Juste pour dire, au niveau réglementaire français:
-
http://www.cnil.fr/documentation/fiches-pratiques/fiche/article/la-notification-des-violations-de-donnees-a-caractere-personnel/
dans le cas où des données personnelles ont été compromises
- les opérateurs en charge d'activités vitales pour l’État ont une
obligation de notification vers l'autorité de tutelle
- dans le cas où l'infra compromise participe à des activités de
recherche, il peut aussi avoir des dispositifs un peu spécifiques
(protection du patrimoine scientifique et technique)
- pour les autres, pas d'obligations envers les autorités
Juste... Peut-être Au niveau contractuel, si le client l'a spécifié.
Enfin, une compromission est une intrusion dans un système automatisé de
données (un STAD dans le jargon), article L323 et suivant du code pénal.
Il est possible (et recommandé) de porter plainte. La brigade d'enquête
sur les fraudes aux technologies de l'information est le service à
joindre.
Je pense que ça été dit plus haut, mais le réflexe n°1 en cas
d'intrusion: snapshots. Faut pas saboter la scène de crime :)
++
Stéphane
Le 28/07/2014 10:14, Fernando Lagrange a écrit :
Bonjour,
Je suis un peu vert: un serveur que j'administre a été compromis ! :-X
J'ai été alerté car une page web de phishing a été mise en place, à
cause d'une application que je n'avais pas mise à jour.
En y regardant de plus près, j'ai trouvé aussi une page pour envoyer
du SPAM. De fait: il y avait plus de 200 pourriels en cours d'envoi
sur le serveur d'à côté. Là, j'ai été trop rapide et tout effacé,
maintenant je me dis que j'y aurais bien jeté un œil à ces pourriels…
:-/
Mes recherches sur le net arrivent surtout sur comment se prémunir
(mettre en place la sécurité), je n'ai pas trouvé grand-chose sur «
l'après ». L'après non-technique, j'entends.
Du coup, comment vous faites:
1. pour vérifier que tout va bien techniquement ?
et surtout:
2. est-ce qu'il faut suivre des démarches pour se prémunir au cas où
une plainte tomberait dans X temps ?
Personnellement, après avoir coupé les accès aux pages concernées:
1. a. J'ai regardé l'arborescence des htdocs dans l'historique des
sauvegardes (et retrouvé depuis quand c'est arrivé)
b. vérifié les courriels metche de surveillance de l'arborescence /etc
(pas vu de modifs de ce côté-là)
c. j'ai installé rkhunter (on n'est jamais trop prudent, mais est-ce
utile à postériori ?)
d. j'ai mis à jour (et je suis en négociation avec ma hiérarchie pour
garder les serveurs à jour, mais c'est pas simple)
e. Je continue à éplucher les logs de la période, j'hésite à installer
logwatch
f. je vais baisser les alertes munin sur le nombre de courriels par
seconde (mais j'imagine que ça va me faire des faux-positifs et une
bonne attaque passera inaperçue)
h. je vais faire monter la réinstallation de ce serveur vers le haut
de la pile des choses à faire ;)
2. Je suis en train d'envoyer un message à FRSAG. ;)
Plus sérieusement, je me demande s'il ne faut pas que je déclare
quelque chose quelque part ? (Je sais pas trop si je pourrai fournir
des infos précises d'ici 2, 5 ou 10 ans…)
Et vous, si ça vous est arrivé, avez-vous fait quelque chose ? Que
s'est-il passé ensuite ?
(J'accepte les messages en privé si vous pensez que c'est trop
sensible en public, n'hésitez-pas à me renvoyer sur des discussions
similaires.)
@+
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
