Le
site lillois de l'assureur La Mondiale est perturbé depuis une semaine.
D'autres sociétés situées dans le même immeuble seraient aussi
touchées. Le point sur les mesures à prendre.
Les
cas connus de grandes entreprises victimes d'un code malveillant
(virus, vers, chevaux de Troie...) sont assez rares. Révélée par le
site Zataz, l'infection qui touche l'assureur La Mondiale est
suffisamment importante pour que l'activité de son site lillois soit
très perturbée depuis une semaine. Selon nos informations, cette
infection concernerait aussi, avec plus ou moins d'impact, les réseaux
locaux de sociétés (*) comme Décathlon installées dans le même immeuble
que l'assureur.
Il est difficile de connaître exactement la cause de cette infection.
« Soit
l'entreprise a eu une protection défaillante à un moment donné, soit
elle est victime d'une attaque avec un virus modifié dont la signature
n'est reconnue par aucun antivirus : nous avons eu des cas comme cela
chez nos clients »,
indique l'expert en sécurité Hervé Schauer.
Après
avoir constaté l'infection de son réseau, l'entreprise doit agir
rapidement pour limiter les dégâts et repartir sur de bonnes bases.
Selon le
Certa
(Centre
d'expertise gouvernemental de réponse et de traitement des attaques
informatiques), la première chose à faire est de mettre en quarantaine
les postes de travail contaminés.
« Il
faut les déconnecter du réseau mais ne pas les éteindre. Il est en
effet primordial de repérer les processus actifs au moment de
l'intrusion »,
avertit Romain Levy, un des responsables du
laboratoire d'expertise informatique du cabinet Lexsi.
C'est
une information précieuse pour comprendre l'origine du mal et ensuite
l'endiguer, mais aussi pour relever des preuves en vue d'un dépôt de
plainte auprès des autorités compétentes comme l'Office central de
lutte contre la criminalité liée aux technologies de l'information et
de la communication
(OCLCTIC)
ou
la Brigade d'enquêtes sur les fraudes aux technologies de l'information
(Befti) si vous êtes en Ile-de-France. La preuve essentielle est la
copie exacte du système tel qu'il était au moment de la découverte de
l'intrusion. Vérifier tous les matériels
L'isolement
des machines compromises n'est pas suffisant car il a pu se passer
plusieurs jours entre le moment où l'infection a été constatée et les
premières mesures de sécurité. Ce délai a pu être exploité par le code
malveillant pour compromettre d'autres postes de travail ou
périphériques. Il faut donc chercher des traces suspectes sur tous les
équipements et applications. C'est ce qui est en cours à La Mondiale.
Un travail fastidieux et minutieux.
Une
fois la contamination éradiquée, l'entreprise doit repartir sur des
bases saines, c'est-à-dire sans aucune trace d'infection. Autre mesure
de précaution : modifier les mots de passe de tous les comptes car des
identifiants ont pu être récupérés par des pirates lors de l'attaque.
Reste
enfin à faire une analyse précise de l'accident afin de déterminer les
points faibles et les solutions à apporter pour éviter une nouvelle
infection quasi générale du réseau.
« Il faut installer des
antivirus de différents éditeurs pour améliorer le taux de détection, utiliser des outils de
monitoring
d'intrusion, sensibiliser les employés et ne plus utiliser des
systèmes d'exploitation obsolètes
comme Windows NT dont la mise à jour n'est plus assurée par Microsoft. Or, cet OS encore installé dans
des entreprises est l'objet d'attaques exploitant des failles connues »,
recommande Romain Levy.
(*)
Article modifié le 13 juin 2007. La société Cofidis, que nous citions
dans une des premières versions de l'article comme une des sociétés
touchées par ce virus, dément cette information. Source: Philippe Richard
, 01net
Commentaires