Le ransomware Locky évolue

Une nouvelle variante de virus Locky (cryptolocker) est apparue ces derniers jours. Cette nouvelle version s’exécute via du code JavaScript caché dans une image SVG. Le format SVG (Scalable Vector Graphics) est un format de données conçu pour décrire des ensembles de graphiques vectoriels, et est basé sur du XML (donc du texte).

Il est donc possible d’inclure du script JavaScript dans une image. Script qui peut, dans certains cas, s’exécuter.
Sur certains navigateurs (exemple chrome) / client de messagerie, l’affichage de l’image suffit à lancer le téléchargement, puis l’exécution du virus sur la machine.

Il y a quelques jours, un test grandeur nature a eu lieu sur les réseaux sociaux.

L’étape d’après sera probablement la messagerie et les robots de masse messagerie comme pour les cryptolockers actuels.

IcoCerberus.Mel, la solution antivirus/antispam d’Icodia, intègre la détection d’éventuels virus via SVG en pièce jointe ou dans un zip.

Panne DNS Orange

Depuis quelques heures, les abonnés d’Orange ont toutes les difficultés du monde pour se connecter au web.
En cause, un problème de serveur DNS d’Orange.

Pour rappel, Le Domain Name System (DNS) a pour fonction de traduire un nom de domaine en une adresse IP. Le rôle du serveur DNS est donc de trouver l’adresse IP associée au nom de domaine dont vous vous servez pour accéder à un site web.
Ces informations sont stockées un certain temps sur votre machine. Ce qui veut dire qu’une fois que les informations DNS ne sont plus dans le cache de votre machine ou de votre routeur, il sera impossible pour le moment de faire cette résolution DNS, et donc de se connecter (sauf si vous utilisez des serveurs DNS alternatifs).
Le fournisseur d’accès avait rencontré un problème similaire mi-octobre avec plusieurs gros sites dont Google et Wikipedia : les DNS renvoyaient alors vers la page du ministère de l’Intérieur, prévenant d’un site faisant l’apologie du terrorisme.
Évidement, cette panne n’a RIEN à voir avec ICODIA, ni avec son réseau.
Vous pouvez suivre l’évolution de la panne sur ce fil twitter :
https://twitter.com/search?f=tweets&vertical=default&q=orange%20dns&src=tyah
Ou encore sur le site http://touteslespannes.fr/statut/orange

Attentions aux SMS frauduleux

Il y a une recrudescence de SCAM par SMS en ce moment en France, envoyant des SMS, généralement la nuit (entre 3 et 5h du matin) avec le contenu suivant :

SMS adressé par le 33784505652 : « Bonjour, votre colis ref 30507 est en attente de retrait en point relais depuis le 28/10. Pour le récupérer merci d’appeler le 0685778635. »

Le numéro a appeler est une arnaque téléphonique, tentant de récupérer des informations perso, et peut également, sans prévenir, rediriger vers un numéro surtaxé, donc attention.

Il faut savoir (bon sauf si son téléphone est éteint…) qu’une loi impose un envoi de suivi par les transporteurs entre 07h00 et 22h00.

Joomla! : failles critiques de sécurité, mettez votre CMS à jour !

logo-joomlaDeux failles critiques de sécurité ont été mises au jour sur le CMS Joomla!, permettant entre autre de créer un compte utilisateur avec les droits administrateurs.

Il est donc important et urgent de faire la mise à jour corrective vers la version 3.6.4 parue le 25 octobre, qui corrige ces failles de sécurité.

>> Pour plus d’informations sur ces failles et pour télécharger la version corrective du CMS, consultez le site officiel Joomla!

 

Attaque DDoS contre DYN : Que s’est-il passé ?

Vendredi 21 octobre, la société DYN, basée aux États-Unis, a subi une attaque DDoS historique qui a ciblé ses serveurs DNS.
Plusieurs acteurs majeurs de l’Internet ont vu leurs services rendus inaccessibles pendant plusieurs heures.

