Connexion

Nous suivre

À propos

Le brief du 24 février 2020

Publié dans Internet

La région Grand Est victime d’un rançongiciel

Après Bouygues Construction ciblé par Maze, des pirates se sont cette fois-ci attaqué aux serveurs de l’administration.

« Toutes les mesures ont été prises pour gérer cette attaque qui peut encore entraîner quelques retards dans les réponses que nous apportons », affirme Jean Rottner (président de la région) sur Twitter.

Selon le Monde, qui s’appuie sur des déclarations de porte-parole, cette attaque aurait « déstabilisé le travail concret de 2 000 agents, auxquels il faut ajouter 169 élus et les 180 membres du Ceser, le conseil économique, social et environnemental régional. Entre le vendredi 14 et le mercredi 19 février, l’accès à leur messagerie, aux documents ou aux logiciels internes de l’administration, ou encore, au système de badges, n’était plus possible ».

En fin de semaine, la situation revenait progressivement à la normale, mais sans pouvoir envoyer de pièces jointes dans un premier temps. À nos confrères, la région affirme : « a priori, aucune information de façon générale n’a été volée, mais nous restons prudents ». Aucune rançon n’a été payée par la collectivité, qui assure ne pas connaître l’identité des pirates. L’ANSSI est sur le pont.

Tiens, en parlant de ça :

Une tasse estampillée "Keep calm and carry on teaching"

Cyberrésilience : les compromis (provisoires) du trilogue européen

CSIRT vs ENISA, égalité balle au centre

08:27 0

#Flock a sa propre vision de l’inclusion

Retour à l’envoyeur

13:39 17

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

On est déjà à la V2 de Next ?

11:55 36

Cyberrésilience : les compromis (provisoires) du trilogue européen

#LeBrief : fuite de tests AND 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair

#Flock a sa propre vision de l’inclusion

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

[Autoportrait] Sébastien Gavois : tribulations d’un pigiste devenu rédac’ chef

Pourquoi le site du média StreetPress a été momentanément inaccessible

re:Invent 2023 : Amazon lance son assistant Q et plusieurs services IA, dont la génération d’images

Un œil symbolisant l'Union européenne, et les dissensions et problèmes afférents

Le Conseil de l’UE tire un bilan du RGPD, les États membres réclament des « outils pratiques »

19 associations européennes de consommateurs portent plainte contre Meta

#LeBrief : Ariane 6 l’été prochain, Nextcloud rachète Roundcube, désinformation via la pub

Chiffre et formules mathématiques sur un tableau

CVSS 4.0 : dur, dur, d’être un expert !

Starlink accessible à Gaza sous contrôle de l’administration israélienne

G-PON, XGS-PON et 50G-PON : jusqu’à 50 Gb/s en fibre optique

Photo d'un immeuble troué de part en part

Règlement sur la cyber-résilience : les instances européennes en passe de conclure un accord

AGI, GPAI, modèles de fondation… de quoi on parle ?

#LeBrief : logiciels libres scientifiques, fermeture de compte Google, « fabriquer » des femmes pour l’inclusion

Des chercheurs ont élaboré une technique d’extraction des données d’entrainement de ChatGPT

Un chien avec des lunettes apprend sur une tablette

Devenir expert en sécurité informatique en 3 clics

ownCloud : faille béante dans les déploiements conteneurisés utilisant graphapi

Le SoC Graviton4 d’Amazon AWS posé sur une table

Amazon re:invent : SoC Graviton4 (Arm), instance R8g et Trainium2 pour l’IA

Guéguerre des polices dans le cyber (OFAC et ComCyberMi)

#LeBrief : faille 0-day dans Chrome, smartphones à Hong Kong, 25 ans de la Dreamcast

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

Transparence, discriminations : les questions soulevées par l’algorithme de la CAF

Plainte contre l’alternative paiement ou publicité comportementale de Meta

Économie de la donnée et services de cloud : l’Arcep renforce ses troupes

De vieux ciseaux posés sur une surface en bois

Plus de 60 % des demandes de suppression reçues par Google émanent de Russie

Une vieille boussole posée sur un plan en bois

La Commission européenne et Google proposent deux bases de données de fact-checks

