« L'élégance à la française éloigne le cyberdélinquant. Dîtes non au sweat à capuche » (ceci était une communication de France Textile, membre de la French Tech, partenaire du Slip Français)
Prochain axe : ne laissons pas les mugs anglosaxons pervertir nos pauses café et thé patriotes. Votez avec vos porte-monnaies, goussets et réticules pour des tasses et leurs soucoupes, en porcelaine de Limoges. (Numéro Vert en cours de création)
Allez zou je vais candidater à la cellule comm' moi.
je lis : "La gravité serait telle que les services municipaux concernés touchés sont à l'arrêt. Des équipements de sécurité numérique de Floirac ont été compromis."
une règle élémentaire voudrait que l'on arrête tous le SI en cas de doute d'une intrusion, qu'elle soit d'importance minime ou très importante. On peut aussi tout simplement déconnecter les services exposés sur Internet le temps de prendre la température du SI.
Je n'ai pas lu dans l'article d'information indiquant que les données précieuses et sans backup avaient été placées dans des containeurs chiffrés. Comment juger de prime abord de l'importance de l'attaque. Prendre des précautions, y compris trop de précautions avant remise en service, me semble indispensable.
Posté par gUI (Mastodon) .
Évalué à 7.
Dernière modification le 20 avril 2024 à 20:02.
une règle élémentaire voudrait que l'on arrête tous le SI en cas de doute d'une intrusion, qu'elle soit d'importance minime ou très importante.
Ça m'était jamais monté au cerveau mais oui, c'est complètement logique. Quitte à le rallumer qques heures/jours plus tard.
J'ai vu une boîte internationale (style 2000 employés dans une 10aine de sites) vivre plusieurs semaines sans SI suite à une attaque. C'est compliqué, tu bosses moins bien, ça coûte un pognon de dingue (et encore…) mais c'est possible, la boîte n'a pas coulé (et n'a pas payé, c'était un ransomware).
Donc oui, c'est possible de survivre sans SI, dans le doute tu coupes d'abord et tu réfléchis ensuite.
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
Pour l'article de Clubic, c'est risible.
Admettons commune de 17k habitants, il y a quelques services internes, en cas d'urgence (contamination eau, sanitaire, désastre naturel, etc.) je comprendrais la vitalité du SI, mais j'ai plus l'impression de lire un fait divers ou l'on apprendra que c'était un scriptkiddie, même pas Russe.
Posté par Florian.J .
Évalué à 3.
Dernière modification le 20 avril 2024 à 21:54.
On peut pas trop savoir si ça un rapport direct, mais il y a un centre important de l'AIA à Floirac.
Ils travaillent notamment à la maintenance de tout un tas de moteurs conçus pour l'aéronautique et notamment le M88 utilisé par le Rafale.
Je connais aucun détails technique mais j'ai discuté une fois avec un collègue qui y a bossé pour faire un chantier et les contrôles étaient très poussés (avec une liste précise des entreprises extérieures habilitées à travailler, contrôle de l'identité, fouille en entrant et en sortant des locaux, impossible de se déplacer librement à l'intérieur, caméras, etc…)
Bref, ça n'a peut être aucun rapport avec l'attaque des services de la Mairie, mais ça n'est pas totalement inenvisageable.
Posté par Florian.J .
Évalué à 3.
Dernière modification le 21 avril 2024 à 14:32.
Toutafé.
Ca peut autant être une erreur de cible ou au contraire une première étape (probablement ratée parce qu'il faut que ça soit discret) d'infiltration par hôte de confiance.
Si la mairie a un accès au réseau de l'AIA (improbable) ou qu'il y a des communications entre les services de la Mairie et l'AIA par courriel vérolés (plausible), ça peut permettre d'infiltrer le réseau.
Quand j'ai vu cette info ça m'a fait penser à l'affaire McKinnon (https://fr.wikipedia.org/wiki/Gary_McKinnon).
