S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 18 juillet 2012
No CERTA-2002-INF-002-004 |
Affaire suivie par :
CERTA
NOTE D'INFORMATION DU CERTA
Objet : Les bons réflexes en cas
d'intrusion sur un système d'information.
Tableau 1: gestion du document
| Référence |
CERTA-2002-INF-002-004 |
| Titre |
Les bons réflexes en cas
d'intrusion sur un système
d'information. |
| Date de la première
version |
17 juin 2002 |
| Date de la dernière
version |
18 juillet 2012 |
| Source(s) |
- |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
Ce document général est destiné
à toutes les personnes qui ont en charge
l'administration d'ordinateurs reliés à un
réseau de type internet (protocole TCP/IP). Il recense,
de manière non exhaustive, les bons réflexes
à acquérir lorsque l'on soupçonne une
intrusion sur l'un ou plusieurs de ces ordinateurs.
On considère qu'il y a intrusion sur un
système d'information lorsqu'une personne réussit
à obtenir un accès non autorisé sur ce
système. En particulier, dans beaucoup de cas
d'intrusion, une personne n'ayant en théorie pas le
droit d'accès au système d'information parvient
à s'octroyer les droits de l'administrateur.
Ce document, même s'il s'adresse en priorité
aux membres de la communauté du CERTA (administrations,
collectivités territoriales et organismes publics)
pourra être utile à d'autres. Il y est notamment
fait référence à l'aide que peut apporter
le CERTA en cas d'intrusion sur une machine. Cette aide n'est
apportée systématiquement qu'aux membres de la
communauté du CERTA. Si vous n'êtes pas membre de
la communauté du CERTA, essayez d'identifier, de
préférence avant qu'un incident ne se produise,
l'équipe de réponse et de traitement des
incidents de sécurité informatique qui pourra
vous aider au moment où l'attaque se produit. Pour plus
d'information sur les CERTs et leurs rôles, consultez la
page :
http://www.certa.ssi.gouv.fr/certa/cert.html
Le FIRST (Forum of Incident Response and Security Teams) est
une organisation internationale qui regroupe plus d'une
centaine de CERTs. La liste des CERTs membres du FIRST se
trouve à l'adresse suivante :
http://www.first.org/about/organization/teams/index.html
- Toutes les actions entreprises devront être
conformes à la politique de sécurité et
aux procédures définies au sein de votre
organisme. Si la politique de sécurité est plus
précise que ce document, ou en contradiction avec
celui-ci, c'est bien entendu la politique de
sécurité de votre organisme qui doit
s'appliquer.
- Un certain nombre de manipulations très
délicates ne sont pas décrites dans ce
document. Elles concernent en particulier l'analyse de
l'intrusion. Nous considérons en effet qu'il est
préférable de confier cette analyse à
des professionnels expérimentés.
- Beaucoup d'effets néfastes d'une intrusion sur un
système d'information découlent directement, ou
sont très amplifiés, par une mauvaise
réaction après la découverte de
l'intrusion. Le CERTA ne pourra pas être tenu pour
responsable d'éventuels dégâts
causés par l'application des conseils contenus dans ce
document. Cependant, s'ils sont appliqués
correctement, ils éviteront beaucoup de
problèmes.
2.1
Utiliser des outils de détection d'intrusion
Note : Les outils de détection d'intrusion
ne peuvent être efficaces que s'ils sont couplés
à une surveillance humaine. Ces outils devraient en
réalité être appelés outils «
d'aide à la détection d'intrusion
».
Il existe deux grandes familles d'outils de détection
d'intrusion :
- ceux qui analysent les journaux des
événements se produisant sur les
équipements (en anglais, cette méthode est
appelée host-based) ;
- ceux qui capturent et analysent le trafic en certains
points du réseau (en anglais, cette technique est
appelée network-based).
Chacune des techniques de détection d'intrusion (sur
l'équipement ou sur le réseau) possède ses
avantages et ses inconvénients, et il est donc
préférable d'utiliser si possible les deux types
d'outils pour obtenir une meilleure efficacité.
En ce qui concerne les contraintes juridiques de
l'utilisation de tels outils, on peut se référer
au rapport thématique de la CNIL de 2004
intitulé : La
cybersurveillance des salariés.
