Faille de sécurité critique sous Drupal : faites vos mises à jour !

Une vulnérabilité a été découverte dans Drupal. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance, de contourner la politique de sécurité de l’outil et même d’utiliser le moteur Drupal comme source d’attaques par DDOS (Déni de services). Cette faille est massivement exploitée ces dernières semaines.

Il est par conséquent très important de mettre à jour votre site Drupal si ce dernier est dans une des versions suivantes :

– Drupal core 6.x versions prior to 6.38
– Drupal core 7.x versions prior to 7.43
– Drupal core 8.0.x versions prior to 8.0.4

=> Consulter le bulletin de sécurité de l’ANSSI de février 2016 à ce sujet :
http://cert.ssi.gouv.fr/site/CERTFR-2016-AVI-072/index.html

Quels sont les risques ?

Cette faille de sécurité permet à un hackeur de prendre la main sur votre site et votre hébergement en quelques minutes, pouvant occasionner des dégâts importants, qui peuvent aller du détournement de votre espace d’hébergement pour relayer l’envoi de spam, de détourner le moteur de votre site afin qu’il serve de vecteur d’attaques vers d’autres sites, jusqu’à la suppression de votre site.

Sachez que dès qu’un hack est détecté par nos services, nous suspendons immédiatement le site concerné, afin de limiter les détournements sur votre site, mais nous ne pouvons constater une intrusion que lorsqu’elle a eu lieu, malheureusement, et  des actions malveillantes peuvent déjà avoir été commises.

Comment mettre mon site Drupal à jour ?

Pour mettre à jour votre site Drupal, vous pouvez télécharger la dernière version de Drupal et procéder à l’installation de la mise à jour.

=> La dernière version de Drupal en français est disponible à l’adresse :
http://drupalfr.org/

Je ne dispose pas des compétences techniques pour faire la mise à jour :

Si vous ne disposez pas des compétences techniques pour mettre votre site à jour, notre service développement peut vous proposer une prestation de mise à jour du moteur Drupal et de ses modules.
=> N’hésitez pas à nous contacter, nos techniciens sont à votre disposition.

Sites SPIP : Faille Critique de sécurité, attention, faites vos mises à jour !

Hier est parue une mise à jour de sécurité concernant le CMS SPIP, qui corrige deux failles de sécurité impactant toutes les versions de SPIP.

Il est impératif de faire vos mises à jour dès que possible, ces failles sont sérieuses et permettent à un hacker d’injecter du code malveillant sur votre site.

>> Vous pouvez télécharger les différentes mises à jour proposées par l’équipe de developpement de SPIP sur le site officiel SPIP

Attaques de virus via email, quelques conseils pour vous protéger

Ces dernières semaines, les hébergeurs font face à de très nombreuses et très importantes vagues d’attaques d’envois de virus (ransomware) via des botnets (réseaux d’ordinateurs infectés détournés pour une utilisation malveillante).

Ces virus sont des virus dits « polymorphes », qui, lorsqu’ils se répliquent, modifient leur structure, ce qui rend inefficace la recherche par signature des logiciels antivirus.

Des millions d’emails infectés sont envoyés sur les adresses email des utilisateurs (Icodia n’est pas visé en particulier, cela concerne l’ensemble du web).

Ces emails encapsulent une pièce jointe au format ZIP, qui contient un ou plusieurs fichiers de type .js, qui sont des scripts d’installation de virus.

Les ingénieurs d’Icodia travaillent sans relâche pour identifier et stopper ces virus au fur et à mesure que les hackers font évoluer les formes d’envoi, cependant, nous souhaitions attirer votre attention sur cette problématique, et vous inviter à être vigilants :

Pour éviter tout risque :

Ne faites pas systématiquement confiance à votre antivirus :

Les infections par email fonctionnent dans des contitions de « race » (course, en anglais) :
c’est à dire que les hackers font en sorte d’envoyer un maximum d’emails infectés en un minimum de temps, avant que les antivirus puissent mettre leurs moteurs à jour.
Nouvelle forme du virus, nouvelle vague d’attaque extrêmement massive, dès que le virus est repertorié dans les bases virales, une nouvelle version du virus est propagée par le botnet.

