Bulletin d’alerte du 22-01-2016 – Faille de sécurité critique sous Joomla!

Faille de sécurité critique sous Joomla! : faites vos mises à jour !

Une vulnérabilité a été découverte dans Joomla!. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance. Cette faille est massivement exploitée ces dernières semaines.

Il est par conséquent très important de mettre à jour votre site Joomla!

=> Consulter le bulletin de sécurité de l’ANSSI à ce sujet :
http://www.cert.ssi.gouv.fr/site/CERTFR-2015-ALE-013/index.html

Quels sont les risques ?

Cette faille de sécurité permet à un hackeur de prendre la main sur votre site et votre hébergement en quelques minutes, pouvant occasionner des dégâts importants, qui peuvent aller du détournement de votre espace d’hébergement pour relayer l’envoi de spam, jusqu’à la destruction de votre site.

Sachez que dès qu’un hack est détecté par nos services, nous suspendons immédiatement le site concerné, afin de limiter les exactions sur votre site, mais nous ne pouvons constater une intrusion que lorsqu’elle a eu lieu, malheureusement, et des actions malveillantes peuvent déjà avoir été commises.

Comment mettre mon site Joomla! à jour ?

Pour mettre à jour votre site Joomla!, vous pouvez télécharger la dernière version de Joomla! et procéder à l’installation de la mise à jour.

=> La dernière version de Joomla! en français est disponible à l’adresse :
http://www.joomla.fr/afuj/item/1457-telecharger-joomla

Je ne dispose pas des compétences techniques pour faire la mise à jour :

Si vous ne disposez pas des compétences techniques pour mettre votre site à jour, notre service développement peut vous proposer une prestation de mise à jour du moteur Joomla! et de ses modules.
=> N’hésitez pas à nous contacter, nos techniciens sont à votre disposition.

Sécurité de votre nom de domaine : attention aux tentatives de détournement – Bulletin d’alerte du 02/11/2015

Ces dernières semaines, de nombreux propriétaires de noms de domaine ont reçu des emails frauduleux qui usurpaient l’identité de leurs bureaux d’enregistrement (registrar).

Ces emails leur expliquent que leur nom de domaine va être suspendu et les invite à cliquer sur des liens pour récupérer éventuellement des règlements ou des informations confidentiellesconcernant leurs noms de domaines (identifiants, codes de transfert, etc.)

Il semblerait que de nombreux bureaux d’enregistrements soient concernés, nous n’avons pas eu de retour concernant une usurpation de l’identité d’Icodia, mais nous vous invitons à rester vigilants :

Si vous recevez ce type d’email :

– ne cliquez jamais sur les liens
– ne répondez jamais aux emails
– n’appelez jamais le numéro de téléphone indiqué

Sachez que par défaut, Icodia applique gratuitement une politique de protection de vos noms de domaines :

– Toute demande de mouvement de bureau d’enregistrement sur un nom de domaine fait l’objet d’une vérification scrupuleuse de notre part.
– Nous ne validons jamais une demande non légitime de transfert d’un nom de domaine, nous nous assurons toujours que le propriétaire d’un nom de domaine soit bien à l’origine de ce type de demande.

Pour rappel, pour vous assurer que vous êtes bien sur notre site (et non pas sur un site d’hameçonnage) lorsque vous effectuez votre règlement en ligne par exemple, l’adresse indiquée dans votre navigateur doit être de type :

https://xxxxx.icodia.com

Bulletin d’alerte du 20/10/2015 – Nouvelle vague d’attaques Botnet

Bulletin d’alerte du 20/10/2015 – Nouvelle vague d’attaques BOTNET

Au mois de septembre, nous vous faisions parvenir un bulletin d’alerte au sujet de la recrudescence des attaques de type Botnet visant certains sites commerciaux, dans le but d’extorquer des rançons aux e-commerçants, sous la menace de mettre leurs sites hors ligne.

Cette semaine, les hébergeurs doivent faire face à une nouvelle vague d’attaques de grande ampleur visant des sites de tous types. Des millions de connexions provenant d’adresses IP différentes en quelques secondes, dans le but de ralentir ou de paralyser l’activité de certains sites.