Le gars n'était pas forcément un pirate extrêmement doué, mais il était acharné et est parvenu à infiltrer très profondément les systèmes de la NSA et du Pentagone sans même avoir à les pirater.
Par contre il a commencé à infiltrer des réseaux de machines se faisant confiance entre eux, donc à partir du moment où t'as un point d'entrée c'est rapidement open-bar.
Je pense qu'on est pas près savoir le fin mot de l'histoire mais je suis près à parier qu'il y ait des contrôles à l'AIA pour ne pas prendre le risque.
une règle élémentaire voudrait que l'on arrête tous le SI en cas de doute d'une intrusion, qu'elle soit d'importance minime ou très importante
et ça se conjugue comment avec la règle de "on ne touche pas pour l'analyse des systèmes" car éteindre les machines, ok, mais ça efface aussi parfois des traces, donc la règle n'est pas si élémentaire que ça.
une petite ville française?
les irréductibles cannois du cinéma !
oui, en moyenne dans ma veille cyber (je suis pas du tout dans l'expertise), je compte au moins 1 établissement publci ou privé par semaine qui se fait bouffer par cyberattaque (ransomware et autres)
si on doit les cumuler ici.. yen a pour des dizaines en quelques mois..
quant à la "réaction", à part isoler le réseau, appeler les cowboys de l'anssi ou simplement son presta, et surtout :
faire en sorte que les équipes soient autant efficace, comme pour les hopitaux (qui n'ont eu le choix, pikebu corbeil-essonnes), de basculer de l'informatique au papier-crayon, ne doit pas être un effort considérable !
imaginez juste : vous êtes chez vous, tranquilement sur votre ordi, quand votre ordi grille, et votre tel plante.
en moins d'une heure, vous perdez deux appareils ; préférez vous :
vous en occuper en pleurant toutes vos larmes que plus rien n'est possible
un petit plan de réactivité : noter les indispensables à faire prochainement sur votre outil numérique, à réaliser une fois qu'ils seront à nouveau dispo ; et passer à une activité réelle, sans écran.
bah dans l'univers des entreprises, ca devrait etre pareil : l'outil n'est pas dispo? pas grave, ca ne doit pas empecher d'avancer.
==> la technologie doit être une alternative, un complément, non le coeur de la société (et malheureusement les géants essaient de nous faire croire le contraire)
faire en sorte que les équipes soient autant efficace, comme pour les hopitaux (qui n'ont eu le choix, pikebu corbeil-essonnes), de basculer de l'informatique au papier-crayon, ne doit pas être un effort considérable !
C'est troublant de naïveté quand même.
C'est évidemment un effort considérable pour certaines structures comme un hôpital de fonctionner sans outil informatique. Le papier / crayon ça dépanne mais cela ne peut pas remplacer toute l'infrastructure qui a été déployée.
Pour être un patient dans un hôpital qui commence à voir le bout du tunnel d'une cyberattaque qui a eu lieu il y a un an, on voit tout ce que cela implique. Déjà on réalise que entre le début de l'attaque et le retour à une vie normale cela nécessite beaucoup de temps. 1 an, c'est long. Tu crois que les hôpitaux peuvent pendant un an stocker temporairement des bouts de dossiers pour renumériser un an après tout ce qui a été fait entre temps ? Ils ont déjà un sous effectif chronique en temps normal.
Cela complique beaucoup de choses dans un hôpital :
Certains examens ne sont plus possibles ou très limités : scanners, IRM, analyses médicaux car ils sont liés à des ordinateurs. Ces examens ont des délais plus longs, pour les patients des structures de soins non attaquées ils subissent aussi des retards car il y a plus de patients à gérer avec moins de matériel qui est souvent peu disponible ;
Tes équipes sont formées pour fonctionner d'une certaine manière et du jour au lendemain il faut tout changer. Certes cela doit être planifié mais même avec une préparation cela reste une épreuve car les équipes sont déjà sous l'eau sans ça. Et globalement le papier / crayon fonctionnait bien avec moins de patients et plus de praticiens qu'aujourd'hui, est-ce que cela passe à l'échelle ?