Ce rapport est disponible en ligne sur le site de la
documentation Française :
http://lesrapports.ladocumentationfrancaise.fr/BRP/044000175/0000.pdf
Note : il est important que les
horloges des outils de détection d'intrusion en
particulier, et de tous les équipements en
général, soient synchronisées, pour que
les traces soient exploitables.
Le tableau 2 dresse une liste non
exhaustive des avantages et inconvénients des deux types
d'outil.
Tableau: Les outils de détection
d'intrusion
|
Avantages d'un outil de
détection d'intrusion «
host-based »
|
Avantages d'un outil de
détection d'intrusion «
network-based »
|
- indépendant de la topologie du
réseau ;
- fonctionne dans un environnement
où le trafic réseau est
chiffré ;
- donne l'information sur le succès
ou l'échec d'une tentative de
connexion ;
- aucun équipement
supplémentaire n'est
nécessaire.
|
- indépendant des systèmes
d'exploitation sur les
équipements ;
- surveille tout le trafic réseau
sur des services connus (par exemple http,
port 80) ;
- l'information donnée est fiable,
même après la compromission d'un
ou plusieurs équipements sur le
réseau.
|
|
Inconvénients
d'un outil de détection d'intrusion
« host-based »
|
Inconvénients
d'un outil de détection d'intrusion
« network-based »
|
- plus difficile à gérer, car
chaque équipement doit être
configuré individuellement ;
- si plusieurs équipements d'un
réseau sont attaqués, pas de
vision d'ensemble de l'attaque ;
- non fiable lorsque l'équipement
est compromis ;
- utilise des ressources de
l'équipement-hôte (performance
et espace disque).
|
- vulnérable à certaines
attaques ;
- des paquets peuvent être perdus
lorsque le réseau est
saturé ;
- certains protocoles réseau
obsolètes ne seront pas pris en
charge.
|
|
Exemples d'outils de
détection d'intrusion «
host-based »
|
Exemples d'outils de
détection d'intrusion «
network-based »
|
- chkrootkit (http://www.chkrootkit.org)
- Tripwire (http://tripwire.org)
- md5sum
- AIDE
|
- Snort (http://www.snort.org)
- TCPdump
|
|
Si l'un de vos systèmes d'information est compromis,
il est probable que cette compromission sera aussi
découverte par des personnes totalement
extérieures à votre organisme. En effet,
lorsqu'une machine est compromise, elle est souvent
utilisée par le pirate pour effectuer une recherche de
machines vulnérables sur le réseau (on parle de
« scans »). Si l'une de vos machines est
utilisée pour cela et qu'elle est repérée,
une des victimes prendra contact avec un CERT, et vous pouvez
être contacté et prévenu par ce CERT ou par
un autre membre du réseau des CERTs. Prenez ce type de
message très au sérieux.
En cas de doute, la liste des CERTs membres du FIRST (Forum
of Incident Response and Security Teams) peut être
trouvée à l'adresse suivante :
http://www.first.org/team-info
Certains signes indiquent que le système a
peut-être été compromis. Ils peuvent
être recherchés systématiquement par des
outils de détection d'intrusion (voir paragraphe 2.1), mais peuvent également
être remarqués ponctuellement :
- impossibilité de se connecter à la
machine ;
- fichier(s) disparu(s) ;
- système de fichiers endommagé ;
- signature de binaires modifiée ;
- connexions ou activités inhabituelles ;
- activité importante ;
- services ouverts non autorisés ;
- présence d'un renifleur de mots de passe
(généralement appelé « sniffer
») ;
- modification intempestive du fichier de mots de passe,
date de modification suspecte ;
- création ou destruction de nouveaux
comptes ;
- création de fichiers, y compris de fichiers
cachés.
Certains types d'intrusion spécifiques peuvent
laisser des traces précises qui seront décrites
dans les bulletins du CERTA et des autres CERTs.
