Cet après-midi, petit coup de stress au boulot.
(Attention, message assez long. Si le sujet ne vous intéresse pas, je ne saurais que vous suggérer de passer au post suivant..)
Aujourd'hui, je bossais sur une migration que je préparais depuis une semaine. On avait quelques soucis techniques, mais rien de bien méchant... Un collègue m'appelle sur slack "viens discuter en room sécurité, on a une alerte en cours."
L'équipe support aurait reçu un mail louche de la part d'un certain pawned1369 disant qu'il a réussi à rentrer sur notre réseau, voler des données importantes, et il demande 0.3 bitcoin sur un compte crypté, sans quoi il envoie les infos volées à nos clients. Pour preuve, quelques pièces jointes avec des extraits de fichiers donc certains ressemblent effectivement à des noms de sauvegardes de bases qu'on aurait pu faire par le passé.
Comme je fais partie de l'équipe de sécurité, je lache tout et commence à investiguer. On trouve rapidement le serveur d'où viennent les fuites. Il s'agit évidemment d'un de nos plus vieux serveurs, partiellement ouvert sur l'extérieur (car utilisé par nos clients et contacts), et les personnes qui l'ont configuré ne sont plus dans la boite. C'est un peu configuré avec le cul, et ça fait longtemps que je veux le mettre à jour, mais comme il y a plein de dépendances parfois oubliées, c'est pas aussi simple...
En travaillant sur le sujet, je remarque un truc curieux : d'une part j'ai du mal à piger comment le hacker a pu faire pour s'introduire dessus (il n'y a pas de "grosse" faille, même si la configuration sécurité est largement améliorable) ce qui fait qu'on doit avoir affaire à un mec plutôt bon, et d'autre part, je trouve que le mail fait un peu amateur. Il donne beaucoup trop d'info, ce qui nous a permis de retrouver très rapidement le serveur concerné. Par ailleurs, les fichiers de preuves sont choisis bizarrement, et ne prouvent au final pas grand chose. Le hacker est clairement entré sur le serveur, mais ce qu'il y a fait semble assez anodin.
On se sépare en deux équipes, les gens métiers cherchent à savoir si le fichier dump comporte des données exploitables et sensibles, et j'essaye de trouver quelle est la faille qui a permis aux hackers d'entrer. On trouve vite un programme louche qui ouvre une backdoor qu'on coupe immédiatement, on isole le serveur d'internet et je copie les logs sur un serveur neutre pour pouvoir investiguer sans risque... A ce moment, on ne sait pas encore si l'alerte est grave ou pas.
Au bout de quelques minutes, je trouve des traces d'intrusions dans les logs, mais il semble que quelqu'un de totalement extérieur à notre boite n'aurait pas pu réaliser le piratage. Le fichier de sauvegarde qui a fuité semble d'une important moyenne, mais j'essaye encore de savoir si d'autres fichiers auraient pu être compromis.
A ce moment, un de nous dit "tiens, elle est pas un peu longue cette adresse de destinataire bitcoin ?". Je réponds "j'imagine que c'est son ID, une sorte de RIB, mais je m'y connais pas plus que ça". Un collègue qui mine parfois de son coté ajoute "tiens, c'est vrai, d'habitude ça ressemble pas à ça, généralement, elles commencent par un 1 ou un 2 les adresses bitcoin... Mais je les connais pas toutes..".
Je regarde l'adresse de plus près :
U2FsdXQgbGVzIGdhcnMsIGMnZXN0IFlhbm4gZXQgU2ViLiBCaXNvdXMu
"Merde, mais c'est pas du base64, ça ?"
Je décode l'adresse...
"Les cons ...."
Ca permet de tester nos procédures de sécurité, vérifier si en cas de vraie attaque on serait efficace, si on communique correctement sous la pression et challenger nos compétences et sécurités en place.
Aujourd'hui, Yann et Seb (les noms ont été changés) ont profité d'une vague faille dans un de nos vieux serveurs pour nous tester...
Ca se règlera demain, ils perdront rien pour attendre...
N'empêche, la pression retombe maintenant, mais sur le coup, ca fait monter l'adrénaline !
PS : j'adore mon job.
)
(dans les deux cas, ca marche)
J'ai rien dit...