N’ouvrez pas de pièces jointes provenant d’une source inconnue :

Les virus peuvent être cachés dans des fichiers joints de différentes natures :
documents word, excel, fichiers zip contenant des scripts de type .js, etc.

Soyez prudent, les virus sont nommés de sorte à provoquer la confusion chez le destinataire :
facture.doc, facture.zip, facture.pdf.js, devis.js, cv.rtf, ou tout autre nom qui pourrait vous inciter à ouvrir le document joint

Limitez le plus possible l’utilisation de l’alias collecteur sur vos services email :

La mise en place d’un alias collecteur vous permet de recevoir les messages envoyés sur des adresses email liées à votre nom de domaine mais qui n’existent pas.

Cet alias routera donc tous les destinataires aléatoires vers une boîte. Le botnet cible des listes d’utilisateurs existants, mais aussi beaucoup d’utilisateurs aléatoires (a1ecc5d@mondomaine.com, john@mondomaine.com, etc.).

Avec un alias collecteur, toutes ces tentatives peuvent arriver sur votre adresse email (c’est également valable pour les spams), et vous multipliez les risques de fausse manipulation.

Utilisez des outils fiables et à jour :

Travaillez sur des outils fiables (Firefox par exemple pour le navigateur web) et surtout mettez à jour vos logiciels et vos systèmes d’exploitation.

Il existe des applications gratuites, comme par exemple Secunia Personal Inspector, qui vous informent de l’existance de mises à jour sur les logiciels que vous utilisez. Ce logiciel est disponible en français.
Vous pouvez le télécharger gratuitement à l’adresse :
http://learn.flexerasoftware.com/SVM-EVAL-Personal-Software-Inspector

Créez des utilisateurs avec des droits limités sur votre ordinateur et
utilisez l’UAC (sous Windows) :

Si vous utilisez le compte administrateur de votre ordinateur, toute application est susceptible de s’exécuter, quelle qu’elle soit.

Utilisez un compte utilisateur avec des droits restreints. Cela permet de vous protéger.

Ne désactivez pas le panneau de l’UAC (User Account Control) :
L’UAC est un utilitaire (à partir de Windows 7), qui vous prévient si une application souhaite s’installer ou s’exécuter, vous demandant de confirmer d’éventuelles modifications sur votre ordinateur.
Vous êtes ainsi averti, et pouvez stopper, le cas échéant l’exécution d’un programme qui n’aurait pas lieu d’intervenir sur votre machine.

Bulletin d’alerte du 22-01-2016 – Faille de sécurité critique sous Joomla!

Faille de sécurité critique sous Joomla! : faites vos mises à jour !

Une vulnérabilité a été découverte dans Joomla!. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance. Cette faille est massivement exploitée ces dernières semaines.

Il est par conséquent très important de mettre à jour votre site Joomla!

=> Consulter le bulletin de sécurité de l’ANSSI à ce sujet :
http://www.cert.ssi.gouv.fr/site/CERTFR-2015-ALE-013/index.html

Quels sont les risques ?

Cette faille de sécurité permet à un hackeur de prendre la main sur votre site et votre hébergement en quelques minutes, pouvant occasionner des dégâts importants, qui peuvent aller du détournement de votre espace d’hébergement pour relayer l’envoi de spam, jusqu’à la destruction de votre site.

Sachez que dès qu’un hack est détecté par nos services, nous suspendons immédiatement le site concerné, afin de limiter les exactions sur votre site, mais nous ne pouvons constater une intrusion que lorsqu’elle a eu lieu, malheureusement, et des actions malveillantes peuvent déjà avoir été commises.

Comment mettre mon site Joomla! à jour ?

Pour mettre à jour votre site Joomla!, vous pouvez télécharger la dernière version de Joomla! et procéder à l’installation de la mise à jour.

