💾 Archived View for gemini.kaag.me › blog › 2023-01-22-perdre-ses-donnees › index.gmi captured on 2023-04-26 at 13:11:56. Gemini links have been rewritten to link to archived content

View Raw

More Information

⬅️ Previous capture (2023-03-20)

-=-=-=-=-=-=-

Perdre ses données

22.09.2023 - 13min de lecture

Hameçonnage, extorsion, perte des données

Je trouve formidable que nos ainés utilisent les outils numériques. Ce sont malheureusement des proies de choix pour les escrocs et voleurs qui utilisent ces mêmes outils numériques. Le cas de parents retraités ou grands-parents, seuls devant une tentative d'extorsion, une arnaque (scam), de l'ingénierie sociale (faux centre de support), une tentative d'hameçonnage (phishing) et autres menaces bien réelles, est devenu plus fréquent que l'on ne pense. Derrière ces activités se cachent des personnes faisant partie du crime organisé ou encore des organisations para-gouvernementales à la recherche de profit rapide. Les lieux d'opération de ces activités, indépendamment de la motivation, sont dans la grande majorité situé aux Etats-Unis, en Chine, en Russie, en Indonésie, en Corée du Nord et en Inde.

Il est désormais relativement facile de lancer des attaques à grande échelle, industrialisées, qui ne nécessitent pas de connaissances pointues en la matière. Il vous sera peut-être d'un certain réconfort de savoir qu'ils cherchent rarement à nuire à une personne ou une entreprise en particulier, vous êtes simplement tombé dans un grand filet de pêche.

Un cas s'est présenté ce jour, un couple de retraités abusés par une méthode d'hameçonnage puis, mal conseillés par un expert, ont perdu toutes leurs données. Voici les étapes qui ont mené à cette terrible situation :

Que faire en prévention ?

Il y a bien sûr toute une série de mesure à prendre pour prévenir ce genre de situation. Bien que le risque zéro n'existe pas, même pour les grandes entreprises et les gouvernements, on peut sans autre réduire l'impact des attaques informatiques. Voici quelques-unes de ces mesures :

Plus d'information :

Comment détecter l'attaque ?

Ces attaques sont généralement silencieuses et puis, personne n'entend vos disques appeler à l'aide. Une attaque par rançongiciel est sans doute la plus évidente, un message explicite (souvent en anglais) occupe tout l'écran, il est impossible de le retirer ni d'utiliser l'ordinateur. Il y a toutefois plusieurs signes pour débusquer une tentative d'attaque, on peut citer en autre :

Voici un cas d'arnaque papier reçu par la Poste, il s'agit de cas plus rare mais bien réel :

https://twitter.com/MauriceKaag/status/1467936488750993418

On notera le caractère urgent de la demande, l'appat du gain, le compte Gmail, le domaine récent, l'inconsistence de certaines structures de phrases (le texte a été traduit de l'anglais), la faible qualité des images, le timbre du Portugal alors que l'expéditeur dit être au Canada, etc...

Que faire après l'attaque ?

Il est trop tard, l'attaque a eu lieu, il s'agit du même sentiment désagréable qu'occasionne un cambriolage. Voici quoi faire dans ces moments de trouble :

Dans le cas d'un rançongiciel, le disque dur est chiffré par l'attaquant. Si vous avez mis votre ordinateur en hibernation, il y a une petite chance que la clef soit encore en mémoire. Si vous avez éteint l'ordinateur, que vous n'avez pas la clef et que le disque dur est un grand modèle mécanique, il pourra toujours servir de serre-livre.

Si le disque dur n'a pas été chiffré mais a été formaté (c'est le cas ici), faites appel à un professionnel de la récupération de données. Il faut retenir que les chances de récupérer vos données sont plus grandes si le disque est un disque mécanique. Dans le cas d'un SSD, les chances s'amenuisent. Les coûts de recouvrement d'un disque peuvent aller de quelques centaines de francs à plusieurs milliers. A vous de voir si cela en vaut la peine. Si vous faites appel à un tiers, n'hésitez pas à demander au moins deux devis et une fois le travail effectué, ne vous contentez pas d'une facture de deux ligne, exiger un rapport d'intervention détaillé.

Plus d'information :

Contacter la police apportera un autre avantage, celui d'identifier les outils ayant servi à l'attaque. Cela peut se révéler utile si vous comptiez réutiliser votre disque dur compromis et que le formatage du disque n'a pas assaini le disque. En effet, certains logiciels malveillants survivent à un formatage.

