 |
Emploi
|
|
Start-up
|
|
Evénements 01 | |
Avis d'expert | |
Vidéos | |
Indicateurs
|
|
Distribution
|
|
Telecharger Pro
|
|
Livres blancs | |||||||||||||||||||||
Un virus infecte plusieurs grandes entreprises françaises
par mail
l'article
Les cas connus de grandes entreprises victimes d’un code malveillant (virus, vers, chevaux de Troie…) sont assez rares. Révélée par le site Zataz, l’infection qui touche l'assureur La Mondiale est suffisamment importante pour que l’activité de son site lillois soit très perturbée depuis une semaine. Selon nos informations, cette infection concernerait aussi, avec plus ou moins d’impact, les réseaux locaux de sociétés (*) comme Décathlon installées dans le même immeuble que l’assureur.
Il est difficile de connaître exactement la cause de cette infection. “ Soit l'entreprise a eu une protection défaillante à un moment donné, soit elle est victime d'une attaque avec un virus modifié dont la signature n'est reconnue par aucun antivirus : nous avons eu des cas comme cela chez nos clients ”, indique l’expert en sécurité Hervé Schauer.
Après avoir constaté l’infection de son réseau, l’entreprise doit agir rapidement pour limiter les dégâts et repartir sur de bonnes bases. Selon le Certa (Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques), la première chose à faire est de mettre en quarantaine les postes de travail contaminés. “ Il faut les déconnecter du réseau mais ne pas les éteindre. Il est en effet primordial de repérer les processus actifs au moment de l'intrusion ”, avertit Romain Levy, un des responsables du laboratoire d'expertise informatique du cabinet Lexsi.
C’est une information précieuse pour comprendre l’origine du mal et ensuite l’endiguer, mais aussi pour relever des preuves en vue d’un dépôt de plainte auprès des autorités compétentes comme l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC) ou la Brigade d'enquêtes sur les fraudes aux technologies de l'information (Befti) si vous êtes en Ile-de-France. La preuve essentielle est la copie exacte du système tel qu'il était au moment de la découverte de l'intrusion.
Vérifier tous les matériels
L’isolement des machines compromises n’est pas suffisant car il a pu se passer plusieurs jours entre le moment où l’infection a été constatée et les premières mesures de sécurité. Ce délai a pu être exploité par le code malveillant pour compromettre d’autres postes de travail ou périphériques. Il faut donc chercher des traces suspectes sur tous les équipements et applications. C’est ce qui est en cours à La Mondiale. Un travail fastidieux et minutieux.
Une fois la contamination éradiquée, l’entreprise doit repartir sur des bases saines, c’est-à-dire sans aucune trace d’infection. Autre mesure de précaution : modifier les mots de passe de tous les comptes car des identifiants ont pu être récupérés par des pirates lors de l’attaque.
Reste enfin à faire une analyse précise de l’accident afin de déterminer les points faibles et les solutions à apporter pour éviter une nouvelle infection quasi générale du réseau. “ Il faut installer des antivirus de différents éditeurs pour améliorer le taux de détection, utiliser des outils de monitoring d'intrusion, sensibiliser les employés et ne plus utiliser des systèmes d’exploitation obsolètes comme Windows NT dont la mise à jour n’est plus assurée par Microsoft. Or, cet OS encore installé dans des entreprises est l’objet d’attaques exploitant des failles connues ”, recommande Romain Levy.
(*) Article modifié le 13 juin 2007. La société Cofidis, que nous citions dans une des premières versions de l'article comme une des sociétés touchées par ce virus, dément cette information.
01net. - 01men - RMC - BFM Radio - BFM TV - TousLesPodcasts - 01informatique.fr - Association RMC-BFM
