Incident sur le coeur de réseau SFR

Début de l’incident :  12/09/2016 – 17h30
Incident clos à  : 13/09/2016 – 01h50

 

Une panne réseau majeure au niveau national a touché notre opérateur de transit principal hier (lundi 12/09/2016) et jusque tard dans la nuit.

Les services ont été rétablis un peu avant 2h ce matin.

La panne n’étant pas liée à Icodia, notre Datacenter était intégralement fonctionnel.

 

SFR a connu une panne data majeure sur la France à partir de 17h30 ce lundi (12/01/2016). De nombreux routeurs de l’opérateur n’étaient plus opérationnels. La panne bloquait également les flux vers nos opérateurs secondaires directs.

 

Nous avons été en contact permanent avec les équipes de SFR.

Les équipes d’Icodia sont restées mobilisées jusqu’à la résolution totale du problème. Nos techniciens se sont assurés à chaque instant que tout était prêt pour le retour à la normale.

Nous avons assuré un contrôle général de l’ensemble des services pendant les heures qui ont suivies afin d’éviter des pannes consécutives à une reprise des services et à leur montée en charge.

 

Une réunion technique d’urgence a eu lieu ce matin afin de comprendre, avec l’ensemble des opérateurs de transit, la raison de cet incident majeur. Soyez sûr que nous mettrons tout en œuvre par la suite pour éviter une perte d’accès sur un problème similaire.

Avant cet incident, l’uptime de notre plateforme était de 100% sur l’année 2016. Nous sommes passés à 99,97%. Ce qui reste encore supérieur aux exigences de la norme TIER IV.

Quoiqu’il en soit, suite à ce problème, nous allons prendre toutes les mesures afin d’améliorer encore notre peering (routes réseaux), limiter notre dépendance vis-à-vis de SFR et augmenter les relais vers les opérateurs tiers possibles.

Nous y gagnerons à la fois en redondance et en rapidité, et vos propres services également.

Nous vous prions de croire que nous sommes désolés de cet incident, et allons tout faire pour que cela ne se reproduise pas.

Recrudescence d’attaques ciblant les sites WordPress – Bulletin d’alerte du 16/06/2016

Recrudescence d’attaques ciblant les sites WordPress

Depuis quelques jours, nous constatons une recrudescence de tentatives d’attaques visant les sites WordPress.
Les pirates tentent de prendre la main sur les sites et leurs hébergements en visant les accès administrateurs des sites.

Une faille de sécurité critique permettant aux hackers de prendre le contrôle d’un site très facilement est présente sur les versions de WordPress antérieures aux versions 4.5.2 / 4.4.3 / 4.3.4 / 4.2.8 de l’outil.

De plus, sur les versions inférieures à 4.5.2 et 4.4.3 (dont 4.3.4 et 4.2.8) il existe une faille (qui n’est résolue qu’à partir des versions 4.5.x et 4.4.x) permettant d’utiliser des scripts WordPress comme passerelle d’attaque vers d’autres sites web.

Il est par conséquent extrêmement important de mettre à jour votre site WordPress.

Quels sont les risques ?

Cette faille de sécurité permet à un hackeur de prendre la main sur votre site et votre hébergement en quelques minutes, pouvant occasionner des dégâts importants, qui peuvent aller du détournement de votre espace d’hébergement pour relayer l’envoi de spam, à la destruction de votre site.

Sachez que dès qu’un hack est détecté par nos services, nous suspendons immédiatement le site concerné, afin de limiter les exactions sur votre site, mais nous ne pouvons constater une intrusion que lorsqu’elle a eu lieu, malheureusement, et  des actions malveillantes peuvent déjà avoir été commises.

Comment vérifier que mon site est bien à jour ?

Connectez-vous à votre interface d’administration WordPress.

Sur la page d’accueil de l’administration, vérifiez que la version de votre moteur WordPress est bien la 4.5.2 :

Image : Comment m'assurer que mon site est à jour

 

Comment mettre mon site WordPress à jour ?

Pour mettre à jour votre site WordPress, vous pouvez utiliser l’outil automatique de mise à jour présent dans votre interface d’administration de votre site, ou télécharger la dernière version de WordPress et procéder à l’installation manuelle de la mise à jour.

