Cyberattaque sur un site e-commerce
Lundi 28 avril, il est 16h12. Une société leader européen de la vente de microscopes électronique nous appelle car son site de e-commerce a été piraté.
19h11, l'incident est clos, le CEO en est quitte pour une peur? bleue. Le responsable est identifié. Que s'est-il passé ?
Récit d'une intervention riche d'enseignements.
NetPilote sécurise, protège et restaure votre site e-commerce
Tout commence par un appel de la responsable Marketing qui apprend de ses clients que le site de la boutique en ligne de la société a été piraté. Cette société française établie en Ile-de-France est leader de la conception de d'optiques de précision et revendeur exclusif de microscopes d'un des leaders mondiaux de l'industrie optique et optoélectronique.
Il est 16h12, l'intervention débute.
Nos objectifs :
- Mettre le site en sécurité en préservant les données et les éléments de preuve
- Collecter les informations, confronter les hypothèses, analyser les pistes probables
- Identifier avec certitude la cause du piratage
- Conserver les éléments permettant le dépôt de plainte
- Remettre la boutique en ligne en exploitation
1. Stabiliser la situation dans le calme
Un binôme est mis en place et est isolé de toute sollicitation extérieure, les téléphones sont coupés, les autres collaborateurs se mettent à l'écart. Chacun des deux intervenants va agir en verbalisant chacune des actions entreprises et faire valider chaque opération par son binôme.
En situation de crise, il est essentiel de prendre le temps de ralentir un instant les horloges pour permettre ensuite de décider rapidement.
La boutique en ligne est mise en maintenance directement au niveau du serveur d'hébergement.
2. Mettre en sécurité
Les mots de passe des différents comptes FTP sont immédiatement modifiés. Les autres sites web situés sur le même hébergement sont isolés pour éviter toutes contamination éventuelle. Un archivage des fichiers et des bases de données de la boutique en ligne est réalisé et mis en sécurité. Les archives des jours précédents sont identifiées et remontées afin de disposer d'une version réputée saine.
La situation est maintenant stabilisée et les éléments de preuve sont sécurisés. L'investigation peut débuter.
A ce stade, les hypothèses sont :
- L'utilisation d'un compte FTP (file transfert protocole) pour placer directement des fichiers pirates sur le serveur,
- L'exploitation d'une faille de sécurité du logiciel de gestion de la boutique en ligne
- La présence d'un fichier dormant qui aura été activé
3. Agir en transparence
L'hébergeur est mis au courant et est sollicité en priorité pour fournir les logs d'accès FTP sur les 30 derniers jours. Cette attitude permet de s'assurer de la totale collaboration de l'hébergeur qui comprend rapidement qu'une procédure d'investigation maîtrisée est en cours. Il s'agit de vérifier s'il y a eu un chargement de fichier anormal dans les heures ou jours qui ont précédé l'incident et dans ce cas, quel compte FTP aurait été utilisé.
Rapidement, le constat est fait qu'aucun accès direct suspect n'a eu lieu dans le mois précédent l'incident. On peut donc écarter cette piste sauf à supposer qu'un virus dormant a été installé depuis plus d'un mois. La suite de l'analyse va révéler l'origine du piratage et elle est inattendue.
Comment est-elle révélée ?
4. Penser comme un hacker
En règle générale, un hacker tente d'effacer toute trace qui permettrait de le pister. Partant de ce principe, nous allons chercher non pas les fichiers en trop? mais les fichiers en moins. Pour cela nous allons comparer deux à deux tous les fichiers des archives de la boutique en ligne, entre l'archive réputée bonne et le site dans son dernier état.
Nos outils de comparaison puissants permettent d'identifier des fichiers qui sont apparus puis ont disparu. Ils révèlent des adresses de site internet, des identifiants et des clés de régie publicitaire qui auront procuré des bénéfices financiers aux pirates, informations qui seront précieuses pour le dépôt de plainte.
5. Rester agile intellectuellement
Nous validons une nouvelle hypothèse : l'installation d'un module non certifié quelques jours avant l'incident.
Nous identifions que deux jours auparavant, à 23h, a été installé le module myprestaloyalty qui ne provient pas de la plateforme officielle. Ce module comporte une backdoor ou porte dérobée qui permet ensuite de charger n'importe quel fichier sur l'hébergement et par la suite de potentiellement récupérer les codes d'accès à la base de données.
Vous voulez savoir comment ce module s'est retrouvé sur le site ? Le plus simplement du monde à partir du compte de gestion d'un ancien collaborateur parti depuis longtemps. Ledit collaborateur n'est peut-être pas directement l'auteur de l'installation, disons que ses identifiants ont été utilisés.
6. Refondre la Cybersécurité interne
Limiter les accès des collaborateurs tant dans les privilèges de gestion que dans le temps. Ce collaborateur n'avait pas besoin d'être superadministrateur (installation de modules) pour simplement gérer les commandes. Son compte aurait dû être dévalidé dès le jour de son départ. Et son mot de passe aurait dû avoir une durée de vie limitée.>
7. Evaluer les risques juridiques
La base de données a été analysée par recomposition de l'historique des transaction pour s'assurer que les informations n'avaient pas été altérées. Aucun fichier de lecture de l'intégralité de la base de données n'a été détecté, les données clients n'ont pas été diffusées. Il est cependant probable que les identifiants de la base de données se seront trouvées sur le darkweb, attendant qu'un autre pirate prenne la suite.
Les mesures de protection et la rapidité de l'intervention ont permis de couper l'évolution du piratage. Les comptes des autres collaborateurs ont été passés au crible et les accès ont été restreints ou supprimés lorsqu'il n'étaient pas indispensables.
L'ensemble des éléments de preuve et la copie des fichiers piratés sont remis sur CD ROM au propriétaire du site avec une notice explicative lui permettant de faire un dépôt de plainte circonstancié. D'une part, une assurance professionnelle peut prévoir la couverture des frais d'investigation en cas de piratage informatique. D'autre part, c'est une démarche préalable à un signalement à la CNIL en cas de suspicion de fuite de données personnelles. Il faudrait en pareil cas faire un couriel d'information à chaque client pour l'informer des données le concernant ayant potentiellement été diffusées. En l'espèce, cette dernière démarche ne sera pas nécessaire.
NetPilote sécurise votre boutique en ligne
En moins de 3 heures, le site était sécurisé, l'attaque comprise, les preuves archivées et le site prêt à être relancé dans une version saine. L'entreprise repart avec un plan de durcissement de sa cybersécurité, un rapport complet pour dépôt de plainte et la tranquillité retrouvée.
Chez NetPilote, nous ne vendons pas du rêve mais des solutions concrètes face aux crises numériques. Nos sauvegardes récurrentes nous permettent de vous assurer une rapidité de traitement de la crise et de vous accompagner dans vos démarches juridiques.
Et quand votre boutique en ligne vend du Viagra, nous faisons en sorte qu'elle reste sérieuse.