Nous vous proposons de vous éclairer sur les modalités de l’attaque, sur ce qui l’a rendu possible et ce qui aurait permis de l’éviter, ou du moins de limiter les problèmes.

Les serveurs DNS

Commençons d’abord par vous expliquer ce qu’est un serveur DNS.
Le Domain Name System (DNS) a pour fonction de traduire un nom de domaine en une adresse IP.

Le rôle du serveur DNS est donc de trouver l’adresse IP associée au nom de domaine dont vous vous servez pour accéder à un site web (ou à tout autre service lié à un nom de domaine).

Par exemple :

www.icodia.com correspond à l’IP 46.31.192.17

L’IP étant l’adresse de la machine sur laquelle est hébergé le site. Cela permet d’atteindre un service web par son domaine (icodia.com), plutôt que par son adresse IP (46.31.192.17)

Schématiquement, le processus de résolution DNS fonctionne ainsi :
(cliquez sur l’image pour l’agrandir)

resolutiondns

 

Attaques DDoS

L’attaque DDoS de vendredi a touché les serveurs DNS de la société DYN.

Une attaque par déni de service (DoS) consiste à envoyer un très grand nombre de requêtes à un serveur depuis une adresse IP.
Dans ce cas, la riposte est relativement simple puisqu’il « suffira » de bloquer l’adresse IP de la machine. Toutes les communications provenant de cette adresse seront alors empêchées.

Le cas de l’attaque par déni de service distribuée (DDOS) est beaucoup plus complexe puisqu’il n’y aura pas une mais plusieurs machines attaquantes avec autant d’adresses IP différentes.

C’est ce que l’on appelle un botnet, un réseau de machines zombies peu ou mal sécurisées, infectées au préalable pour qu’une machine maîtresse puisse en prendre le contrôle. Ces machines peuvent aussi bien être des ordinateurs que des objets connectés comme ça a été le cas vendredi.
Il est beaucoup plus difficile de contrer une attaque DDoS car elle provient de très nombreuses machines dont les adresses IP peuvent évoluer au cours de l’attaque en fonction de son degré de sophistication.
De plus, la technique même d’attaque des services DNS permet d’amplifier le niveau d’attaque et le nombre de paquets attaquants.

L’attaque de vendredi a utilisé différentes faiblesses du service DNS de DYN :

– Anycast

Anycast, l’une des technologie utilisée par DYN, permet, via des serveurs DNS dispersés un peu partout dans le monde, d’effectuer la résolution DNS sur la route la plus courte entre l’utilisateur et le serveur DNS.
Grâce à cette technique, chaque serveur DNS réplique ses informations aux autres, permettant à chaque serveur d’avoir les mêmes données de zone DNS, de cache, etc.

La limite provient de la combinaison de deux techniques :
– la pollution de cache (technique qui consiste à saturer le cache d’un serveur en requêtes non légitimes)
– le spoof d’IP (technique permettant de mentir sur l’adresse IP source)

Avec l’anycast, chaque serveur attaqué réplique son cache (pollué) aux autres, amplifiant ainsi énormément l’impact de l’attaque.
C’est un risque important, lorsqu’on estime que la technique de résolution DNS anycast va faire gagner quelques dizaines de millisecondes.

Optimiser le temps d’affichage d’un site Internet, ses serveurs, etc. est bien plus efficace.

De plus, l’anycast repose sur une synchronisation rapide des routages BGP  (on route les mêmes adresses IP sur plusieurs routes BGP).
Mais en cas de DDoS important, un routeur BGP peut ne plus disposer de suffisamment de ressources pour dialoguer avec les autres routeurs.

– La résolution via le protocole UDP :

TCP/IP (le protocole utilisé pour échanger des données sur Internet) comporte beaucoup de couches différentes, et la norme la plus utilisée pour la résolution DNS est l’UDP.
Ce protocole permet d’effectuer des échanges rapides de petites données, idéal pour la résolution DNS.