=> La dernière version de WordPress en français (la version 4.5.2) est disponible à l’adresse :
https://fr.wordpress.org/

Je ne dispose pas des compétences techniques pour faire la mise à jour :

Si vous ne disposez pas des compétences techniques pour mettre votre site à jour, notre service développement peut vous proposer une prestation de mise à jour du moteur WordPress et de ses modules.
=> N’hésitez pas à nous contacter, nos techniciens sont à votre disposition.

Comment faire pour entretenir mon site WordPress à l’avenir  ?

Vous ne le savez peut être pas, mais Icodia propose un abonnement d’infogérance technique pour les sites WordPress, incluant les mises à jour du noyau WordPress et des modules non commerciaux figurant dans le catalogue du Codex WordPress pour 49 € ht/an.

Pour un site WordPress utilisant une dizaine de modules, cela peut représenter une centaine de mises à jour par an, qui sont indispensables pour la sécurité de votre site internet.

=> Pour plus d’informations sur cet abonnement d’infogérance technique, vous pouvez consulter notre site à l’adresse :

 

http://www.icodia.com/fr/solutions/infogerance/wordpress.html
ou nous contacter.

Attaques de virus via email : évolution importante des virus Locky /cryptolockers, rappel de nos conseils de prudence.

Comme nous l’avons déjà évoqué dans de précédents bulletins, de très nombreuses et très importantes vagues d’attaques d’envois de virus par email sévissent actuellement sur le net.

Le désormais célèbre virus Locky (et ses variantes) a subi une modification importante :
le type de fichier contenu dans les archives zip a changé de nature :
il s’agissait uniquement de fichiers en format JS, mais l’on trouve également des fichiers au format .WSF.

L’une des particularités de ce type de virus est qu’il peut prendre l’apparence de n’importe quel type de fichier.
Par exemple il peut utiliser les icônes d’autres programmes, comme Microsoft Word, Adobe PDF, etc.

Le destinataire ne réalise donc pas sur le moment qu’il ouvre un script d’installation de virus.

Les ingénieurs d’Icodia travaillent sans relâche pour identifier et stopper ces virus au fur et à mesure que les hackers font évoluer les formes d’envoi ; cependant, nous souhaitions attirer votre attention sur cette problématique, et vous inviter à être vigilants :

Nos conseils pour éviter tout risque :

– Activez l’affichage des extensions de fichier sous Windows :

Afin de pouvoir vous assurer qu’un fichier Word que vous vous apprêtez à ouvrir en est bien un, il est utile d’afficher l’extension de vos fichiers.

1. Ouvrez votre explorateur de fichiers. Par défaut, vous constaterez que l’extension du fichier n’est pas affichée.
1

2. Allez dans Outils > Options des dossiers.
2

3. La fenêtre d’options des dossiers s’ouvre, ouvrez l’onglet Affichage et décochez l’option “Masquez les extensions des fichiers dont le type est connu.
Validez en cliquant sur “Appliquer”
3

4. Les extensions de vos fichiers s’affichent désormais, il vous est plus facile de vous assurer rapidement qu’un fichier porte l’extension adaptée à son format.
4

N’oubliez pas que l’extension .exe represente un fichier exécutable, soyez prudents.

Il faut également être prudent avec les extensions type .js, .wsf, .bat, .cmd, etc.
D’une manière générale, tout fichier ayant un logo qui ne correspond pas à son extension est un risque (exemple fichier .exe avec un logo PDF)

 

– Ne faites pas systématiquement confiance à votre antivirus :

Les infections par email fonctionnent dans des contitions de « race » (course, en anglais) :
c’est à dire que les hackers font en sorte d’envoyer un maximum d’emails infectés en un minimum de temps, avant que les antivirus puissent mettre leurs moteurs à jour.
Nouvelle forme du virus, nouvelle vague d’attaque extrêmement massive, dès que le virus est repertorié dans les bases virales, une nouvelle version du virus est propagée par le botnet.

– N’ouvrez pas de pièces jointes provenant d’une source inconnue :

Les virus peuvent être cachés dans des fichiers joints de différentes natures :
documents MS Word, MS Excel, fichiers Zip contenant des scripts de type .js, etc.