=> La dernière version de Joomla! en français est disponible à l’adresse :
http://www.joomla.fr/afuj/item/1457-telecharger-joomla

Je ne dispose pas des compétences techniques pour faire la mise à jour :

Si vous ne disposez pas des compétences techniques pour mettre votre site à jour, notre service développement peut vous proposer une prestation de mise à jour du moteur Joomla! et de ses modules.
=> N’hésitez pas à nous contacter, nos techniciens sont à votre disposition.

Sécurité de votre nom de domaine : attention aux tentatives de détournement – Bulletin d’alerte du 02/11/2015

Ces dernières semaines, de nombreux propriétaires de noms de domaine ont reçu des emails frauduleux qui usurpaient l’identité de leurs bureaux d’enregistrement (registrar).

Ces emails leur expliquent que leur nom de domaine va être suspendu et les invite à cliquer sur des liens pour récupérer éventuellement des règlements ou des informations confidentiellesconcernant leurs noms de domaines (identifiants, codes de transfert, etc.)

Il semblerait que de nombreux bureaux d’enregistrements soient concernés, nous n’avons pas eu de retour concernant une usurpation de l’identité d’Icodia, mais nous vous invitons à rester vigilants :

Si vous recevez ce type d’email :

– ne cliquez jamais sur les liens
– ne répondez jamais aux emails
– n’appelez jamais le numéro de téléphone indiqué

Sachez que par défaut, Icodia applique gratuitement une politique de protection de vos noms de domaines :

– Toute demande de mouvement de bureau d’enregistrement sur un nom de domaine fait l’objet d’une vérification scrupuleuse de notre part.
– Nous ne validons jamais une demande non légitime de transfert d’un nom de domaine, nous nous assurons toujours que le propriétaire d’un nom de domaine soit bien à l’origine de ce type de demande.

Pour rappel, pour vous assurer que vous êtes bien sur notre site (et non pas sur un site d’hameçonnage) lorsque vous effectuez votre règlement en ligne par exemple, l’adresse indiquée dans votre navigateur doit être de type :

https://xxxxx.icodia.com

Bulletin d’alerte du 20/10/2015 – Nouvelle vague d’attaques Botnet

Bulletin d’alerte du 20/10/2015 – Nouvelle vague d’attaques BOTNET

Au mois de septembre, nous vous faisions parvenir un bulletin d’alerte au sujet de la recrudescence des attaques de type Botnet visant certains sites commerciaux, dans le but d’extorquer des rançons aux e-commerçants, sous la menace de mettre leurs sites hors ligne.

Cette semaine, les hébergeurs doivent faire face à une nouvelle vague d’attaques de grande ampleur visant des sites de tous types. Des millions de connexions provenant d’adresses IP différentes en quelques secondes, dans le but de ralentir ou de paralyser l’activité de certains sites.

Chez Icodia :

Toute l’équipe technique Icodia travaille d’arrache-pied pour optimiser les systèmes de supervision et de protection des serveurs hébergés sur notre plateforme contre ces attaques.

Nous avançons sur de nouvelles technologies sur lesquelles nous travaillons depuis environ un mois, début de ces vagues d’attaques massives DDoS vers de nombreux opérateurs, notamment en France.

À titre d’information, nos systèmes bloquent actuellement entre 1500 et 2000 tentatives d’attaques de moyenne ampleur par jour (mois d’un million d’IP) et environ 50 de plus grande ampleur (plus de 5 millions d’IP).

Que se passe-t-il en cas d’attaque de ce type lorsque vous êtes hébergé chez Icodia ?

Notre architecture est supervisée en continu.
– Si l’un de nos clients subit ce type d’attaque, nos systèmes de sécurité activent automatiquement des contre-mesures techniques (qui peuvent bloquer des provenances d’adresses IP attaquantes, etc.)
– Notre client est prévenu et nous essayons de mettre en place avec lui des parades pour limiter l’agression et solidifier de façon pérenne sa solution d’hébergement.

Cependant, il faut être conscient que ces robots utilisent des modes de déploiement qui sont nouveaux et parfois assez difficiles à détecter : par exemple filtrer les connexions « légitimes » et les connexions « botnet » peut s’avérer très délicat, quel que soit l’hébergeur concerné. De plus, certains Botnet sont connus pour disposer de millions d’adresses IP, pouvant malgré tout causer beaucoup de soucis.