Chez Icodia :

Toute l’équipe technique Icodia travaille d’arrache-pied pour optimiser les systèmes de supervision et de protection des serveurs hébergés sur notre plateforme contre ces attaques.

Nous avançons sur de nouvelles technologies sur lesquelles nous travaillons depuis environ un mois, début de ces vagues d’attaques massives DDoS vers de nombreux opérateurs, notamment en France.

À titre d’information, nos systèmes bloquent actuellement entre 1500 et 2000 tentatives d’attaques de moyenne ampleur par jour (mois d’un million d’IP) et environ 50 de plus grande ampleur (plus de 5 millions d’IP).

Que se passe-t-il en cas d’attaque de ce type lorsque vous êtes hébergé chez Icodia ?

Notre architecture est supervisée en continu.
– Si l’un de nos clients subit ce type d’attaque, nos systèmes de sécurité activent automatiquement des contre-mesures techniques (qui peuvent bloquer des provenances d’adresses IP attaquantes, etc.)
– Notre client est prévenu et nous essayons de mettre en place avec lui des parades pour limiter l’agression et solidifier de façon pérenne sa solution d’hébergement.

Cependant, il faut être conscient que ces robots utilisent des modes de déploiement qui sont nouveaux et parfois assez difficiles à détecter : par exemple filtrer les connexions « légitimes » et les connexions « botnet » peut s’avérer très délicat, quel que soit l’hébergeur concerné. De plus, certains Botnet sont connus pour disposer de millions d’adresses IP, pouvant malgré tout causer beaucoup de soucis.

SI VOUS RECEVEZ DES EMAILS DE DEMANDE DE RANÇON MENAÇANT DE PARALYSER L’ACTIVITÉ DE VOTRE SITE, IL EST IMPORTANT DE NOUS EN INFORMER

Nous vous invitons à nous transférer ce type de menaces (email en pièce jointe sur support@icodia.com) si vous en recevez pour deux raisons :
– nous permettre d’observer l’attaque et d’y réagir si cette dernière est d’une envergure trop importante,
– et diligenter une enquête sur l’origine des menaces, ce que nous faisons dès que l’occasion se présente, en lien avec les services de la D.C.R.I. (Direction générale de la sécurité intérieure).

Votre collaboration est essentielle.

>> Consultez notre bulletin d’information du 11/09/2015 afin d’en savoir plus sur les attaques de type Botnet

Bulletin d’alerte du 11/09/2015 – Attaques Botnet

Il est observé actuellement une recrudescence des attaques visant certains sites commerciaux, notamment dans le but d’extorquer des rançons aux e-commerçants, sous la menace de mettre hors ligne leurs boutiques.

Le principe de ce type d’attaque :

Les escrocs envoient par email une demande de rançonau e-commerçant (qui varie généralement de 100 à 1000 €) en l’informant que sans réponse de sa part, ils paralyseront l’activité de son site.

SI VOUS RECEVEZ CE TYPE DE MENACES, IL EST IMPORTANT DE NOUS EN INFORMER : ce n’est pas de la science fiction !

Il existe une technique d’attaque appellée « Botnet » (DDOS) qui consiste à utiliser des millions de robots qui vont interroger un site web sans discontinuer sur des journées entières, afin de saturer le serveur sur lequel le site est hébergé et de l’empêcher de répondre aux demandes des internautes.

Ces robots sont installés sur des serveurs et des machines d’internautes, à leur insu, généralement via des virus qui restent dormant.

Qu’est-ce qu’un botnet ?

Le principe du botnet est donc de créer un virus, qui va infecter discrètement le plus d’ordinateurs possible (exemple: emails avec de fausses factures en .doc contenant un vrai virus de Juillet dernier). Chaque ordinateur (ou chaque serveur d’hébergement) de Mme. et M. Toutlemonde, une fois infecté, devient alors un vecteur potentiel pour effectuer une attaque groupée de millions de connexions vers un site web.

Prenons l’exemple d’un site hébergé sur un serveur calibré pour gérer entre 1 000 à 5 000 visiteurs simultanés qui serait attaqué :
d’un seul coup, le site reçoit plus d’un million de visiteurs en permanence : le site devient inaccessible, voilà le principe du botnet.