Déconnecter du réseau la machine compromise
(ou les machines) permet de stopper l'attaque si elle est
toujours en cours. S'il était toujours connecté
à la machine, l'intrus n'a plus de contrôle sur
celle-ci et ne pourra donc pas surveiller ce que vous faites
et/ou modifier des fichiers. En revanche, maintenez la machine
sous tension et ne la redémarrez pas, car il serait
alors impossible de connaître les processus qui
étaient actifs au moment de l'intrusion. Vous risqueriez
de provoquer une modification sur le système de fichiers
et de perdre de l'information utile pour l'analyse de
l'attaque.
Prévenez immédiatement le responsable
sécurité et votre hiérarchie qu'une
intrusion a été detectée.
Prévenez-les de préférence par
téléphone ou de vive voix, car l'intrus est
peut-être capable de lire les courriers
électroniques échangés, depuis une autre
machine du réseau.
Le responsable sécurité doit être
clairement identifié par tous les administrateurs
système/réseau avant
que l'incident de sécurité ne soit
déclaré. C'est la base de toute procédure
de réaction sur incident de sécurité.
En France, le CERT dont dépendent les administrations
est le CERTA. Il peut être contacté :
- par courrier électronique : certa-svp@certa.ssi.gouv.fr ;
- par téléphone :
01-71-75-84-50 ;
- par fax : 01-71-75-84-20.
Pour en savoir plus sur les CERTs (Computer Emergency
Response Team), vous pouvez consulter la page de
présentation :
http://www.certa.ssi.gouv.fr/certa/cert.html
Attention la copie physique d'un disque
dur est une opération très
délicate.
D'une part, en l'absence de copie, l'altération des
données provoquée par l'analyse rendrait
inefficace toute procédure judiciaire, si vous
souhaitiez mener cette démarche. D'autre part,
même si aucune action judiciaire n'est envisagée,
vous pourrez tout de même avoir besoin dans le futur
d'une copie exacte du système tel qu'il était au
moment de la découverte de l'intrusion.
Une simple sauvegarde de fichiers ne fournit pas
l'intégralité des informations contenues sur le
disque, il est donc important de procéder à une
copie de bas niveau du disque, y compris des secteurs non
occupés.
Sur un système Unix, vous pouvez utiliser la commande
dd1 pour
procéder à la copie exacte du disque. Sur un
système Windows, il n'existe pas de telle commande sur
le système d'exploitation, mais de nombreuses
applications sont disponibles pour effectuer la même
opération.
Si vous n'avez jamais utilisé ce
type de commandes ou d'outils, ne le faites pas dans l'urgence
car vous risqueriez de détruire toutes les traces.
Faites appel à votre CERT pour plus de détails
sur la façon de procéder.
Attention : l'image produite
ne doit en aucun cas être stockée, même
temporairement, sur le disque à étudier.
Un équipement n'est jamais isolé dans un
système d'information. S'il a été
compromis, il doit exister des traces dans d'autres
équipements sur le réseau
(gardes-barrière, routeurs, outils de détection
d'intrusion, etc...). C'est pourquoi il est utile de rechercher
des traces liées à la compromisssion dans tout
l'environnement, les copier, les dater et les signer
numériquement.
Si vous avez pu déterminer l'origine probable de
l'intrusion, n'essayez pas d'entrer en contact directement avec
l'administrateur de la machine dont semble provenir l'attaque.
Vous risqueriez en effet de communiquer avec le pirate et de
lui fournir des informations importantes sur ce que vous savez
de lui.
De toute façon, le taux de réussite pour
contacter l'administrateur de la machine source sera beaucoup
plus élevé si c'est un CERT qui s'en charge. Il y
a plusieurs raisons à cela :
- les CERTs disposent de nombreux outils, de contacts et de
correspondants, ce qui leur permet de contacter plus
rapidement la personne adéquate ;
- les messages à entête d'un CERT sont en
général pris plus au sérieux que les
messages de particuliers ;
- les CERTs représentent une autorité neutre
qui permet d'entamer si nécessaire un dialogue
constructif, sans accusation abusive d'un côté
ou de l'autre.
Gardez à l'esprit que seule la direction de votre
organisme, qui en porte l'autorité morale, est
habilitée à déposer une plainte.
Votre organisme pourrait, dans certains cas, être
considéré comme pénalement et civilement
responsable des dégâts qui seraient causés
par un intrus, à partir de vos systèmes
d'information.