SI VOUS RECEVEZ DES EMAILS DE DEMANDE DE RANÇON MENAÇANT DE PARALYSER L’ACTIVITÉ DE VOTRE SITE, IL EST IMPORTANT DE NOUS EN INFORMER

Nous vous invitons à nous transférer ce type de menaces (email en pièce jointe sur support@icodia.com) si vous en recevez pour deux raisons :
– nous permettre d’observer l’attaque et d’y réagir si cette dernière est d’une envergure trop importante,
– et diligenter une enquête sur l’origine des menaces, ce que nous faisons dès que l’occasion se présente, en lien avec les services de la D.C.R.I. (Direction générale de la sécurité intérieure).

Votre collaboration est essentielle.

>> Consultez notre bulletin d’information du 11/09/2015 afin d’en savoir plus sur les attaques de type Botnet

Bulletin d’alerte du 11/09/2015 – Attaques Botnet

Il est observé actuellement une recrudescence des attaques visant certains
sites commerciaux, notamment dans le but d’extorquer des rançons aux
e-commerçants, sous la menace de mettre hors ligne leurs boutiques.

Le principe de ce type d’attaque :

Les escrocs envoient par email
une demande de rançonau e-commerçant (qui varie généralement de 100 à 1000
€) en l’informant que sans réponse de sa part, ils paralyseront l’activité
de son site. SI VOUS RECEVEZ CE TYPE DE MENACES, IL EST IMPORTANT
DE NOUS EN INFORMER
: ce n’est pas de la science fiction ! Il
existe une technique d’attaque appellée « Botnet » (DDOS) qui consiste à
utiliser des millions de robots qui vont interroger un site web sans
discontinuer sur des journées entières, afin de saturer le serveur sur
lequel le site est hébergé et de l’empêcher de répondre aux demandes des
internautes. Ces robots sont installés sur des serveurs et des machines
d’internautes, à leur insu, généralement via des virus qui restent dormant.

Qu’est-ce qu’un botnet ?

Le principe du botnet est donc de créer un
virus, qui va infecter discrètement le plus d’ordinateurs possible
(exemple: emails avec de fausses factures en .doc contenant un vrai virus
de Juillet dernier). Chaque ordinateur (ou chaque serveur d’hébergement) de
Mme. et M. Toutlemonde, une fois infecté, devient alors un vecteur
potentiel pour effectuer une attaque groupée de millions de connexions vers
un site web. Prenons l’exemple d’un site hébergé sur un serveur calibré
pour gérer entre 1 000 à 5 000 visiteurs simultanés qui serait attaqué :
d’un seul coup, le site reçoit plus d’un million de visiteurs en permanence
: le site devient inaccessible, voilà le principe du botnet. Il faut savoir
qu’une personne malintentionnée peut louer une architecture Botnet pour 50
à 60 € pour 24 heures d’utilisation, et s’en servir pour cibler un ou
plusieurs sites Web, et ainsi saturer le ou les serveurs d’hébergement.

Quelle est la cible de ces attaques ?

Généralement, les hackers
visent des e-commerces de taille moyenne, car les gros sites web marchands
ont mis en place des solutions d’hébergement qui peuvent absorber plus
facilement les attaques (architectures redondantes, plusieurs serveurs web
en cluster frontal, etc).

Que se passe-t-il en cas d’attaque de ce type lorsque vous êtes hébergé
chez Icodia ?