Il faut savoir qu’une personne malintentionnée peut louer une architecture Botnet pour 50 à 60 € pour 24 heures d’utilisation, et s’en servir pour cibler un ou plusieurs sites Web, et ainsi saturer le ou les serveurs d’hébergement.

Quelle est la cible de ces attaques ?

Généralement, les hackers visent des e-commerces de taille moyenne, car les gros sites web marchands ont mis en place des solutions d’hébergement qui peuvent absorber plus facilement les attaques (architectures redondantes, plusieurs serveurs web en cluster frontal, etc).

Que se passe-t-il en cas d’attaque de ce type lorsque vous êtes hébergé chez Icodia ?

Notre architecture est supervisée en continu.
– Si l’un de nos clients subit ce type d’attaque, nos systèmes de sécurité activent automatiquement des contremesures techniques (qui peuvent bloquer des provenances d’adresses IP attaquantes, etc.)
– Notre client est prévenu et nous essayons de mettre en place avec lui des mesures pour limiter l’agression et solidifier de façon pérenne sa solution d’hébergement.

Cependant, il faut être conscient que ces robots utilisent des modes de déploiement qui sont nouveaux et parfois assez difficiles à détecter : par exemple filtrer les connexions « légitimes » et les connexions « botnet » peut s’avérer très délicat, quel que soit l’hébergeur concerné. De plus, certains Botnet sont connus pour disposer de millions d’adresses IP, pouvant malgré tout causer beaucoup de soucis.

SI VOUS RECEVEZ CE TYPE DE MENACES, IL EST DONC IMPORTANT DE NOUS EN INFORMER.

Nous vous invitons à nous transférer ce type de menaces (email en pièce jointe sur support@icodia.com) si vous en recevez pour deux raisons : nous permettre d’observer l’attaque et d’y réagir si cette dernière est d’une envergure trop importante, et diligenter une enquête sur l’origine des menaces, ce que nous faisons dès que l’occasion se présente, en lien avec les services de la D.C.R.I. (Direction générale de la sécurité intérieure).

Votre collaboration est essentielle.

Sécurisation SSL pour votre messagerie

Nous avons appliqué sur notre plateforme de messagerie mutualisée des évolutions concernant la norme de cryptage SSL concernant pop3ssl / imapssl.

La norme SSL V3 non sécurisée étant obsolète et potentiellement faillible, elle n’est plus supportée par notre plateforme. Vous devrez donc utiliser les normes TLS v1.x.

L’ensemble des clients de messagerie récents supportent de façon transparente ce passage vers une plus grande sécurité.

Si vous utilisez un logiciel de messagerie trop ancien qui ne supporte pas TLS, nous vous conseillons de télécharger un logiciel de messagerie plus récent, comme Thunderbird, que vous pourrez installer aussi bien sous Windows que sous MacOS, et que vous pourrez mettre à jour de façon régulière.

 

Pièces jointes Office malveillantes dans vos emails : Prudence !

Depuis quelques semaines, des vagues d’attaques d’emails contenant des virus envahissent les boîtes de réception.

L’ANSSI (Agence Nationale de la Sécurité des Systèmes de l’Information) avait déjà attiré l’attention des utilisateurs à ce sujet dans un bulletin d’alerte détaillé.

Leur particularité : les  virus sont contenus dans des documents Microsoft Office (Word, Excel…) joints aux emails, qui exploitent une faille de sécurité visant à infecter les postes des utilisateurs.

Comment réagir ?

La prudence est donc de rigueur, nous vous conseillons d’appliquer les recommandations de l’ANSSI :

  • ne pas ouvrir les documents ou les pièces jointes non sollicités ;
  • désactiver l’exécution automatique des macros dans les suites bureautiques ;
  • maintenir le système d’exploitation et l’anti-virus à jour.

