Point complet sur l’incident du 4 avril 2019

QUE S’EST-IL PASSÉ ?

Dans la nuit du 3 au 4 avril dernier, un hacker s’est introduit dans notre système informatique, et a pu crypter et bloquer environ 60 serveurs.
Ces serveurs étaient en fonction sur deux de nos plateformes :
– Plateforme Citrix,
– Plateforme Exchange.
Il a profité d’une faille de sécurité sur le protocole RDP (Remote Desktop Protocole, anciennement TSE), sur l’un des 6 serveurs Windows 2003, encore en service.
Puis, a pu, par rebond sur les serveurs, diffuser son « malware ». Les 2 plateformes Citrix et Exchange ont été contaminées.

QUAND EXACTEMENT ?

Le personnel d’astreinte a reçu les alertes dès 00h30, et a diagnostiqué l’attaque.
Dès 1h30 du matin, il a été décidé de monter une messagerie alternative, afin de permettre à tous les utilisateurs d’Exchange de pouvoir avoir une continuité d’activité, en pouvant recevoir et envoyer des mails.

Cette messagerie était disponible à l’adresse https://webmail.ddo.net, et était opérationnelle le 4 avril, au matin.

L’alerte a été relayée par le compte Twitter de DDO, et sur le site Web https://ddo.net

QUELLE EST L’AMPLEUR DE L’ATTAQUE ?

Structure de la plateforme Citrix :
La plateforme Citrix était composée d’une vingtaine de serveurs, ceux gérant le logiciel Citrix, et ceux contenant les applicatifs Clients.

Structure de la plateforme Exchange :
La plateforme Exchange était composée de plus d’une trentaine de serveurs, répartis sur les 2 datacenters de DDO Organisation. Cette répartition permet de disposer de 2 jeux de chaque base de données de messagerie.

QUELLES SONT LES ACTIONS QUI ONT ÉTÉ FAITES ?

Jeudi 4 avril ont débuté les travaux de reconstruction des plateformes.
Pour Citrix, les travaux ont consisté à remonter de nouveaux serveurs et de « redescendre » les backups.
Pour Exchange, au vu des volumes cryptés (plus de 20 To), une nouvelle plateforme Exchange a été mise en fabrication, en parallèle de la messagerie alternative.
La nouvelle plateforme Exchange a été mise en service dimanche 7 avril, 20h.

A partir de cet instant, les utilisateurs ont pu utiliser Exchange, et commencer à retravailler depuis leur client de messagerie Outlook.
Afin de ne pas perdre leur contenu, une procédure a été établie le lundi 8 avril, et mise à jour régulièrement, consistant à ce que les utilisateurs fassent un export PST, avant de remettre en service leur client de messagerie.
Cette procédure a permis à un très grand nombre d’utilisateurs de ne pas perdre leur contenu.

DDO Organisation a, depuis le 4 avril, informé régulièrement ses Clients, par Twitter, site Web ddo.net, mails et téléphone, de l’avancement de chaque situation.
Des informations et de procédures de reprise de messagerie ont été publiées les 4, 5 7 et 11 avril.
Elles sont consultables ici : https://www.ddo.net/chronologie-des-communiques-incidents-04/19/

Le 12 avril, la console de gestion des comptes Exchange a été remise en service.
Entre le 17 et le 20 avril, tous les emails, envoyés et reçus, de la messagerie alternative ont été injectés dans les comptes Exchange de tous les utilisateurs.

AVEZ-VOUS FAIT UNE DÉCLARATION À LA CNIL ?

Oui, elle a été faite, avant le délai de 72h, le 05/04/2019, pour « notification de violation de données pour perte de disponibilité », sous le numéro FR190405100001, complétée le 24/04/2019 sous le numéro FR1904241700002.
Une plainte a aussi été déposée au Commissariat Central de Toulouse le 05/04/2019.

Y A T’IL EU VOL DE DONNÉES ?

Non, les comptes utilisateurs (login+password) des plateformes CITRIX et EXCHANGE n’ont pas été lus, ni même cryptés d’ailleurs.
Le hacker a crypté des fichiers système et applicatifs (bases de données, …), sans les aspirer.

DISPOSIEZ-VOUS DE BACKUP ?

Cela dépend des plateformes.
Dans les deux plateformes, CITRIX et EXCHANGE, des images des serveurs virtuels sont faites régulièrement. Ces images sont stockées sur un partage, mais ont été cryptées aussi, et donc, sont devenues inexpoitables.
Nous disposions aussi de backups traditionnels des contenus de serveurs, sur la plateforme CITRIX, et ceux-ci ont été disponibles, et utilisés pour restaurer le contenu des serveurs de nos Clients.

Pour la plateforme EXCHANGE, il n’y a pas de backup à proprement parler. Nous suivons les « Bonnes Pratiques » (Best Practices) de Microsoft en la matière :
https://docs.microsoft.com/fr-fr/exchange/back-up-email
Comme l’indique cet article, cela consiste à dupliquer chaque base de données Exchange, en temps réel. Nous avions donc deux exemplaires de chaque base de données, une sur chaque site de datacenter. Mais, par continuité du réseau, tous les exemplaires ont été cryptés.

LES ANCIENS CONTENUS DE MESSAGERIE SONT-ILS PERDUS ?

Non, depuis le 23 avril, nous sommes en train de décrypter les fichiers corrompus. Ce processus prendra encore un peu de temps, mais permettra de récupérer le contenu de la messagerie sous forme d’un PST par utilisateur. Si ce processus aboutit, nous définirons avec nos Clients les modalités techniques de rechargement de ces PST.

ET MAINTENANT ?

La plateforme Citrix sera modernisée. En particulier, et en accord avec les Clients concernés, les serveurs Windows 2003 seront démobilisés.
La nouvelle plateforme Exchange est totalement sécurisée et isolée des autres plateformes. Elle va être expertisée par des spécialistes Cyber-sécurité pour valider son niveau de sécurité.