Le principal problème du protocole UDP (en IPv4) est qu’il dispose de peu de sécurisation contre le spoofing.
Cela a permis un facteur d’amplification d’attaque important, permettant la pollution de cache, complexe à gérer en cas de DDoS.

Dans ce cas, une série de protocoles de sécurité auraient pu s’activer, afin de forcer la résolution DNS avec le protocole TCP.
Certes, cela prend quelques dizaines de millisecondes supplémentaires, mais cela permet de maintenir un service.
De plus, TCP permet d’activer une latence de réponse qui aurait posé problème aux robots attaquants.

– La gestion dynamique des TTL

Le TTL (« Time to Live ») est le temps pendant lequel le cache est conservé sur un serveur de cache : en cas d’attaque identifiée, il est primordial d’avoir un service qui permette, temporairement, d’augmenter le cache TTL des entrées des zones DNS.

On pourra alors bénéficier du cache des serveurs DNS des différents opérateurs d’Internet. Ainsi, la mise en cache limite le nombre de requêtes et permet d’accepter plus de connexions.

– Un service DNS classique avec Geoloc :

La norme Geoloc (RFC 1034 et 1035, qu’Icodia supporte) permet de résoudre des adresses IP en fonction de la position géographique : on donne une préférence à une adresse IP par rapport à une autre car son temps de réponse est plus faible (et généralement son positionnement géographique).

Par exemple, en utilisant un service DNS classique + un cache TTL correct, il est possible d’avoir une résolution de ns.icodia.com qui comporte une vingtaine d’adresse IP.
Chaque adresse IP correspond à un serveur DNS réparti sur le globe.

Lorsqu’un client situé aux USA se connecte, le serveur DNS ns.icodia.com lui fournit l’adresse IP ‘A’ du serveur le plus rapide (et souvent le plus proche). Il pourra ensuite se connecter sur l’adresse IP ‘A’ et faire la résolution DNS souhaitée.
Si un client situé en Europe se connecte sur la même adresse ns.icodia.com, l’analyse Geoloc lui donnera ladresse IP ‘B’, qui sera plus proche, et il pourra également faire sa requête DNS.
On détermine alors que le serveur DNS racine, qui s’occupe de fournir les adresses IP ‘A’ ou ‘B’ doit disposer d’un temps de requête minimale afin d’accélérer la vitesse de résolution.

Pour conclure…

Finalement, l’attaque contre Dyn, ciblant indirectement les gros sites du marché US tels que Twitter, Netflix ou Paypal, a utilisé plusieurs failles, aussi bien techniques (gestion de l’attaque, attente d’une intervention humaine pour commencer la mitigation (atténuation des dommages)) que conceptuels (les serveurs DNS délégataires chez le même prestataire, sur la même technologie).

Le service étant revenu à la normale, il faut espérer qu’un certain nombre de mesures seront mises en place, notamment en proposant des optimisations applicatives qui permettront de limiter une prochaine vague d’attaque ; venant d’un spécialiste du marché, c’est le minimum qu’un client peut attendre.

On peut enfin s’interroger sur la pertinence de la technique de l’anycast, dont l’objectif est de faire gagner quelques millisecondes, quand un site parallèlement à cela prend plusieurs secondes pour afficher une page, une fois la résolution DNS effectuée…

SPIP : TRIPLE FAILLE DE SECURITE, METTEZ VOTRE SITE À JOUR !

téléchargementPlusieurs failles de sécurité
sont présentes dans les versions du CMS SPIP antérieures à la 3.1.3, version parue fin septembre 2016.

Ces failles, dont l’une a été classée en niveau critique, permettent entre autres l’exécution de scripts PHP.

Il est donc important pour les utilisateurs de ce CMS de s’assurer de bien mettre à jour leur site vers la dernière version téléchargeable sur le site officiel de SPIP

 

Crisalide Numérique #4

Mardi 11 octobre, Icodia était présent à la soirée Crisalide Numérique organisée par la CCI Rennes à la salle du Ponant de Pacé.

