Encore une belle histoire qui finit bien et qui nous vient de notre CERT-Stoïk : une gestion de sinistre un vendredi soir menée de manière optimale et efficace grâce aux équipes informatiques de notre client qui ont fait preuve d’une collaboration et d’un professionnalisme sans faille. Découvrez comme notre équipe CERT-Stoïk a remis un site internet en état de marche en moins de 12 heures.
Découverte de l’attaque
Tout a commencé un vendredi à 16h30, alors que tout le monde se réjouit de bientôt partir en week-end… Notre assuré nous contacte parce que son site internet renvoie vers des sites frauduleux : site pornographique ou page qui télécharge un virus informatique.
Notre client a déjà eu le bon réflexe de mettre son site internet en maintenance et de filtrer les flux pour que l’attaquant ne puisse pas continuer à agir.
L’analyse de logs, la boîte noire du système d’information
Nos équipes interviennent et entrent en contact tout de suite avec les équipes informatiques du client pour obtenir les accès au système. Grâce à la réactivité et au professionnalisme des équipes du client, notre CERT-Stoïk peut rapidement commencer à analyser les logs (autrement dit les "journaux") du serveur web depuis l’heure approximative du début de l’attaque, évaluée à 13h30 : c’est l’analyse de toutes les activités qui se sont déroulées sur le système, une sorte de boîte noire pour système informatique dans laquelle on peut lire toutes les actions qui ont eu lieu (connexions, téléchargements, modifications de fichiers, etc.).
Une équipe de 3 personnes du CERT-Stoïk est déployée pour éplucher tous les logs enregistrés, le travail dure jusqu’à 23h30.
Adresses IP et requête d’authentification suspectes
Deux pistes sont détectées par nos équipes pour comprendre d’où vient l’attaque :
- Des adresses IP très suspectes sont repérées : en les analysant et en faisant quelques recherches, nos équipes se rendent compte qu’elles sont à l'origine d'une campagne d'attaques similaires plusieurs mois précédant l'attaque sur des sites WordPress vulnérables.
- Une requête unique d’authentification est repérée : lorsque l’authentification à un système s’effectue en une requête unique, c’est très suspect car trop facile. En analysant cette seconde découverte, nos équipes identifient qu’il existe une vulnérabilité très peu documentée sur un composant d’authentification de wordPress.
L’investigation et l’analyse des actions malveillantes peuvent commencer
Dans le même temps, notre CERT-Stoïk investigue et analyse ce que l’attaquant a mis en place dans le système pour que le site redirige vers des sites frauduleux. Ils découvrent un bout de code de redirection inséré sur de nombreuses pages du site. C’est ce bout de code qui redirige automatiquement toutes les pages du site et qui le rend inaccessible.
Remise en état et sécurisation du système
Le travail de remédiation peut commencer. En voici les étapes principales :
- Restauration du site WordPress à partir de sauvegardes saines datant de 48h précédant l'attaque
- Suppression du bout de code de redirection des pages
- Changement des mots de passe de tous les utilisateurs
- Mise à jour du WordPress et l’ensemble de ses extensions
- Blocage des adresse IP sources suspectes
- Mise en place d’alertes dès qu’un nouvel utilisateur est créé
- Installation d’un nouveau plug-in d’alertes
Durée de la remédiation : 3h30.
Le travail se termine à 3h du matin. Le site est réouvert et fonctionne à nouveau normalement, et ceci en moins de 12 heures de temps depuis la déclaration de l’attaque.
Le client est très satisfait qu’on ait pu l’accompagner notamment un vendredi soir toute la soirée.