Ré-installation serveur mails sous Linux Mageia

Ré-installation d’un serveur de mails sous Linux pour un client. Avec augmentation de la capacité du RAID. Process : Sauvegarde de tous les mails utilisateurs, remplacement des disques par des SAS en 600 Go, init du RAID5, formatage et réinstallation de Linux. Remise en place des configurations système (postfix, dovecot, utilisateurs, mots de passe, sauvegarde) restauration des mails sauvegardés et mise en test. Après une nuit complète pour la réinstallation et les tests, l’entreprise était opérationnelle à la prise de fonctions de ses collaborateurs.

NOUVELLE CYBERATTAQUE

Depuis le 27 juin 2017, une nouvelle cyberattaque mondiale à débuter. Ciblant essentiellement la Russie et l’Europe, ce ransomware dans la lignée de WannaCry s’est rapidement répandu sur le Net.

Rosneft, parmi les premiers touchés

La première victime à se déclarer a été Rosneft. « Une puissante attaque informatique » visant ses serveurs a contraint le géant pétrolier russe à passer immédiatement sur un serveur de secours.

« L’attaque informatique aurait pu avoir de graves conséquences, cependant, grâce au fait que le groupe est passé sur des serveurs de secours, les processus de production n’ont pas été interrompus, ni la production, ni la transformation du pétrole »,

Inquiétudes à Tchernobyl

La centrale nucléaire de Tchernobyl compte elle aussi parmi les victimes de la cyberattaque. Les techniciens ont été dans l’obligation d’arrêter d’utiliser les ordinateurs et sont revenus à une méthode plus ancienne pour mesurer la radioactivité.

Infrastructures et banques ukrainiennes

Les passagers du métro de Kiev ne pouvaient plus payer en carte bancaire, les panneaux d’affichage de l’aéroport ne fonctionnaient plus et des banques ukrainiennes devaient mettre en pause certains des services proposés à leurs clients.

Le groupe danois Maersk a signalé avoir mis à l’arrêt ses systèmes informatiques dans plusieurs régions. ‘Petrwrap’, nom donné au « ransomware » a aussi coupé le courant chez le propriétaire des biscuits LU et Oreo, des salariés allemands de Nivea ont été contraint de cesser le travail… Outre-Atlantique, sa première victime recensée a été le laboratoire pharmaceutique Merck dont le système informatique a été « compromis ».

En France, l’industriel Saint-Gobain, le distributeur Auchan et la SNCF ont indiqué avoir été touchés. L’entreprise ferroviaire a précisé que ses opérations n’étaient pas affectées. Selon une source proche dossier, il est cependant encore « trop tôt » pour savoir combien d’entreprises ont été touchées et connaître l’ampleur des dégâts éventuels. Une collaboration doit s’instaurer entre les différentes polices au niveau mondial, comme cela s’est passé lors de l’attaque causée par le virus Wannacry en mai.

Ceci ne recense, bien évidemment que les grandes entreprises, mais les petites et moyennes entreprises ont également été touchées. Ceci indique clairement que malgré l’attaque du mois de mai, beaucoup d’entreprises Françaises n’ont pas pris leur disposition en matière de sécurité informatique.

Pensez à faire un audit de sécurité sur votre parc informatique !

www.informx.fr

WannaCry provoque l’arrêt d’une usine Honda au Japon

Il y a maintenant un mois, le ransomware WannaCry faisait la une des journaux, bloquant des ordinateurs à travers le monde, y compris au sein du système de santé britannique. WannaCry est de retour dans l’actualité. Le programme malveillant a contraint un constructeur automobile à fermer une de ses usines au Japon.

Honda a dû arrêter la production à son usine de Sayama lundi après que WannaCry ait trouvé son chemin sur le réseau du constructeur. L’usine produit environ 1 000 véhicules par jour, répartis entre la berline Accord et les modèles Odyssey et Stepwgn.

Des correctifs toujours pas déployés

Une porte-parole a déclaré que WannaCry avait fait son entrée dans les réseaux de Honda dans de multiples régions, dont le Japon, l’Amérique du Nord, l’Europe et la Chine. La société avait renforcé sa sécurité après l’apparition de WannaCry en mai. Apparemment en vain, et sans donc appliquer les correctifs de sécurité disponibles depuis à présent plusieurs mois sur ses stations Windows. L’arrêt a affecté une seule usine, et il semble que Honda n’aura pas besoin d’arrêter la production sur d’autres sites. Au moment de l’écriture de l’article le 21 juin, l’usine de Sayama était de nouveau en service.

Nous vous rappelons qu’il est impératif d’appliquer les différentes mises à jour et ceux de tous les logiciels installés sur votre parc et de contrôler la sécurité de votre informatique.

WANNACRY PLUTÔT 14 MILLIONS DE PC AFFECTES

La popularité de WannaCry a suscité de nombreuses réactions de la part des entreprises de cybersécurité, chacune y allant de son analyse ou de son commentaire. Mais celle que l’on attendait en particulier était celle de la société Kryptos Logic.