C’est la deuxième année consécutive qu’Icodia est partenaire de l’évènement et nous sommes fiers d’y être associés de cette façon.
Nous avons eu le plaisir de découvrir les projets innovants de l’ensemble des nominés, avant une cérémonie de remise des trophées menée tambours battants.

La soirée s’est terminée par une séance de rencontre et d’échanges entre les différents acteurs du numérique bretons présents à la soirée.

Nous adressons évidemment toutes nos félicitations à tous les lauréats de la quatrième édition de Crisalide Numérique, mais aussi aux nominés car leurs travaux sont tous passionnants.

Un grand merci à l’équipe de la CCI pour avoir organisé cette belle soirée.

stand-icodia

 

Changement de statut pour l’ICANN

L’Icann (Internet Corporation for Assigned Names and Numbers, soit la société pour l’attribution des noms de domaines et des numéros internet) est une institution qui a pour mission de gérer les ressources numériques d’Internet (adresses IP, noms de domaines de premier niveau).

Cette organisation se trouvait sous la tutelle du gouvernement américain, à l’initiative de sa création.

Depuis le 1er octobre, l’Icann est devenu une entité internationale auto-régulée et à but non lucratif.
> Le site de l’ICANN

> L’article de ZDNet

 

 

 

SPIP : Nouvelle alerte de sécurité, pensez à mettre à jour votre site

Suite au signalement d’une faille de sécurité exploitable via l’espace privé, l’équipe SPIP a publié deux nouvelles versions du CMS : SPIP 3.1.3 et SPIP 3.0.24.

Une nouvelle version de la branche 2.1 est prévue prochainement, mais il est néamoins vivement conseillé de mettre son écran de sécurité à jour.
>> Consultez le bulletin de sécurité complet sur le site officiel SPIP
 

Incident sur le coeur de réseau SFR

Début de l’incident :  12/09/2016 – 17h30
Incident clos à  : 13/09/2016 – 01h50

 

Une panne réseau majeure au niveau national a touché notre opérateur de transit principal hier (lundi 12/09/2016) et jusque tard dans la nuit.

Les services ont été rétablis un peu avant 2h ce matin.

La panne n’étant pas liée à Icodia, notre Datacenter était intégralement fonctionnel.

 

SFR a connu une panne data majeure sur la France à partir de 17h30 ce lundi (12/01/2016). De nombreux routeurs de l’opérateur n’étaient plus opérationnels. La panne bloquait également les flux vers nos opérateurs secondaires directs.

 

Nous avons été en contact permanent avec les équipes de SFR.

Les équipes d’Icodia sont restées mobilisées jusqu’à la résolution totale du problème. Nos techniciens se sont assurés à chaque instant que tout était prêt pour le retour à la normale.

Nous avons assuré un contrôle général de l’ensemble des services pendant les heures qui ont suivies afin d’éviter des pannes consécutives à une reprise des services et à leur montée en charge.

 

Une réunion technique d’urgence a eu lieu ce matin afin de comprendre, avec l’ensemble des opérateurs de transit, la raison de cet incident majeur. Soyez sûr que nous mettrons tout en œuvre par la suite pour éviter une perte d’accès sur un problème similaire.

Avant cet incident, l’uptime de notre plateforme était de 100% sur l’année 2016. Nous sommes passés à 99,97%. Ce qui reste encore supérieur aux exigences de la norme TIER IV.

Quoiqu’il en soit, suite à ce problème, nous allons prendre toutes les mesures afin d’améliorer encore notre peering (routes réseaux), limiter notre dépendance vis-à-vis de SFR et augmenter les relais vers les opérateurs tiers possibles.

Nous y gagnerons à la fois en redondance et en rapidité, et vos propres services également.

Nous vous prions de croire que nous sommes désolés de cet incident, et allons tout faire pour que cela ne se reproduise pas.