Un de vos serveurs a été compromis ? Qui, quand, comment, pourquoi sont les questions qui se posent immédiatement .

Quels sont les risques que vous courrez réellement ? S’agit-il d’une attaque ciblée ou d’une attaque opportuniste ? Il est crucial d’élucider ces points parfois, plus encore que de « juste » remettre une machine en production, qui a de fortes chances de subir le même sort.

En une phrase : Un serveur, une station ou plusieurs machines ont été compromises par un pirate, vous souhaitez savoir qui et comment.

Si votre SI vient à être attaqué, ou pire encore, compromis, il est important de réagir très rapidement. En effet, un serveur compromis doit être considéré comme une scène de crime : Ne l’éteignez pas, débranchez le du réseau, si vous avez réagit suffisamment vite, il est probable de trouver des pistes solides sur l’attaquant éventuel. C’est dans ce genre de contexte que se déroule une analyse dite de « forensic » ou encore appelée « analyse post mortem ». Le but de ce type d’analyse est de répondre à quelques questions cruciales :

• Qui
• Quand
• Comment
• Pourquoi

La question la plus critique est bien sur le « comment » afin d’éviter que cela ne puisse se reproduire. Si vous avez réagi suffisamment rapidement, et que la « scène » a été protégée, ou que le pirate n’est pas assez expérimenté et précautionneux, nous pourrons probablement aussi répondre à la question du « qui », ce qui vous permettra d’engager des procédures judiciaires contre le pirate.

Une fois le comment identifié, à savoir la ou les failles qui ont étés utilisés, l’identification d’éventuelles portes dérobées est crucial afin d’empêcher le pirate de revenir sur les lieux de son méfait. Une fois la faille corrigée et les portes dérobées détectées et supprimées, il sera possible de nettoyer la machine afin que celle-ci soit remise en production.

Si plusieurs machines ont été compromises et que l’attaquant a eu le temps de progresser dans le réseau, alors l’attaque n’est probablement pas opportuniste, et l’attaquant cherchait peut être une information précise ou avait un but défini. Dans ce cas, la question du « pourquoi » deviendra primordiale par rapport à une compromission opportuniste (qui représente plus de 90% des compromissions).

Quoi qu’il en soit, il est crucial de réagir extrêmement rapidement en cas de compromission d’un ou plusieurs de vos équipements, le temps étant l’ami du pirate.