Voici les services spécialisés auprès
desquels la direction de votre organisme peut déposer
une plainte si elle le désire :
OCLCTIC
Office Central de Lutte contre la Criminalité
liée aux Technologies de l'Information et de la
Communication,
Dépend de la Direction Centrale de la Police
Judiciaire.
Compétence nationale, point de contact
international
Tel : 01 47 44 97 55
http://www.interieur.gouv.fr/
BEFTI
Brigade d'enquêtes sur les Fraudes aux Technologies de
l'Information
Dépend de la Direction Régionale de la Police
Judiciaire de la Préfecture de Police de Paris
Compétence sur Paris et la petite couronne
Tel : 01 55 75 26 19
http://www.prefecture-police-paris.interieur.gouv.fr/
DCRI
Direction centrale du renseignement intérieur
Compétence nationale. Enquête sur les crimes et
délits pouvant porter atteinte à la
sûreté de l'Etat.
Tel : 01 77 92 50 00
http://www.interieur.gouv.fr/
Gendarmerie Nationale/DLCC
Pôle judiciaire de la gendarmerie nationale
Service technique de recherches judiciaires et de
documentation
Division de lutte contre la cybercriminalité
Compétence nationale
Tel : 01 58 66 59 99 (standard, demander le STRJD,
division de lutte contre la cybercriminalité)
ou
http://www.gendarmerie.interieur.gouv.fr/fre/Sites/Gendarmerie/Contacts/Trouver-ma-gendarmerie
Dans le cas des services déconcentrés et des
collectivité locales, le CERTA pourra vous orienter
utilement vers le service régional comportant des
enquêteurs spécialisés.
L'analyse de l'incident ne devra être faite que sur
une copie physique du disque dur, dans le cas où un
dépôt de plainte est envisagé.
L'altération des données provoquée par
l'analyse rendrait inefficace toute procédure
judiciaire.
Les techniques d'analyse de l'incident ne seront pas
détaillées dans ce document. Si vous souhaitez de
l'aide, il est très fortement conseillé d'en
demander au CERT dont vous dépendez. En vous adressant
au CERTA, celui-ci pourra soit vous aider directement, soit
vous indiquer le CERT qui pourra vous aider dans l'analyse.
Les grandes étapes de l'analyse de l'intrusion sont
:
- la recherche des modifications dans le système et
les fichiers de configuration ;
- la rechercher des modifications de données ;
- la recherche des outils et des données
laissés par l'intrus ;
- l'examen des fichiers de journalisation ;
- la recherche d'un sniffer sur le réseau ;
- la vérification des autres machines
connectées sur le réseau.
N'oubliez pas que sur une machine compromise, n'importe
quelle partie du système d'information peut avoir
été modifiée : noyau, binaires, fichiers
de données, processus et mémoire.
D'une manière générale, la seule
manière de s'assurer qu'une machine ne possède
plus de porte dérobée ou autre modification
laissée par l'intrus est de ré-installer
entièrement le système d'exploitation à
partir d'une distribution saine et de compléter cette
installation en appliquant tous les correctifs de
sécurité avant de reconnecter la machine à
un réseau. Il est conseillé de tester la machine
avec un scanner de vulnérabilités à jour
(tel que Nessus2) et de corriger les
vulnérabilités identifiées, avant de la
rebrancher au réseau.
Se contenter de supprimer la vulnérabilité
qu'a utilisé l'intrus pour pénétrer le
sysème d'information est très largement
insuffisant.
La configuration normale d'un système est de n'ouvrir
que les services que celui-ci doit offrir et aucun autre.
Vérifiez :
- qu'il n'y a pas de vulnérabilités dans ces
services ;
- que ces services ne sont offerts qu'aux systèmes
extérieurs réellement autorisés par la
politique de sécurité.
Une bonne manière de procéder est de
désactiver tous les services au départ, et de les
activer au fur et à mesure qu'ils sont
nécessaires.
Assurez-vous que vous disposez de tous les correctifs de
sécurité nécessaires. Vous pouvez
vérifiez ces informations sur le site du CERTA
(http://www.certa.ssi.gouv.fr) et
sur les sites des éditeurs des systèmes
d'exploitation et des logiciels utilisés.