Soyez prudent, les virus sont nommés de sorte à provoquer la confusion chez le destinataire :
facture.doc, facture.zip, facture.pdf.js, devis.js, cv.rtf, ou tout autre nom qui pourrait vous inciter à ouvrir le document joint.

– Limitez le plus possible l’utilisation de l’alias collecteur sur vos services email :

La mise en place d’un alias collecteur vous permet de recevoir les messages envoyés sur des adresses email liées à votre nom de domaine mais qui n’existent pas.

Cet alias routera donc tous les destinataires aléatoires vers une boîte. Le botnet cible des listes d’utilisateurs existants, mais aussi beaucoup d’utilisateurs aléatoires (a1ecc5d@mondomaine.com, john@mondomaine.com, etc.).

Avec un alias collecteur, toutes ces tentatives peuvent arriver sur votre adresse email (c’est également valable pour les spams), et vous multipliez les risques de fausse manipulation.

– Utilisez des outils fiables et à jour :

Travaillez sur des outils fiables (Firefox par exemple pour le navigateur web) et surtout mettez à jour vos logiciels et vos systèmes d’exploitation.

Il existe des applications gratuites, comme par exemple Secunia Personal Inspector, qui vous informent de l’existance de mises à jour sur les logiciels que vous utilisez. Ce logiciel est disponible en français.
Vous pouvez le télécharger gratuitement à l’adresse :
http://learn.flexerasoftware.com/SVM-EVAL-Personal-Software-Inspector

– Créez des utilisateurs avec des droits limités sur votre ordinateur et
utilisez l’UAC (sous Windows) :

Si vous utilisez le compte administrateur de votre ordinateur, toute application est susceptible de s’exécuter, quelle qu’elle soit.

Utilisez un compte utilisateur avec des droits restreints. Cela permet de vous protéger.

Ne désactivez pas le panneau de l’UAC (User Account Control) :
L’UAC est un utilitaire (à partir de Windows 7), qui vous prévient si une application souhaite s’installer ou s’exécuter, vous demandant de confirmer d’éventuelles modifications sur votre ordinateur.
Vous êtes ainsi averti, et pouvez stopper, le cas échéant l’exécution d’un programme qui n’aurait pas lieu d’intervenir sur votre machine.

L’équipe Icodia a pris des mesures afin de vous protéger de ce risque

Nos techniciens ont créé un filtrage spécifique sur ces emails frauduleux, afin de les stopper au niveau de notre filtrage antivirus. Ces emails sont donc arrêtés et supprimés dès reception par nos serveurs.

Dans tous les cas, restez vigilants

Les techniques de piratage, les tentatives de détournement de vos informations et les “cyber-arnaques” évoluent extrêmement rapidement, les emails frauduleux circulant sur internet représententplus de 80% du traffic email.
Nous mettons tout en œuvre pour être très réactifs, mais il faut rester prudent.

Importantes vagues de SCAM (cyber-arnaque) : Attention aux tentatives de récupération de vos identifiants

Une campagne très importante de tentative de SCAM (cyber-arnaque) sévit actuellement, qui vise les utilisateurs de noms de domaines.

Le principe :

Un email frauduleux vous est envoyé de la part d’un faux expéditeur, par exemple administration@votredomaine.com, vous indiquant qu’il a été observé une activité inhabituelle liée à votre compte email, et que ce dernier a été désactivé de façon temporaire.

L’email contient un lien qui vous propose de contacter l’administrateur de votre compte et de vérifier vos identifiants, afin de les récupérer.

NE SAISISSEZ PAS VOS IDENTIFIANTS !

IMPORTANT : Sachez qu’Icodia ne vous demandera jamais de valider vos identifiants de connexion à votre compte email.

L’équipe Icodia a pris des mesures afin de vous protéger de ce risque

Nos techniciens ont créé un filtrage spécifique sur ces emails frauduleux, afin de les stopper au niveau de notre filtrage antivirus. Ces emails sont donc arrêtés et supprimés dès reception par nos serveurs.

Dans tous les cas, restez vigilants

Les techniques de piratage, les tentatives de détournement de vos informations et les “cyber-arnaques” évoluent extrêmement rapidement, les emails frauduleux circulant sur internet représentent plus de 80% du traffic email.
Nous mettons tout en œuvre pour être très réactifs, mais il faut rester prudent.

