. Je prépare mon onglet sur la page de la plateforme Pharos au cas où tu bascule. mdrr



Partons d’un dictionnaire de 50 000 mots. Mon vieux Larousse papier en fait 70 000. Et ce ne sont que des mots communs français. Autant dire que tu peux l’étendre si tu utilises le nom de ton chat et des insultes en portugais.

Donc, avec ton dictionnaire de 50000 mots, si tu as 4 des ces mots dans le mot de passe, il te faut 6,25 * 10^18 (6,25 milliards de milliards) entrées pour ton attaque par dictionnaire. Ça commence à faire.


<img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" /><img data-src=" />



&nbsp;faut espérer qu’ils vont pas s’en prendre à un de ces sites industriels ou l’informatique datant de 30 ans est interconnecté sur du tcp/ip…


Rajoute des majuscules et caractères spéciaux :-*


C’est du vent, les “mots de passe robustes”



https://fr.wikipedia.org/wiki/Fonction_de_hachage#Salage



Dans mes DB, même avec un mot de passe de 3 caractères, j’ai 145$rr155554g4r5g4g1f4f5k de stocké…

Mais c’est sûr que si on s’en balance de ses utilisateurs et qu’on fait pas de recherches&nbsp;<img data-src=" />



Y’en a bien qu’on (con?) des mots de passe en clair de toute façon&nbsp;<img data-src=" />


Lol..


Bonjour,

“commence par rappeler l’importance d’utiliser&nbsp;un mot de passe robuste.

L’agence&nbsp;recommande 12 caractères minimum, avec un mélange de

minuscules, de majuscules et de caractères spéciaux” …

… ma banque limite à 8 caractères …. arf&nbsp; <img data-src=" />

&nbsp;Y’a du souci à se faire, non ?


“Lord Casque Noir&nbsp;:

En résumé, la combinaison est&nbsp;: 1, 2, 3, 4, 5. Mais c’est la

combinaison la plus stupide qu’on m’ait révélé&nbsp;! N’importe quel idiot

s’en sert pour ses bagages.”





  • Rick Moranis, La Folle histoire de l’espace (1987), écrit par Mel Brooks










La Mangouste a écrit :



Partons d’un dictionnaire de 50 000 mots. Mon vieux Larousse papier en fait 70 000. Et ce ne sont que des mots communs français. Autant dire que tu peux l’étendre si tu utilises le nom de ton chat et des insultes en portugais.

Donc, avec ton dictionnaire de 50000 mots, si tu as 4 des ces mots dans le mot de passe, il te faut 6,25 * 10^18 (6,25 milliards de milliards) entrées pour ton attaque par dictionnaire. Ça commence à faire.









Depardieu92 a écrit :



Rajoute des majuscules et caractères spéciaux :-*





tout dépend de la fréquence d’attaque et du temps d’attente entre 2 tentatives (heureusement de plus en plus utilisée pour la 2e).

Ya encore peu de temps, il était montré que le mot de passe d’un vista / 7 pouvait être cassé en 3j avec une carte graphique…



Même si dans l’absolu un bon mot de passe est long et composé de caractère non présents sur les claviers, les application nécessitant une telle sécurité paranoïaque sont en générale à l’image de cordonniers : les plus mal chaussées.

A titre perso, les 5 banques ou je suis / ai été client utilisent … 8 caractères exclusivement numériques ! soit 10^8 possibilités… <img data-src=" />



10^18 combinaisons à essayer, même sans autre sécurité et à la carte graphique, je te souhaites beaucoup de courage. A un milliard de combinaisons par secondes, ça fait 30 ans.

Et via internet, un milliard de tentative par seconde, ça s’appelle un DDOS, pas un bruteforce. <img data-src=" />








Zerdligham a écrit :



10^18 combinaisons à essayer, même sans autre sécurité et à la carte graphique, je te souhaites beaucoup de courage. A un milliard de combinaisons par secondes, ça fait 30 ans.

Et via internet, un milliard de tentative par seconde, ça s’appelle un DDOS, pas un bruteforce. <img data-src=" />





10^8, pas 10^18 (ça c’est pour l’exemple précédent avec un dico de 50k mots)

j’ajoute qu’une d’entre elle ne demande que 3 des 6 chiffres (oui… 6 <img data-src=" /> ), même si elle les demande au hasard…



“Mais l’ANSSI&nbsp;va plus loin et précise également que toute&nbsp;« mise à jour de contenu doit être effectuée exclusivement depuis un poste&nbsp;informatique maîtrisé par votre service informatique (DSI) et dédié à cette activité. Elle ne&nbsp;doit en aucun cas s’effectuer à distance depuis le domicile, une tablette ou un smartphone ». Encore faut-il disposer d’un DSI…”



Ca ne va empecher de pendre une xss ou une injection SQL dans la face ça… La france encore à la pointe de sécurité informatique <img data-src=" />

Il va falloir aussi que les entreprises se mettent à embaucher des gens compétents en la matière et à les payer HONNETEMENT !


Je faisais référence à la première partie de ton message, qui était lui-même une réponse au 10^18 :







Spidard a écrit :



tout dépend de la fréquence d’attaque et du temps d’attente entre 2 tentatives (heureusement de plus en plus utilisée pour la 2e).





A 10^18 possibilités, non, ça ne dépend même plus de ça.



Après, je suis parfaitement d’accord sur le fait que limiter la complexité d’un mot de passe est complètement débile. Presque autant que d’envoyer à un client son mot de passe en clair par mail (ça m’est encore arrivé la semaine dernière sur un site de vente en ligne… autant dire que je ne leur ai pas confié mon n° de CB).









Zerdligham a écrit :



Je faisais référence à la première partie de ton message, qui était lui-même une réponse au 10^18 :



A 10^18 possibilités, non, ça ne dépend même plus de ça.



Après, je suis parfaitement d’accord sur le fait que limiter la complexité d’un mot de passe est complètement débile. Presque autant que d’envoyer à un client son mot de passe en clair par mail (ça m’est encore arrivé la semaine dernière sur un site de vente en ligne… autant dire que je ne leur ai pas confié mon n° de CB).





Mon ancien gestionnaire de congés (outil RH) exigeait un changement de mdp tous les 3 mois… Mais le renvoyait en clair si ‘mot de passe oublié”









Flykz a écrit :



Y’en a bien qu’on (con?) des mots de passe en clair de toute façon&nbsp;<img data-src=" />







Ouep.&nbsp; Si le patron demande /le cahier des charges pourrit/ le dev est soit idiot soit incapable de convaincre que&nbsp; le mdp en clair est à bannir.



&nbsp;



<img data-src=" /> <img data-src=" /> <img data-src=" /> <img data-src=" />

<img data-src=" />