De mon côté

Le disque est mécanique, c'est à dire qu'il utilise des plateaux magnétiques. Il est tout à fait possible de récupérer des données depuis un disque formaté, surtout avec un formatage "rapide" sous Windows. Un formatage dit de "bas niveau" aurait rendu la récupération quasi impossible. Voici les étapes que j'ai appliqué pour recouvrer les fichiers perdus du disque :

L'ordinateur ayant souffert de cette attaque utilise maintenant Ubuntu [3] avec un nouveau disque SSD de 500GB. Un audit des appareils connectés de la maison a été effectué et un outil de surveillance réseau est installé pour quelques temps. Enfin la solution Nextcloud [4] sur RasperryPi 4 avec 5TB de stockage externe chiffré, trône désormais dans leur salon. Cette solution est identique à celle mise en place pour LoveCaptured [5]. Une sauvegarde quotidienne sur un site distant complète la stratégie de sauvegarde. Les documents sensibles sont synchronisés automatiquement depuis Ubuntu vers Nextcloud.

N'oubliez pas que les distributions GNU/Linux ne sont pas immunes aux attaques par virus, rançongiciel ou ingénierie sociale. La surface d'attaque est toutefois diminuée.

Et vous ?

Comment prévenez-vous ces attaques ? Avez-vous trouvé le temps de conseiller vos aînés ? Etes-vous en mesure d'héberger une copie de leurs données ?

En entreprise

Toutes les entreprises ainsi que les institutions publiques sont concernées. Les moyens mis en oeuvre varient toutefois grandement entre une PME et une grande entreprise. Les points d'intérêts vont également varier entre une entreprise et un particulier, une entreprise devra en autre :

Quelques attaques récentes :

Un peu de terminologie

Voici une liste non exhaustive des termes relatifs à la sécurité informatique ainsi que des types d'attaque que l'on rencontre ces temps. Je ne suis pas rentré trop dans les détails, mais sachez que ces attaques peuvent être combinées pour former des attaques bien plus subtiles.

Cracker

Une controverse de longue date entoure la signification du terme _hacker_. Dans cette controverse, les programmeurs informatiques récupèrent le terme _hacker_, arguant qu'il fait simplement référence à une personne ayant une compréhension avancée des ordinateurs et des réseaux informatiques, et que _cracker_ est le terme plus approprié pour ceux qui s'introduisent dans les ordinateurs, qu'il s'agisse de criminels informatiques (black hats) ou d'experts en sécurité informatique (white hats).

Dark Web

Le dark web propose des sites webs uniquement visibles et disponibles via l'usage de logiciels, de configurations et d'autorisations spécifiques. Le dark web permet de communiquer et de faire des affaires de manière anonyme sans divulguer d'informations d'identification, telles que l'emplacement de l'utilisateur. Le dark web n'est pas indexé par les moteurs de recherche traditionels.

DĂ©tournement de session (session hijacking)

Le détournement de session est l'un des multiples types d'attaques MITM. L'attaquant prend le contrôle d'une session entre un client et le serveur. L'ordinateur utilisé dans l'attaque substitue un cookie de session ou son adresse IP à celle de l'ordinateur client, et le serveur poursuit la session sans se douter qu'il communique avec l'attaquant au lieu du client.

Cheval de Troie (trojan horse)

Une attaque par cheval de Troie utilise un programme malveillant caché dans un programme apparemment légitime. Lorsque l'utilisateur exécute le programme apparemment innocent, le logiciel malveillant contenu dans le cheval de Troie peut être utilisé pour ouvrir une porte dérobée dans le système par laquelle les pirates peuvent pénétrer dans l'ordinateur ou le réseau.

Deni de service (denial of service)

Une attaque par déni de service (DoS) vise à submerger les ressources d'un système au point de le rendre incapable de répondre aux demandes de service légitimes. Une attaque par déni de service distribué (DDoS) est similaire dans la mesure où elle cherche également à épuiser les ressources d'un système. Une attaque DDoS est lancée par un vaste ensemble de machines hôtes infectées par des logiciels malveillants et contrôlées par l'attaquant. On parle d'attaque par "déni de service" car le site victime est incapable de fournir un service à ceux qui veulent y accéder.

Escroquerie (scam)

_Scam_ est un terme argotique anglais signifiant "arnaque" et définissant une escroquerie matérielle ou morale. Sur Internet par exemple, le principe général repose sur l'envoi de courriels par des escrocs qui cherchent à gagner la confiance de personnes dans le but de leur extorquer de l'argent.