La communication avec l'extérieur est bien plus difficile, le médecin n'a plus accès au dossier global du patient, n'a pas les résultats de ses confrères en dehors de l'hôpital sauf si on demande un envoie par courrier postal, n'a plus accès au dossier interne du patient par ailleurs donc des données utiles doivent être retrouvées de mémoire ou avec l'aide du patient s'il a une copie et qu'il l'amène au rendez-vous ;
Toute la facturation est au fraise, ce qui entraine des retards, des factures en double ou des mauvais remboursements par les mutuelles que le patient doit gérer derrière aussi. Je suppose que côté fournisseur ça doit être rigolo aussi ;
Plus d'ordonnance électronique, ni d'ordinateur pour rédiger le compte rendu, la consultation est donc plus longue pour le même résultat…
Bref, je pense que oui certaines structures doivent avoir un plan B au cas où pour ce genre de choses. On a la preuve que cela peut servir. Mais cela reste malgré tout un service qui sera forcément dégradé. Si l'informatique n'apportait rien dans ces structures, autant s'en passer au départ. Et perso j'ai bien vu les conséquences d'une telle attaque ce qui montre que même préparée, les conséquences seront là malgré tout et cela n'est pas très agréable ni pour le personnel, ni pour les patients et j'imagine ni pour les tierces parties impliquées comme les hôpitaux non attaqués qui doivent gérer certains patients en plus. Et l'impact dure longtemps.
N'importe quoi ! T'as déjà entendu parler de PCA/PRA ? Des "plans B" où tu fonctionne en mode dégradé sans pour autant retourner au boulier y'en a plein les cartons !
# Il y a bien une solution
Posté par Ysabeau 🧶 (site web personnel, Mastodon) . Évalué à 9.
Apparemment ces cyberattaques sont liées au port de sweat à capuche. La solution, elle est toute trouvée par contrecoup.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Il y a bien une solution
Posté par Florian.J . Évalué à 3.
Les sweat à capuche étant nombreux dans les hauteurs de Cenon, c'est donc une attaque venant du Nord je suppose…
[^] # Re: Il y a bien une solution
Posté par Benoît Sibaud (site web personnel) . Évalué à 7.
« L'élégance à la française éloigne le cyberdélinquant. Dîtes non au sweat à capuche » (ceci était une communication de France Textile, membre de la French Tech, partenaire du Slip Français)
Prochain axe : ne laissons pas les mugs anglosaxons pervertir nos pauses café et thé patriotes. Votez avec vos porte-monnaies, goussets et réticules pour des tasses et leurs soucoupes, en porcelaine de Limoges. (Numéro Vert en cours de création)
Allez zou je vais candidater à la cellule comm' moi.
# arrêt des services
Posté par Marc Quinton . Évalué à 5.
je lis : "La gravité serait telle que les services municipaux concernés touchés sont à l'arrêt. Des équipements de sécurité numérique de Floirac ont été compromis."
une règle élémentaire voudrait que l'on arrête tous le SI en cas de doute d'une intrusion, qu'elle soit d'importance minime ou très importante. On peut aussi tout simplement déconnecter les services exposés sur Internet le temps de prendre la température du SI.
Je n'ai pas lu dans l'article d'information indiquant que les données précieuses et sans backup avaient été placées dans des containeurs chiffrés. Comment juger de prime abord de l'importance de l'attaque. Prendre des précautions, y compris trop de précautions avant remise en service, me semble indispensable.
[^] # Re: arrêt des services
Posté par gUI (Mastodon) . Évalué à 7. Dernière modification le 20 avril 2024 à 20:02.
Ça m'était jamais monté au cerveau mais oui, c'est complètement logique. Quitte à le rallumer qques heures/jours plus tard.