La désactivation de l’exécution automatique des macros se paramètre dans le menu suivant :

Fichier / Options / Centre de gestion de la confidentialité / Paramètre du Centre de gestion de la confidentialité / Paramètres des macros / Désactiver toutes les macros avec notifications

De son côté, Icodia a développé un système d’analyse des pièces jointes envoyées sur les adresses emails des utilisateurs de la plateforme disposant de la protection IcoAntivirus, afin de minimiser les impacts de ces attaques :

À réception d’un email contenant une pièce jointe, notre serveur met en attente quelques secondes l’email afin de :

  • procéder à l’analyse de la pièce jointe
  • procéder à une étude statistique selon un filtre bayésien qui étudie les comportements de l’ensemble des emails de la plateforme et nous permet de déterminer si le comportement de l’email est lié à une vague d’attaque reconnue

Suis-je couvert par la protection Antivirus Icodia ?

Tous les services de la plateforme mutualisée Icodia disposent de l’option IcoAntivirus-Antispam développée par Icodia, vous êtes donc protégé, du mieux possible, contre ces attaques.

Si vos services emails sont gérés sur serveur dédié en interne, en externe ou sur une offre dédiée ou VPS chez Icodia, vous pouvez souscrire à cette option pour une utilisation sur un ou plusieurs noms de domaines.

Si vous souhaitez en savoir plus sur ce service, n’hésitez pas à contacter notre service commercial

 

FAILLE DE SÉCURITÉ WORDPRESS : FAITES VOS MISES À JOUR !

Logo WordPressNote : si vous disposez d’un abonnement d’infogérance WordPress chez Icodia, ne vous souciez de rien, nous nous chargeons des mises à jour.

Une faille de sécurité extrêmement critique de type XSS (cross-site scripting), permettant aux hackers de prendre le contrôle d’un site, est présente sur les versions de WordPress antérieures à la version 4.2.3 de l’outil.

Il est par conséquent très important de mettre à jour votre site WordPress

Quels sont les risques ?

Cette faille de sécurité permet à un hackeur de prendre la main sur votre site et votre hébergement en quelques minutes, pouvant occasionner des dégâts importants, qui peuvent aller du détournement de votre espace d’hébergement pour relayer l’envoi de spam à la destruction de votre site.

Sachez que dès qu’un hack est détecté par nos services, nous suspendons immédiatement le site concerné, afin de limiter les exactions sur votre site, mais nous ne pouvons constater une intrusion que lorsqu’elle a eu lieu, malheureusement, et  des actions malveillantes peuvent déjà avoir été commises.

Comment mettre mon site WordPress à jour ?

Pour mettre à jour votre site WordPress, vous pouvez utiliser l’outil automatique de mise à jour présent dans votre interface d’administration de votre site, ou télécharger la dernière version de WordPress et procéder à l’installation manuelle de la mise à jour.

=> La dernière version de WordPress en français est disponible à l’adresse :
https://fr.wordpress.org/

Je ne dispose pas des compétences techniques pour faire la mise à jour :

Si vous ne disposez pas des compétences techniques pour mettre votre site à jour, notre service développement peut vous proposer une prestation de mise à jour du moteur WordPress et de ses modules.
=> N’hésitez pas à nous contacter, nos techniciens sont à votre disposition.

Comment faire pour entretenir mon site WordPress à l’avenir  ?

Vous ne le savez peut être pas, mais Icodia propose un abonnement d’infogérance technique pour les sites WordPress, incluant les mises à jour du noyau WordPress et des modules non commerciaux figurant dans le catalogue du Codex WordPress pour 49€ ht/an.

Pour un site WordPress utilisant une dizaine de modules, cela peut représenter une centaine de mises à jour par an, qui sont indispensables pour la sécurité de votre site internet.

=> Pour plus d’informations sur cet abonnement d’infogérance technique :
vous pouvez consulter notre site à l’adresse :
http://www.icodia.com/fr/solutions/infogerance/wordpress.html
ou nous contacter.

Info e-commercants : modifications techniques infrastructure CM-CIC paiement

Si vous êtes e-commerçants et utilisez les services de paiement en ligne CM-CIC :

Les services de la plateforme de paiement électronique CM-CIC paiement procéderons à une modification technique le 07/072015 ayant pour effet de changer l’adresse IP publique (vue sur Internet) de leurs serveurs lorsqu’ils vous contactent.
Ce changement sera transparent de votre point de vue sauf si des
contrôles de flux (blocage d’adresses IP spécifiques) ont été mis en
place sur vos serveurs.