Faille de sécurité critique sous Drupal : faites vos mises à jour !

Une vulnérabilité a été découverte dans Drupal. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance, de contourner la politique de sécurité de l’outil et même d’utiliser le moteur Drupal comme source d’attaques par DDOS (Déni de services). Cette faille est massivement exploitée ces dernières semaines.

Il est par conséquent très important de mettre à jour votre site Drupal si ce dernier est dans une des versions suivantes :

– Drupal core 6.x versions prior to 6.38
– Drupal core 7.x versions prior to 7.43
– Drupal core 8.0.x versions prior to 8.0.4

=> Consulter le bulletin de sécurité de l’ANSSI de février 2016 à ce sujet :
http://cert.ssi.gouv.fr/site/CERTFR-2016-AVI-072/index.html

Quels sont les risques ?

Cette faille de sécurité permet à un hackeur de prendre la main sur votre site et votre hébergement en quelques minutes, pouvant occasionner des dégâts importants, qui peuvent aller du détournement de votre espace d’hébergement pour relayer l’envoi de spam, de détourner le moteur de votre site afin qu’il serve de vecteur d’attaques vers d’autres sites, jusqu’à la suppression de votre site.

Sachez que dès qu’un hack est détecté par nos services, nous suspendons immédiatement le site concerné, afin de limiter les détournements sur votre site, mais nous ne pouvons constater une intrusion que lorsqu’elle a eu lieu, malheureusement, et  des actions malveillantes peuvent déjà avoir été commises.

Comment mettre mon site Drupal à jour ?

Pour mettre à jour votre site Drupal, vous pouvez télécharger la dernière version de Drupal et procéder à l’installation de la mise à jour.

=> La dernière version de Drupal en français est disponible à l’adresse :
http://drupalfr.org/

Je ne dispose pas des compétences techniques pour faire la mise à jour :

Si vous ne disposez pas des compétences techniques pour mettre votre site à jour, notre service développement peut vous proposer une prestation de mise à jour du moteur Drupal et de ses modules.
=> N’hésitez pas à nous contacter, nos techniciens sont à votre disposition.

Sites SPIP : Faille Critique de sécurité, attention, faites vos mises à jour !

Hier est parue une mise à jour de sécurité concernant le CMS SPIP, qui corrige deux failles de sécurité impactant toutes les versions de SPIP.

Il est impératif de faire vos mises à jour dès que possible, ces failles sont sérieuses et permettent à un hacker d’injecter du code malveillant sur votre site.

>> Vous pouvez télécharger les différentes mises à jour proposées par l’équipe de developpement de SPIP sur le site officiel SPIP

Attaques de virus via email, quelques conseils pour vous protéger

Ces dernières semaines, les hébergeurs font face à de très nombreuses et très importantes vagues d’attaques d’envois de virus (ransomware) via des botnets (réseaux d’ordinateurs infectés détournés pour une utilisation malveillante).

Ces virus sont des virus dits “polymorphes”, qui, lorsqu’ils se répliquent, modifient leur structure, ce qui rend inefficace la recherche par signature des logiciels antivirus.

Des millions d’emails infectés sont envoyés sur les adresses email des utilisateurs (Icodia n’est pas visé en particulier, cela concerne l’ensemble du web).

Ces emails encapsulent une pièce jointe au format ZIP, qui contient un ou plusieurs fichiers de type .js, qui sont des scripts d’installation de virus.

Les ingénieurs d’Icodia travaillent sans relâche pour identifier et stopper ces virus au fur et à mesure que les hackers font évoluer les formes d’envoi, cependant, nous souhaitions attirer votre attention sur cette problématique, et vous inviter à être vigilants :

Pour éviter tout risque :

Ne faites pas systématiquement confiance à votre antivirus :

Les infections par email fonctionnent dans des contitions de « race » (course, en anglais) :
c’est à dire que les hackers font en sorte d’envoyer un maximum d’emails infectés en un minimum de temps, avant que les antivirus puissent mettre leurs moteurs à jour.
Nouvelle forme du virus, nouvelle vague d’attaque extrêmement massive, dès que le virus est repertorié dans les bases virales, une nouvelle version du virus est propagée par le botnet.

