Bonjour,
notre prestataire chez qui on se connecter en TSE pour l'accès à une appli métier à subis une cyber attaque le week end dernier.
La dernière sauvegarde date de décembre 2014 (super !).
Leur excuse est la suivante : l'attaque à été faite sur leurs serveurs locaux mais aussi sur les replicas chez leurs hébergeurs sur d'autre site.
Je trouve ça un peu gros que les réplications aient aussi été affectés .
Quelqu'un pourrait me donner des infos ?
Merci

Bonjour,
 
Je ne sais pas quel est ce prestataire, mais accéder à une appli métier en TSE ne me parrait pas très judicieux ...
 
En plus leur explication (en tout cas telle que retranscrite ici) ne veut rien dire. On a l'impression d'être dans une séance de hacking d'un épisode de NCIS...
 
La bonne question est quels sont les termes du contrat avec eux (responsabilités des données, des sauvegardes, du niveau de sécurité, ...)
 
Par rapport au sujet des cyber attaques, le principe est toujours que si on veut, on peut.
Techniquement, tu ne peux empecher indéfiniement quelqu'un de rentrer.
Par contre, tu peux le ralentir, le gêner, pour le dissuader.
 
Du coup, un hacker ne va pas passer des mois pour un site dans un coin, sauf peut-être pour de l'espionnage industriel.
Et encore, plus il met de temps, plus ça devient visible.

Le truc, c'est que cyber attaque, ça ne veut pas dire grand chose à la base.
 
Ce sont pas des mecs qui ont débarqué dans la salle serveur avec des fusils mitrailleurs, et tout s'est passé  de manière informatique? donc c'est une cyber attaque.
 
En tant qu' admin système de ma boite, si un jour j'ai envie de les faire chier, ça ne me prendrait pas plus d'une demi-heure de faire tout tomber et d’altérer une partie des sauvegardes. ça aussi, ce serait une cyber-attaque...

ça fait bientot 2 ans que je suis arrivé dans ma boîte. Ça fait 2 ans donc que je leur explique que ce type d'appli en TSE c'est archaïque et lourd, tant au niveau de l'appli qu'au niveau du débit internet. Ça plante vraiment souvent. Bref, peu mieux faire.
Là ou je suis sceptique c'est quand on me dit que cette attaque ce soit propagée si vite et si loin et ait même détruit les backup !
Attaquer un datacenter (le leur) protégé par différents FW puis attaquer d'autres datascenters (leurs prestataires - réplications) eux aussi protégés et avec des stratégies différentes, bah je trouve ça gros ! Ils se ficheraient pas de nous ???

 
Faut pas confondre la techno et son implémentation
 
On a architecturé des tas de truc en TSE chez nous, et on ne ferait marche arrière pour rien au monde
 

 
Comme je t'ai dit plus haut, "cyber attaque", ça veut tout et rien dire.
 
C'est à eux de te donner plus d'explications, pas à nous...

Il suffit qu'il y ai eu une altération des donnés, et que ça se soit propagé sur les sites backup avant que ça ne se soit vu (réplication asynchrone par exemple).
 
Ça ne veut pas dire que le "hacker" ait attaqué le site primaire, puis tous les autres.
 
En tout cas, +1 sur ce que dit flash_gordon : c'est à eux de te donner plus d'explications.

Pour la connexion TSE, il y a plusieurs possibilités:
- Soit tout le monde peut se connecter sur leur serveur TSE depuis n'importe qu'elle IP, si c'est le cas, c'est une grosse erreur de sécurité de leur part, cela n'inspire pas confiance.
- Soit ils peuvent avoir mis une restriction sur l'adresse ip de ta société, ce qui est déja mieux.
- Soit tu passes ta connexion TSE par un VPN (remote gateway de Microsoft, vpn logiciel ou matériel). Dans ce cas là, ta connexion est sécurisée.
 
S'ils laissent ouvert la session TSE à tout le monde c'est sur qu'ils vont être piratés.
Ensuite une cyberattaque fait plutôt penser à une attaque de type déni de service où le serveur devient injoignable.
Il faudrait que tu demandes ce qu'il s'est passé, est ce leur système d'exploitation qui est touché, est ce données utilisateurs qui sont supprimées ?
Ca ressemble à une attaque d'un cryptolocker qui aurait crypté toutes les données utilisateurs.
Si c'est le cas, ils auraient mieux fait de payer plutôt que de faire perdre 3 mois de boulot à tous leurs clients.
 
La réplication ne sert pas de sauvegarde. Si le système est abimé, il est normal que la réplication le soit aussi
Ce n'est pas possible que la dernière sauvegarde date de décembre 2014. Dans ce genre d'entreprise, tu vérifies tous les jours la sauvegarde.
Il faut absolument qu'ils t'explique la cause exacte d'un dysfonctionnement de 3 mois.
D'après ce que tu dis c'est une entreprise à fuir au plus vite en tout cas.
 

 
 
Comme j'ai dit plus haut, "cyber attaque ça ne veut rien dire".
 
Si je veux, je fous par terre toute la boite en quelques minutes, et en m'y prenant un tout petit peu à l'avance, je peux me démerder pour altérer les sauvegardes sur plusieurs mois.  
Et ma boite appellera ça cyber-attaque aussi.
 
 

Merci pour vos infos. je vais aller à la pêche aux miennes. Je reviens pour poster ce que j'aurai appris !

J'espère que vous êtes blindés côté contrat...4 mois de travail foutus en l'air ça pourrait vous coûter votre boîte

Ce sujet a été déplacé de la catégorie Windows & Software vers la categorie Réseaux grand public / SoHo par Wolfman