La question des chiffres exacts de l’infection mérite également d’être discutée plus en avant. « Le chiffre largement partagé de 200 000 systèmes affectés par l’attaque nous paraît plus ou moins correct, mais reste une fourchette basse » selon Kryptos Logic. En effet selon eux, le nombre réel de machines affectées par la campagne tournerait plutôt aux alentours de 14 ou 16 millions de machines, mais le raisonnement utilisé pour parvenir à ce chiffre mérite quelques explications.

Comme l’ont expliqué bon nombre de sociétés spécialisées en sécurité informatique, le malware infecte tout d’abord la machine, en exploitant notamment la vulnérabilité DOUBLEPULSAR publiée par le groupe des Shadow Brokers. Une fois la machine infectée, le malware va ensuite vérifier le nom de domaine « killswitch » afin de décider de la suite des opérations. Si le nom de domaine est actif, le malware ne chiffre pas les fichiers. Mais il ne disparaît pas pour autant de la machine : il continue de contacter le nom de domaine à intervalles réguliers, attendant le feu vert pour lancer activer le code malveillant et s’attaquer aux fichiers de la cible et dans certains cas, continue de scanner le réseau à la recherche d’autres machines potentiellement vulnérables.

« Nous estimons que plusieurs centaines de milliers de machines ont été directement affectées par le ransomware avant l’activation du kill switch. Suite à l’activation de celui-ci, nous estimons qu’environ 2 à 3 millions de systèmes ont été également affectés, sans que leur fonctionnement n’ait été altéré par le malware. » Des porteurs sains en quelque sorte, qui sont techniquement infectés, mais qui ont échappé à la perte des données grâce à l’initiative salutaire des sociétés de sécurités informatiques.

Il est impératif que vous fassiez établir un audit de sécurité sur votre parc informatique, sous peine de transmettre vous même ce malware à d’autres machines ou de vous retrouver avec des fichiers cryptés dans un intervalle allant de court à moyen terme. Nous vous rappelons également que trois autres variantes viennent d’apparaitre sur la toile et que les parades deployées pour wannacry ne fonctionnent pas sur ces variantes.

Piratage informatique d’une PME

Une PME vient de nous contacter, suite à une perte de connexion sur le partage des fichiers. Après recherche, il est apparu, que le Serveur de cette entreprise avait été piraté. Le pirate ayant installé un programme et une tâche planifiée s’exécutant à chaque redémarrage. Plusieurs droits ont été modifiés sur les différents partages dudit serveur et une règle de sécurité modifiée pour ne pas autoriser les fichiers et imprimantes partagés. Il en résulte, cinq heures de perdues en productivité pour cette entreprise, et dix heures pour trouver l’origine du problème, nettoperte de données informatqueyer le système et les postes clients et rétablir le réseau. Sans compter, qu’il faudra prévoir pour des raisons évidentes de sécurité, à réinstaller le système sur le serveur.

Nous ne nommerons pas le pays d’origine de cette attaque, mais nous constatons depuis quelques mois que des tentatives régulières d’attaques sur le réseau ont pour origine ce pays. Pensez à effectuer un audit de votre parc informatique quelque soit la taille de votre entreprise.

www.infomx.fr

Renforcez votre sécurité informatique

L’audit effectué par InformX porte à la fois sur les aspects techniques, et sur les aspects humains et organisationnels. Selon vos besoins et selon le périmètre à auditer, nous mettons en œuvre les outils et les ressources adaptés afin de collecter les informations nécessaires (entretien, expertise technique, supervision, test d’intrusion, documentation, etc.). Ces informations sont ensuite confrontées aux règles de l’art en matière de sécurité informatique, et analysées afin de connaître les risques réellement encourus et les impacts d’une attaque ou d’une défaillance sur la production et l’activité de votre société.

La prestation d’audit est concrétisée par un rapport. Ce document présente les observations et les analyses effectuées durant l’audit, en précisant et en expliquant les risques détectés. Dans un deuxième temps, le rapport détaille les préconisations et les projets qui permettent d’améliorer votre niveau de sécurité. Quand cela est pertinent, des architectures (matérielles et/ou logicielles ) cibles sont éventuellement proposées. Le rapport peut ainsi servir de base à la rédaction d’un cahier de charge. Les préconisations sont classées selon le gain en sécurité qu’elles apportent à votre parc informatique. Leurs impacts sur les aspects financiers et humains sont évalués, et sont pris en compte dans l’élaboration du plan d’action général, visant à les mettre en œuvre. Les conclusions sont ensuite présentées à la direction générale.

www.informx.fr

Mise en place des process pour la GED chez un client

Nous mettons en place les différents processus pour l’archivage des documents rattachés aux différents services sur la GED avec la visualisation desdits documents par les clients par un accès extranet sécurisé pour un de nos client.

Nous en profitons également pour actualiser et durcir la politique de sécurité sur le parc informatique. Pour cela nous déployons des règles GPO pour les différents groupes d’utilisateurs.

A la demande du client :

  • blocage de certaines adresses internet durant certaines heures,
  • sécurisations de l’accès aux différents dossiers partagés suivant les services,
  • blocage du montage des disques durs externes par les ports USB sur certains postes, ceci pour éviter le vol des données sensibles

www.informx.fr