J'ai vu une boîte internationale (style 2000 employés dans une 10aine de sites) vivre plusieurs semaines sans SI suite à une attaque. C'est compliqué, tu bosses moins bien, ça coûte un pognon de dingue (et encore…) mais c'est possible, la boîte n'a pas coulé (et n'a pas payé, c'était un ransomware).
Donc oui, c'est possible de survivre sans SI, dans le doute tu coupes d'abord et tu réfléchis ensuite.
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: arrêt des services
Posté par Xanatos . Évalué à 9.
Il y le retex de Manutan qui est extrêmement instructif.
https://www.lemagit.fr/etude/Recit-comment-Manutan-sest-sorti-de-la-cyberattaque-du-21-fevrier
Moralité: vérifiez vos backups, gardez 1an de logs, ça c'est valable contre ransomwares en général
Pour l'article de Clubic, c'est risible.
Admettons commune de 17k habitants, il y a quelques services internes, en cas d'urgence (contamination eau, sanitaire, désastre naturel, etc.) je comprendrais la vitalité du SI, mais j'ai plus l'impression de lire un fait divers ou l'on apprendra que c'était un scriptkiddie, même pas Russe.
[^] # Re: arrêt des services
Posté par Florian.J . Évalué à 3. Dernière modification le 20 avril 2024 à 21:54.
On peut pas trop savoir si ça un rapport direct, mais il y a un centre important de l'AIA à Floirac.
Ils travaillent notamment à la maintenance de tout un tas de moteurs conçus pour l'aéronautique et notamment le M88 utilisé par le Rafale.
Je connais aucun détails technique mais j'ai discuté une fois avec un collègue qui y a bossé pour faire un chantier et les contrôles étaient très poussés (avec une liste précise des entreprises extérieures habilitées à travailler, contrôle de l'identité, fouille en entrant et en sortant des locaux, impossible de se déplacer librement à l'intérieur, caméras, etc…)
Bref, ça n'a peut être aucun rapport avec l'attaque des services de la Mairie, mais ça n'est pas totalement inenvisageable.
[^] # Re: arrêt des services
Posté par Misc (site web personnel) . Évalué à 5.
Ou un cas comme celui la:
https://www.lemonde.fr/pixels/article/2024/04/17/comment-sandworm-les-hackeurs-d-elite-de-l-armee-russe-ont-pirate-un-moulin-francais-en-pensant-attaquer-un-barrage_6228320_4408996.html
[^] # Re: arrêt des services
Posté par Florian.J . Évalué à 3. Dernière modification le 21 avril 2024 à 14:32.
Toutafé.
Ca peut autant être une erreur de cible ou au contraire une première étape (probablement ratée parce qu'il faut que ça soit discret) d'infiltration par hôte de confiance.
Si la mairie a un accès au réseau de l'AIA (improbable) ou qu'il y a des communications entre les services de la Mairie et l'AIA par courriel vérolés (plausible), ça peut permettre d'infiltrer le réseau.
Quand j'ai vu cette info ça m'a fait penser à l'affaire McKinnon (https://fr.wikipedia.org/wiki/Gary_McKinnon).
Le gars n'était pas forcément un pirate extrêmement doué, mais il était acharné et est parvenu à infiltrer très profondément les systèmes de la NSA et du Pentagone sans même avoir à les pirater.
Par contre il a commencé à infiltrer des réseaux de machines se faisant confiance entre eux, donc à partir du moment où t'as un point d'entrée c'est rapidement open-bar.
Je pense qu'on est pas près savoir le fin mot de l'histoire mais je suis près à parier qu'il y ait des contrôles à l'AIA pour ne pas prendre le risque.
[^] # Re: arrêt des services
Posté par barmic 🦦 . Évalué à 4.
Et gardez non alterables
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: arrêt des services
Posté par Misc (site web personnel) . Évalué à 5.
et ça se conjugue comment avec la règle de "on ne touche pas pour l'analyse des systèmes" car éteindre les machines, ok, mais ça efface aussi parfois des traces, donc la règle n'est pas si élémentaire que ça.