N’ouvrez pas de pièces jointes provenant d’une source inconnue :

Les virus peuvent être cachés dans des fichiers joints de différentes natures :
documents word, excel, fichiers zip contenant des scripts de type .js, etc.

Soyez prudent, les virus sont nommés de sorte à provoquer la confusion chez le destinataire :
facture.doc, facture.zip, facture.pdf.js, devis.js, cv.rtf, ou tout autre nom qui pourrait vous inciter à ouvrir le document joint

Limitez le plus possible l’utilisation de l’alias collecteur sur vos services email :

La mise en place d’un alias collecteur vous permet de recevoir les messages envoyés sur des adresses email liées à votre nom de domaine mais qui n’existent pas.

Cet alias routera donc tous les destinataires aléatoires vers une boîte. Le botnet cible des listes d’utilisateurs existants, mais aussi beaucoup d’utilisateurs aléatoires (a1ecc5d@mondomaine.com, john@mondomaine.com, etc.).

Avec un alias collecteur, toutes ces tentatives peuvent arriver sur votre adresse email (c’est également valable pour les spams), et vous multipliez les risques de fausse manipulation.

Utilisez des outils fiables et à jour :

Travaillez sur des outils fiables (Firefox par exemple pour le navigateur web) et surtout mettez à jour vos logiciels et vos systèmes d’exploitation.

Il existe des applications gratuites, comme par exemple Secunia Personal Inspector, qui vous informent de l’existance de mises à jour sur les logiciels que vous utilisez. Ce logiciel est disponible en français.
Vous pouvez le télécharger gratuitement à l’adresse :
http://learn.flexerasoftware.com/SVM-EVAL-Personal-Software-Inspector

Créez des utilisateurs avec des droits limités sur votre ordinateur et
utilisez l’UAC (sous Windows) :

Si vous utilisez le compte administrateur de votre ordinateur, toute application est susceptible de s’exécuter, quelle qu’elle soit.

Utilisez un compte utilisateur avec des droits restreints. Cela permet de vous protéger.

Ne désactivez pas le panneau de l’UAC (User Account Control) :
L’UAC est un utilitaire (à partir de Windows 7), qui vous prévient si une application souhaite s’installer ou s’exécuter, vous demandant de confirmer d’éventuelles modifications sur votre ordinateur.
Vous êtes ainsi averti, et pouvez stopper, le cas échéant l’exécution d’un programme qui n’aurait pas lieu d’intervenir sur votre machine.

Bulletin d’alerte du 22-01-2016 – Faille de sécurité critique sous Joomla!

Faille de sécurité critique sous Joomla! : faites vos mises à jour !

Une vulnérabilité a été découverte dans Joomla!. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance. Cette faille est massivement exploitée ces dernières semaines.

Il est par conséquent très important de mettre à jour votre site Joomla!

=> Consulter le bulletin de sécurité de l’ANSSI à ce sujet :
http://www.cert.ssi.gouv.fr/site/CERTFR-2015-ALE-013/index.html

Quels sont les risques ?

Cette faille de sécurité permet à un hackeur de prendre la main sur votre site et votre hébergement en quelques minutes, pouvant occasionner des dégâts importants, qui peuvent aller du détournement de votre espace d’hébergement pour relayer l’envoi de spam, jusqu’à la destruction de votre site.

Sachez que dès qu’un hack est détecté par nos services, nous suspendons immédiatement le site concerné, afin de limiter les exactions sur votre site, mais nous ne pouvons constater une intrusion que lorsqu’elle a eu lieu, malheureusement, et des actions malveillantes peuvent déjà avoir été commises.

Comment mettre mon site Joomla! à jour ?

Pour mettre à jour votre site Joomla!, vous pouvez télécharger la dernière version de Joomla! et procéder à l’installation de la mise à jour.

=> La dernière version de Joomla! en français est disponible à l’adresse :
http://www.joomla.fr/afuj/item/1457-telecharger-joomla

Je ne dispose pas des compétences techniques pour faire la mise à jour :

Si vous ne disposez pas des compétences techniques pour mettre votre site à jour, notre service développement peut vous proposer une prestation de mise à jour du moteur Joomla! et de ses modules.
=> N’hésitez pas à nous contacter, nos techniciens sont à votre disposition.