Lorsque vous restaurez les données d'après une
copie de sauvegarde, assurez-vous que ces données ne
proviennent pas d'une machine compromise. Vous pourriez dans ce
cas réintroduire une vulnérabilité qui
permettrait à un intrus un accès non
autorisé.
De plus, si vous restaurez des données sur des
comptes utilisateur, gardez à l'esprit que n'importe
lequel des fichiers peut contenir un cheval de Troie. En particulier, il peut
être conseillé de vérifier, avec l'accord
des utilisateurs concernés, les fichiers .rhosts dans
leur répertoire personnel.
Une fois que toutes les vulnérabilités connues
du système d'information ont été
supprimées, il est très fortement
recommandé de modifier les mots de passe de tous les comptes de ce système. En
effet, lors de la compromission, il est possible que ces mots
de passe aient été récupérés
par l'intrus, grâce à un renifleur de mots de
passe, la récupération du fichier /etc/passwd ou
tout autre moyen.
Il est très important de se poser les questions qui
permettront d'améliorer la réaction sur incident
dans le futur. Même avec la meilleure politique de
sécurité vous n'êtes jamais
complètement à l'abri d'une nouvelle intrusion.
Faites la liste dès maintenant des informations ou des
procédures qui vous ont manqué :
- pour protéger plus fortement le système
d'information sur lequel il y a eu une intrusion ;
- pour détecter plus rapidement qu'un incident de
sécurité était en train de se produire
ou s'était produit ;
- pour cerner plus précisément quelles
étaient les anomalies de fonctionnement du
système ;
- pour réagir plus calmement, de manière plus
adéquate, sans risquer de commettre un geste qui
ferait empirer la situation ;
- pour déterminer plus vite quelle était la
marche à suivre et quelles étaient les
personnes à contacter ;
- pour entrer plus facilement en relation avec le CERT qui
s'est occupé de votre cas ;
- pour envisager plus sereinement l'analyse du
système ;
- pour trouver plus aisément la ou les
vulnérabilités qui avaient été
utilisées ;
- pour reconstituer plus efficacement tout l'historique de
l'intrusion sur l'ensemble des systèmes d'information
;
- pour mieux repartir sur de bonnes bases avec des
systèmes d'exploitation sains et sans faille de
sécurité connue.
Les réponses aux questions posées dans le
paragraphe précédent se déclinent en deux
catégories :
-
les réponses techniques,
qui demandent la mise en place d'outils spécifiques
:
- outils de protection ou de filtrage ;
- outils de détection d'intrusion ;
- outils de journalisation des connexions au
système d'information.
-
les réponses organisationnelles, qui demandent des
procédures plus claires ou plus adéquates ;
la politique de sécurité était-elle
suffisante, et a-t-elle été respectée
?
- la recherche systématique et
régulière d'une intrusion potentielle
est-elle prévue ?
- la marche à suivre détaillée en
cas d'intrusion est-elle écrite et à
disposition de tous les acteurs ?
- les relations humaines entre les différentes
personnes impliquées (sur le site, et en dehors du
site) ont-elles été un facteur positif ou
un facteur négatif dans la résolution de
l'incident ?
Oublier l'intrusion le plus vite possible n'est pas la
méthode la plus efficace pour en tirer les leçons
et éviter une nouvelle intrusion dans le futur.
N'oubliez surtout pas de documenter chronologiquement
l'ensemble des faits écoulés depuis la
découverte de l'intrusion, et gardez une «version
papier» de cette documentation.
- 17 juin 2002
- version initiale.
- 24 novembre 2003
- changement des numéros de téléphone
du CERTA.
- 8 décembre 2003
- modification de quelques liens hypertextes.
- 25 novembre 2005
- corrections des liens vers First et CERT et prise en
compte du dernier rapport de la CNIL.
- 07 janvier 2008
- modification des coordonnées de la B.E.F.T.I.
- 18 juillet 2012
- ajout des coordonnées de la gendarmerie.
Notes
- ...dd1
- man dd pour plus d'information
- ... Nessus2
- http://www.nessus.org
CERTA
2012-07-18
|
)