#LeBrief : des fichiers Google Drive disparaissent, FreeBSD 14, caméras camouflées, OnePlus 12

Il y a 30 ans, Hubble recevait sa première mission de maintenance

Des menottes autour d'un rouleau de billets de banque

Les deux principaux responsables de l’agence de cybersécurité ukrainienne accusés de corruption

Sur Android, Messages fête son milliard d’utilisateurs, de nouvelles fonctions en approche

Une femme en blouse blanche et portant des lunettes adaptées utilise un séquenceur à ADN

Tests ADN : 23andMe avoue que les infos d’un « nombre significatif » d’utilisateurs ont fuité

Commentaires (21)

vizir67 Abonné

Il y a 4 ans

« Toutes les mesures ont été prises pour gérer cette attaque…

en clair…ça signifie quoi ?
(ils ont fait QUOI, pour se protéger ?
p.c.q. : c’est vague–>“Toutes les mesures….” ) " />

Jean_G Abonné

Il y a 4 ans

Mode de propagation : Dridex, souvent via un doc Word piégé cf. numerama. Il suffit d’un clic sur une PJ et hop…

Urtok

Il y a 4 ans

Ce genre d’attaque peut aussi toucher des machines qui n’ont pas les droits d’admins ?

Ler van keeg

Il y a 4 ans

vizir67 a écrit :

« Toutes les mesures ont été prises pour gérer cette attaque…

en clair…ça signifie quoi ?
(ils ont fait QUOI, pour se protéger ?
p.c.q. : c’est vague–>“Toutes les mesures….” ) " />

Ben à part part payer la rançon…

Cronycs Abonné

Il y a 4 ans

Ce type de ransomware ratisse large, si les machines ne sont pas à jour, c’est possible que ça fonctionne via des élévations de privilèges. Mais bon, je parierai que dans ce cas, l’utilisateur qui a ouvert le Word infecté devait être admin de sa machine.

Wosgien Abonné

Il y a 4 ans

Urtok a écrit :

Ce genre d’attaque peut aussi toucher des machines qui n’ont pas les droits d’admins ?

Oui, en général le logiciel va crypter tout ce qu’il trouve accessible à l’utilisateur:

les fichiers de l’utilisateurs

les fichiers partagés en écriture avec l’utilisateur (par exemple un collègue qui a partagé tous ses fichiers en lecture/écriture à tout son service) (ou ton NAS)

Si l’utilisateur a des synchros en écriture vers le cloud, les fichiers seront cryptés localement puis le logiciel de synchro enverra tout vers le cloud.

Si le logiciel n’arrive à rien, il essaie d’aller ailleurs, soit via la messagerie interne et avec l’annuaire local, soit autrement (failles).
 
De plus, ils testent souvent des failles d’élévation de privilège (notamment les failles SMBv1, les failles des outils tiers genre les panneaux de contrôle Nvidia, AMD, carte son, souvent installés mais jamais mis à jour en entreprise alors qu’ils ont parfois la main sur le système) afin d’aller plus loin. Enfin, ces logiciels vont chercher des charges de travail (des plugins) avec d’autres méthodes d’attaque sur internet…

D’habitude on les reçoit vers 11h30, 16h30, les veilles de jour fériés ou de pont, pendant les ponts, et aux retours de vacances (plein de courrier à trier –> on ne fait pas attention à tout)

Le principe est quasi toujours le même: un fichier PDF, un fichier Word ou ZIP vérolé, l’utilisateur ouvre, rien ne se passe ou un message d’erreur apparaît, et l’utilisateur passe à autre chose. En fait, le virus est lancé, se décompresse, va chercher sur internet un contenu à exécuter et l’exécute.

Le plus radical il y a 2 ans, c’était d’empêcher Windows d’exécuter quoique ce soit depuis les répertoires utilisateurs et depuis c:\Windows\Temp. Mais ça bloque des logiciels tout à fait normaux et la plupart des install.

ArchangeBlandin Abonné

Il y a 4 ans

Tu veux dire, à part recharger les sauvegardes ?