# waouch.
Posté par tkr . Évalué à 0.
une petite ville française?
les irréductibles cannois du cinéma !
oui, en moyenne dans ma veille cyber (je suis pas du tout dans l'expertise), je compte au moins 1 établissement publci ou privé par semaine qui se fait bouffer par cyberattaque (ransomware et autres)
si on doit les cumuler ici.. yen a pour des dizaines en quelques mois..
quant à la "réaction", à part isoler le réseau, appeler les cowboys de l'anssi ou simplement son presta, et surtout :
faire en sorte que les équipes soient autant efficace, comme pour les hopitaux (qui n'ont eu le choix, pikebu corbeil-essonnes), de basculer de l'informatique au papier-crayon, ne doit pas être un effort considérable !
imaginez juste : vous êtes chez vous, tranquilement sur votre ordi, quand votre ordi grille, et votre tel plante.
en moins d'une heure, vous perdez deux appareils ; préférez vous :
bah dans l'univers des entreprises, ca devrait etre pareil : l'outil n'est pas dispo? pas grave, ca ne doit pas empecher d'avancer.
==> la technologie doit être une alternative, un complément, non le coeur de la société (et malheureusement les géants essaient de nous faire croire le contraire)
[^] # Re: waouch.
Posté par Renault (site web personnel) . Évalué à 10.
C'est troublant de naïveté quand même.
C'est évidemment un effort considérable pour certaines structures comme un hôpital de fonctionner sans outil informatique. Le papier / crayon ça dépanne mais cela ne peut pas remplacer toute l'infrastructure qui a été déployée.
Pour être un patient dans un hôpital qui commence à voir le bout du tunnel d'une cyberattaque qui a eu lieu il y a un an, on voit tout ce que cela implique. Déjà on réalise que entre le début de l'attaque et le retour à une vie normale cela nécessite beaucoup de temps. 1 an, c'est long. Tu crois que les hôpitaux peuvent pendant un an stocker temporairement des bouts de dossiers pour renumériser un an après tout ce qui a été fait entre temps ? Ils ont déjà un sous effectif chronique en temps normal.
Cela complique beaucoup de choses dans un hôpital :
Bref, je pense que oui certaines structures doivent avoir un plan B au cas où pour ce genre de choses. On a la preuve que cela peut servir. Mais cela reste malgré tout un service qui sera forcément dégradé. Si l'informatique n'apportait rien dans ces structures, autant s'en passer au départ. Et perso j'ai bien vu les conséquences d'une telle attaque ce qui montre que même préparée, les conséquences seront là malgré tout et cela n'est pas très agréable ni pour le personnel, ni pour les patients et j'imagine ni pour les tierces parties impliquées comme les hôpitaux non attaqués qui doivent gérer certains patients en plus. Et l'impact dure longtemps.
[^] # Re: waouch.
Posté par tkr . Évalué à 0.
c'est pourtant simple :
soit le plan B, c'est un réseau informatique parallèle, donc un budget SI doublé à minima, avec apprentissage/formation à la clé
soit c'est retour au papier crayon en raison d'une informatique complètement indisponible.
après, à savoir en fonction de l'enjeu, je pense que la question elle est vite répondue….
[^] # Re: waouch.
Posté par aiolos . Évalué à 2.
N'importe quoi ! T'as déjà entendu parler de PCA/PRA ? Des "plans B" où tu fonctionne en mode dégradé sans pour autant retourner au boulier y'en a plein les cartons !
[^] # Re: waouch.
Posté par sebas . Évalué à 2.
… avec certaines conséquences bénignes :
[^] # Re: waouch.
Posté par cg . Évalué à 2.
Ça devrait te parler : RETEX Incident de sécurité au CHU de Brest.
Attention, âmes sensibles s'abstenir !
# Petit guide
Posté par cg . Évalué à 10.
Le petit guide "mais que faire en cas d'attaque".
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.