Notre architecture est supervisée en
continu
. – Si l’un de nos clients subit ce type d’attaque, nos
systèmes de sécurité activent automatiquement des contremesures techniques
(qui peuvent bloquer des provenances d’adresses IP attaquantes, etc.) –
Notre client est prévenu et nous essayons de mettre en place avec lui des
mesures pour limiter l’agression et solidifier de façon pérenne sa solution
d’hébergement. Cependant, il faut être conscient que ces robots utilisent
des modes de déploiement qui sont nouveaux et parfois assez difficiles à
détecter : par exemple filtrer les connexions « légitimes » et les connexions
« botnet » peut s’avérer très délicat, quel que soit l’hébergeur concerné. De
plus, certains Botnet sont connus pour disposer de millions
d’adresses IP
, pouvant malgré tout causer beaucoup de soucis.
SI VOUS RECEVEZ CE TYPE DE MENACES, IL EST DONC IMPORTANT DE
NOUS EN INFORMER.
Nous vous invitons à nous transférer ce
type de menaces (email en pièce jointe sur support@icodia.com) si vous en
recevez pour deux raisons: nous permettre d’observer l’attaque et
d’y réagir 
si cette dernière est d’une envergure trop
importante, et diligenter une enquête sur l’origine des
menaces
, ce que nous faisons dès que l’occasion se présente, en
lien avec les services de la D.C.R.I. (Direction générale de la sécurité
intérieure). Votre collaboration est essentielle.

Sécurisation SSL pour votre messagerie

Nous avons appliqué sur notre plateforme de messagerie mutualisée des évolutions concernant la norme de cryptage SSL concernant pop3ssl / imapssl.

La norme SSL V3 non sécurisée étant obsolète et potentiellement faillible, elle n’est plus supportée par notre plateforme. Vous devrez donc utiliser les normes TLS v1.x.

L’ensemble des clients de messagerie récents supportent de façon transparente ce passage vers une plus grande sécurité.

Si vous utilisez un logiciel de messagerie trop ancien qui ne supporte pas TLS, nous vous conseillons de télécharger un logiciel de messagerie plus récent, comme Thunderbird, que vous pourrez installer aussi bien sous Windows que sous MacOS, et que vous pourrez mettre à jour de façon régulière.

 

Pièces jointes Office malveillantes dans vos emails : Prudence !

Depuis quelques semaines, des vagues d’attaques d’emails contenant des virus envahissent les boîtes de réception.

L’ANSSI (Agence Nationale de la Sécurité des Systèmes de l’Information) avait déjà attiré l’attention des utilisateurs à ce sujet dans un bulletin d’alerte détaillé.

Leur particularité : les  virus sont contenus dans des documents Microsoft Office (Word, Excel…) joints aux emails, qui exploitent une faille de sécurité visant à infecter les postes des utilisateurs.

Comment réagir ?

La prudence est donc de rigueur, nous vous conseillons d’appliquer les recommandations de l’ANSSI :

  • ne pas ouvrir les documents ou les pièces jointes non sollicités ;
  • désactiver l’exécution automatique des macros dans les suites bureautiques ;
  • maintenir le système d’exploitation et l’anti-virus à jour.

La désactivation de l’exécution automatique des macros se paramètre dans le menu suivant :

Fichier / Options / Centre de gestion de la confidentialité / Paramètre du Centre de gestion de la confidentialité / Paramètres des macros / Désactiver toutes les macros avec notifications

De son côté, Icodia a développé un système d’analyse des pièces jointes envoyées sur les adresses emails des utilisateurs de la plateforme disposant de la protection IcoAntivirus, afin de minimiser les impacts de ces attaques :

À réception d’un email contenant une pièce jointe, notre serveur met en attente quelques secondes l’email afin de :

  • procéder à l’analyse de la pièce jointe
  • procéder à une étude statistique selon un filtre bayésien qui étudie les comportements de l’ensemble des emails de la plateforme et nous permet de déterminer si le comportement de l’email est lié à une vague d’attaque reconnue

Suis-je couvert par la protection Antivirus Icodia ?

Tous les services de la plateforme mutualisée Icodia disposent de l’option IcoAntivirus-Antispam développée par Icodia, vous êtes donc protégé, du mieux possible, contre ces attaques.

Si vos services emails sont gérés sur serveur dédié en interne, en externe ou sur une offre dédiée ou VPS chez Icodia, vous pouvez souscrire à cette option pour une utilisation sur un ou plusieurs noms de domaines.

Si vous souhaitez en savoir plus sur ce service, n’hésitez pas à contacter notre service commercial