Wosgien Abonné

Il y a 4 ans

Ler van keeg a écrit :

Ben à part part payer la rançon…

Il n’y a aucune garantie que payer la rançon te rendra tes données. Il n’y a pas de moyen de vérifier si les hackers ont la possibilité de fournir un décrypteur et s’il n’y avait pas de bug dans leur virus. 

Patch Abonné

Il y a 4 ans

brice.wernet a écrit :

Oui, en général le logiciel va crypter chiffrer

" />

brice.wernet a écrit :

Il n’y a aucune garantie que payer la rançon te rendra tes données. Il n’y a pas de moyen de vérifier si les hackers ont la possibilité de fournir un décrypteur la clé de déchiffrement et s’il n’y avait pas de bug dans leur virus.

" />

gg40 Abonné

Il y a 4 ans

ArchangeBlandin a écrit :

Tu veux dire, à part recharger les sauvegardes ?

Restaurer :) " />

Wosgien Abonné

Il y a 4 ans

Tu es tatillon. Ca me fais “cryer”.

Patch Abonné

Il y a 4 ans

brice.wernet a écrit :

Tu es tatillon. Ca me fais “cryer”.

Je ne suis pas tatillon. On chiffre, si on a la clé on déchiffre, et si on ne l’a pas on décrypte. On ne crypte jamais (pour cela il faudrait chiffrer sans connaître la clé… Ce qui est techniquement assez difficile), et on ne décrypte pas si on a la clé (du moins on pourrait, mais autant déchiffrer directement, c’est plus simple).

Kazer2.0 Abonné

Il y a 4 ans

C’est bien un decrypteur dans cette situation.

Décrypter c’est l’action de déchiffrer sans la clef de chiffrement.

Seul crypter n’existe pas.

Edit : j’ai loupé ton second commentaire expliquant correctement " />

Zerdligham Abonné

Il y a 4 ans

Un ransomware qui ne prend pas la peine de conserver la clé comme on en croise des fois, ça compte comme du cryptage ou du chiffrement? " />

Wosgien Abonné

Il y a 4 ans

Patch a écrit :

Je ne suis pas tatillon. On chiffre, si on a la clé on déchiffre, et si on ne l’a pas on décrypte. On ne crypte jamais 

" />
Je ferai attention désormais… Surtout que c’est pas la première fois que tu m’épingles sur mes écarts de langage dans le domaine du cryptement/de la chiffro " />

Patch Abonné

Il y a 4 ans

Zerdligham a écrit :

Un ransomware qui ne prend pas la peine de conserver la clé comme on en croise des fois, ça compte comme du cryptage ou du chiffrement? " />

Chiffrement débile, vu que c’est ensuite qu’il perd la clé " />
Mais il y a eu bien mieux : un ransomware où tu n’auras jamais d’aide. Le paiement se fait en bitcoin, sur une adresse perdue, personne n’y ayant accès (et donc les “pirates” n’ayant jamais de paiement, ils ne donnent pas la solution pour déchiffrer) " /> " />

brice.wernet a écrit :

" />
Je ferai attention désormais… Surtout que c’est pas la première fois que tu m’épingles sur mes écarts de langage dans le domaine du cryptement/de la chiffro " />

Ah possible. A ta décharge, j’avoue que je suis un peu comme un grammar nazi quand je vois des trucs comme “crypter”, qui me font bien saigner des yeux " />

Elwyns

Il y a 4 ans

crypte cryptage cryptique cryptactites cryptographie cryptologue cryptide crypter
et le fameux cryptex ! roi des cryptages

Patch Abonné

Il y a 4 ans

Elwyns a écrit :

crypte cryptage cryptique cryptactites cryptographie cryptologue cryptide crypter
et le fameux cryptex ! roi des cryptages

En dehors de cryptage et crypter, tout existe en francais dans ta liste " />

Zerdligham Abonné

Il y a 4 ans

Ne pas oublier bien sur le chiffrage des données.

Patch Abonné

Il y a 4 ans

Zerdligham a écrit :

Ne pas oublier bien sur le chiffrage des données.

Là c’est un coup à se faire plumer " />