Faille critique

Je googuelisais je ne sais plus quoi d’informatique et je tombe sur cet article de zdnet qui date du 30 mars, n’ayant rien à voir avec ce que je cherchais :

« Faille critique dans 600.000 serveurs Windows. Et sans doute pas de patch. »

Pas d’inquiétude, cela concerne le serveur web IIS 6 qui n’est plus supporté par Microsoft et la majorité de ces serveurs se trouvent aux USA et en Chine.

Question

J’ai un serveur Windows loué chez OVH, OnLine, Amazon ou ailleurs. Un pare-feu Cisco, ça coûte un bras, mettre en place un proxy et un antivirus qui accumule des fonctions dont la documentation est aussi instructive qu’une circulaire administrative, ça ne fait au final que couvrir une part du risque.

Que faire ?

SCANNER

Que faire, d’autant plus que la première action du cybercriminel est de scanner les ports ouverts de votre serveur, puis ensuite d’interroger au travers de ces ports votre serveur qui va gentiment répondre :
« Je suis un serveur Windows 2012r2, ou je suis un serveur Apache avec PHP version xx et MySQL ».

ATTAQUE

Suite de l’opération, lancer une attaque par dictionnaire ou identifier les failles exploitables en fonction des versions des logiciels installés. Google regorge de sites qui expliquent les modus operandi, où télécharger le matos et Youtube ne manque pas de vidéos fort instructives. Vous pouvez devenir un script kiddies en 2 heures.

MALVEILLANCE

Et que faire, quand en plus on sait que 50% des malveillances sont d’origines internes. Ce n’est pas un malandrin qui va faire le tour de votre propriété pour voir s’il y a une porte ouverte, c’est votre femme de ménage qui a les clés qui va vous faire un tour pendard parce que vous lui aurez dit que la vaisselle était mal rangée.

Un mot sur la loyauté

Un autre jour où je googuelisais tranquillement, je lis une brève qui indique que 20% des salariés sont prêts à vendre leur login-password.

Oui, j’ai un truc à vous vendre qui répond à cette problématique.

Sinon je ne passerais pas du temps à rédiger ce billet, il fait beau, j'irais faire le marché et j'achèterais un bouquet de fleurs pour ma femme.

Ce truc, c’est une vidéo de 6 minutes qui fait office de mode d’emploi, ensuite il n’y a aucune documentation à se palucher. Après, il y a un formulaire (Nom – email) pour télécharger la version démo, une minute pour installer le logiciel et trois minutes pour le paramétrer sans aucune compétence d’ingénieur système requise.

Je veux voir ça tout de suite

Alors, mon truc à moi qu’est-ce qu’il fait ?

Il fait que vous pouvez lui dire que vous n’utilisez pas (par exemple) le port 22, SSH, hyper attaqué et donc, si un bad boy vient se connecter sur le port SSH, mon truc chope son adresse IP et la refile au pare-feu Windows. (Honeypot).

Et quoi d'autre ?

Vous pouvez aussi dire que votre prestataire externe, il peut se connecter pour faire sa maintenance logicielle le mercredi entre 17h30 (fermeture des bureaux) et 21h. Comme ça, si son prochain devis vous scandalise, il n’aura pas l’opportunité de se connecter un dimanche soir pour jouer au méchant.

Mais encore ?

Vous allez de même décider que si tentative d’intrusion il y a, on pourra tenter sa chance 5 fois avant d’être interdit d’accès. Ce dispositif s’appelle un Intrusion Detection System, et sur certains de mes serveurs j’observe jusqu’à 15 000 tentatives mensuelles.

Ce n’est pas fini.

Mon truc connaît les 228 pays de notre planète qui ont Internet et les 750 millions d’adresses IPv4 qui y habitent. S’il y a des pays avec lesquels vous n’avez aucune affinité, par exemple la Chine et l’Indonésie qui représentent 55% du trafic malicieux, vous décidez qu’aucun de ces pays ne pourra établir une quelconque connexion avec votre serveur.

Dans l'autre sens, ça marche aussi.

Et vous pouvez faire la même chose dans le sens inverse : mon serveur ne pourra en aucun cas se connecter sur une adresse IP qui se trouve en Russie, en Ukraine ou aux USA, ce dernier pays hébergeant la principale plateforme de téléchargement de malwares.

Regardez cette vidéo, quand je dis qu’elle dure 6 minutes et qu’après vous savez tout, ce n’est pas une manière de parler.

WS2016 www-Shield, c’est pour les paresseux, les nuls et les gens pressés, comme moi.

Le coin du hableur

« Si on veut pas de problèmes, on prend pas Windows. »

Les standards de fait sont là. Il serait tout aussi simple de dire que si on ne veut pas de problèmes, on utilise pas TCP. Ce protocole universel dans le monde de l’Internet a été conçu sans aucune norme de sécurité. Si cela avait été le cas, les attaques par l’Homme du Milieu n’existeraient pas.

« Votre truc, il y a déjà des produits qui le font. »

Ne confondons pas invention et innovation. Innover, c’est faire plus vite, plus simplement en coûtant moins cher. Le conteneur n’était pas une invention en matière de transport maritime, mais une innovation qui a ramené le coût de la tonne de 60$ à 6 cents.

« Le pare-feu Windows, c’est de la merde. »

C’est un outil extraordinaire qui peut entièrement être piloté par un logiciel intelligent. Chopez Netstat, listez les connexions, interrogez WHOIS et dégagez toutes les IP des pays qui n’ont rien à faire chez vous. Une ligne de commande, et le pare-feu Windows s’en occupe.