Dans ce cas, les impacts seront les suivants :

–              Les appels sur l’interface retour « CGI2 » ne seront plus  réceptionnés par votre serveur.

–              Le dépôt de fichiers récapitulatifs via les accès à vos
serveurs FTP ne pourra être effectué.

Veuillez vérifier et paramétrer vos équipements si nécessaire afin que le filtre soit réalisé sur la plage d’adresses IP attribuée à Euro
Information : 145.226.0.0 à 145.226.255.255 et non sur des IP spécifiques.

Bulletin d’alerte du 05/06/2015 – E-commerce

Deux informations à l’ordre du jour de ce bulletin d’alerte, qui concerne nos clients qui disposent d’un site e-commerce :

– Faille de sécurité importante de Magento
En savoir plus
– Les services ATOS (paiement en ligne) ont ajouté des IP pour les serveurs de gestion des paiements en ligne, ce qui dans certains cas peut provoquer des dysfonctionnements de votre boutique.
En savoir plus

FAILLE DE SÉCURITÉ MAGENTO

Nous souhaitions vous informer qu’une faille de sécurité extrêmement critique est présente sur les versions de Magento inférieures à la version 1.9.1.1* de l’outil.
Il est par conséquent très important de mettre à jour votre e-commerce.

Quels sont les risques ?

Cette faille de sécurité permet à un hackeur de prendre la main sur votre site et votre hébergement en quelques minutes, pouvant occasionner des dégâts importants, qui peuvent aller du détournement de votre espace d’hébergement pour relayer l’envoi de spam, à la destruction de votre site, en passant par la récupération de tous vos fichiers clients…

Sachez que dès qu’un hack est détecté par nos services, nous suspendons immédiatement le site concerné, afin de limiter les exactions sur votre site, mais nous ne pouvons constater une intrusion que lorsqu’elle a eu lieu, malheureusement, et des actions malveillantes peuvent déjà avoir été commises.

Mon site Magento est-il faillible ?

Vous pouvez tester votre site grâce au test mis en place par la communauté Magento :
http://magento.com/security-patch

Comment mettre mon site e-commerce Magento à jour ?

Pour mettre à jour votre site Magento, contactez votre prestataire, la mise à jour d’une boutique en production peut être pointue.

Il est très fortement recommandé de dupliquer sa boutique et d’en faire une mise à jour préalable sur un environnement de développement, avant de basculer la nouvelle version sur votre boutique en production.

Vous ne disposez pas des compétences techniques pour faire la mise à jour et ne disposez pas de prestataire pour le faire ?

Notre service développement peut vous proposer une prestation de mise à jour de votre boutique Magento et de ses modules.
=> N’hésitez pas à nous contacter à l’adresse developpement@icodia.com <mailto:developpement@icodia.com>, nos techniciens sont à votre disposition.

AJOUT D’IP SUR LES SERVEURS DE PAIEMENTS SÉCURISÉS ATOS

Atos a ajouté de nouvelles adresses IP pour ses serveurs qui gèrent les paiements sécurisés.

Quelles conséquences pour mon e-commerce ?

Si  votre boutique utilise les services de paiements sécurisés ATOS, cela peut peut provoquer des dysfonctionnements des fonctionnalités de validation de commandes sur votre site, dans un cas précis :

Si sur votre site le retour de validation de paiement ATOS est filtré par une identification IP Check, le script de votre boutique ne reconnaîtra pas ces nouvelles IPS provenant des serveurs ATOS, les validations automatiques de vos commandes ne pourront plus se faire, et vous ne serez pas informés du règlement des commandes passées par vos clients en temps réel.

Cette problématique n’est en aucun cas liée aux services Icodia, mais au fonctionnement d’ATOS, il vous faut donc, si vous constatez ces dysfonctionnements, contacter ATOS afin de connaître les IP qui ont été rajoutées pour mettre à jour votre filtrage IP du retour de la banque.

Si vous ne savez pas comment déterminer si vous êtes concerné ou pas par cette problématique, si vous l’êtes mais ne disposez pas des compétences pour faire ces mises à jour, N’hésitez pas à nous contacter , nos techniciens sont à votre disposition pour vous accompagner et vous établir un devis.