Hacker

A ne pas confondre avec un _cracker_. Un _hacker_ est une personne compétente en matière de technologies de l'information qui utilise ses connaissances techniques pour atteindre un objectif ou surmonter un obstacle, au sein d'un système informatique, par des moyens non standard. Bien que le terme "hacker" soit associé, dans la culture populaire, à un pirate de sécurité - une personne qui utilise son savoir-faire technique en matière de bugs ou d'exploits pour s'introduire dans des systèmes informatiques et accéder à des données qui lui seraient autrement inaccessibles - le hacking peut également être utilisé par des personnes légitimes dans des situations légales.

Hameçonnage (phishing)

Une attaque par hameçonnage se produit lorsqu'un acteur malveillant envoie des courriels ou courriers qui semblent provenir de sources fiables et légitimes dans le but d'obtenir des informations sensibles de la cible. Les attaques par hameçonnage combinent l'ingénierie sociale et la technologie et sont appelées ainsi parce que l'attaquant _pêche_ l'accès à une zone interdite ou des informations sensibles en utilisant l'_appât_ d'un expéditeur apparemment digne de confiance.

Homme du milieu (man-in-the-middle)

Les cyberattaques de type "Man-in-the-middle" (MITM) désignent des failles dans la cybersécurité qui permettent à un attaquant d'écouter les données transmises entre deux personnes, réseaux ou ordinateurs. On parle d'attaque de type "homme du milieu" car l'attaquant se place au "milieu" ou entre les deux parties qui tentent de communiquer. En fait, l'attaquant espionne l'interaction entre les deux parties.

Ingénierie sociale (social engineering)

L'ingénierie sociale est l'art de manipuler les gens pour qu'ils donnent des informations confidentielles. Les types d'informations recherchés par ces criminels peuvent varier, mais lorsqu'il s'agit de particuliers, les criminels essaient généralement de vous inciter à leur donner vos mots de passe ou vos informations bancaires, ou d'accéder à votre ordinateur pour y installer secrètement un logiciel malveillant qui leur donnera accès à vos mots de passe et à vos informations bancaires et leur permettra de contrôler votre ordinateur.

Logiciel malveillant (malware)

Les logiciels malveillants infectent un ordinateur et modifient son fonctionnement, détruisent des données ou espionnent l'utilisateur ou le trafic réseau lors de leur passage. Les logiciels malveillants peuvent soit se propager d'un appareil à l'autre, soit rester en place et n'avoir qu'un impact sur l'appareil hôte. Plusieurs des méthodes d'attaque décrites ici-dessus peuvent impliquer des formes de logiciels malveillants.

Rançongiciel (ransomware)

Le système de la victime est pris en otage jusqu'à ce qu'elle accepte de payer une rançon à l'attaquant. Une fois le paiement effectué, l'attaquant fournit (normalement) des instructions sur la manière dont la cible peut reprendre le contrôle de son ordinateur. Il existe une nouvelle forme de double rançons : vous payez pour récupérer vos données et vous payez une deuxième fois pour éviter que vos données ne soient publiées sur le Dark Web.

Usurpation de noms de domaine (DNS spoofing)

Dans le cas de l'usurpation du système de nom de domaine (DNS), un pirate modifie les enregistrements DNS afin d'envoyer le trafic vers un faux site web ou site "usurpé". Une fois sur le site frauduleux, la victime peut saisir des informations sensibles qui peuvent être utilisées ou vendues par le pirate. Le pirate peut également construire un site de mauvaise qualité avec un contenu désobligeant ou incendiaire pour donner une mauvaise image d'une entreprise concurrente.

Virus

Un virus informatique désigne un programme malveillant dont l'objectif principal est de perturber le bon fonctionnement d'un appareil, la plupart du temps un ordinateur. Le terme joue sur l'analogie avec le monde de la santé, qui se justifie par la propension du virus informatique à se propager à travers la planète afin d'infecter un maximum d'appareils. Les virus affectent plus ou moins gravement l'ordinateur ou le support sur lequel ils se déploient.

Références

[1] les bonnes pratiques sur ce sujet (/blog/2022-05-20-un-nas-nest-pas-une-sauvegarde/#quelles-sont-les-bonnes-pratiques-)

[2] SystemRescue (https://www.system-rescue.org/)

[3] Ubuntu (https://ubuntu.com/desktop)

[4] Nextcloud (https://nextcloud.com)

[5] LoveCaptured (/project/lovecaptured/)

Articles liés

Archivage pérenne

Solution collaborative

Un compte M365 pour nos enfants

---

Retour Ă  l'index

Lire cet article sur WWW