Comment réagir à une intrusion ?

Prévention mai 08, 2019

Quels sont les réflexes à adopter si vous suspectez qu'une de vos machines a été compromise ? Que ce soit un ordinateur personnel ou professionnel il est important d'agir rapidement pour limiter la perte et le vol de vos données.

Les premiers réflexes à avoir

I - Isoler la machine

Si vous pensez que quelqu'un possède un accès non autorisé à votre machine, il est primordial de cesser toute activité sur celle-ci et la déconnecter rapidement du réseau (WiFi et Ethernet).

Si un attaquant a pu créer un accès à distance vers votre ordinateur il est important de couper toute connexion Internet immédiatement.

II - Prévenir votre responsable sécurité

Si votre entreprise ou vous même avez un responsable sécurité, celui-ci doit être immédiatement prévenu. Évitez les e-mails et autres moyens de communications qui pourraient avoir été corrompus et expliquez précisément ce qu'il s'est passé en répondant pour chaque événement aux questions "Quand, Quoi, Qui et Comment".

Certaines procédures techniques doivent être effectuées et le support d'un professionnel pour la récupération et l'analyse des données de votre ordinateur peut avoir un impact majeur sur votre capacité a récupérer des données et des preuves d'une intrusion.

III - Face à un rançongiciel ou en cas d'indisponibilité d'un responsable

Si votre machine est victime d'un rançongiciel (ransomware), il est primordial de l'éteindre dès les premiers signes d'infection et de ne surtout pas la rallumer avant l'analyse d'un expert en sécurité informatique. Plus votre machine reste sous tension longtemps, plus vos chances de récupérer des données sur votre disque dur sont faibles.

Également, si vous n'avez pas la possibilité d'obtenir l'aide d'un responsable et que vous souhaitez pouvoir reprendre rapidement votre activité, vous pouvez éteindre votre machine et remplacer son disque dur en faisant bien attention à conserver le disque infecté. Attention : en éteignant votre machine, vous rendrez impossible la récupération d'une partie de la mémoire de votre ordinateur qui peut être utile lors d'une analyse criminalistique.

Se préparer pour l'analyse

Si vous souhaitez essayer de savoir par qui et comment la potentielle attaque a été menée, il va falloir que les données de votre machine soient analysées par un technicien ayant des compétence en informatique légale.

Afin d'aider cette procédure il sera utile de documenter aussi précisément (description, date, heure, remarques) que possible les événements qui se sont déroulés ainsi que les mesures que vous avez prises. N'hésitez pas également à prendre des photos du matériel impliqué, celles-ci pourront peut-être servir par la suite dans le cadre d'une enquête judiciaire.

Il est aussi primordial de ne pas ouvrir, mettre sous tension (si ils sont éteints) la ou les machines ou faire quoi que ce soit qui pourrait endommager ou altérer les données du matériel compromis.

Engager des procédures légales

Si à la suite d'une analyse vous avez des traces concluantes d'intrusion, vous pouvez déposer une plainte auprès de la Police.

C'est généralement la Sous-Direction de Lutte contre la Cybercriminalité qui prendra en charge les enquêtes informatiques, soyez sûr d'apporter lors du dépôt de plainte l'ensemble des rapports d'analyse et des photographies/documents que vous avez à disposition.

Si des données personnelles de vos clients ou partenaires commerciaux ont été compromises, il est indispensable de les informer de l'incident de sécurité qui a eu lieu.

Vous pouvez être tenus responsables si la confidentialité des informations de tiers est compromise à la suite d'un attaque informatique sur vos équipements.

Repartir sur des bases saines

Quelle que soit le type d'intrusion auquel vous avez fait face, vous ne pouvez pas réutiliser une machine ayant été potentiellement infectée sans prendre certaines précautions au préalable :

I - Changer le(s) disque(s) dur(s)

La méthode la plus sûre et simple pour réhabiliter rapidement une machine compromise est de changer son ou ses disques. C'est une dépense avoisinant les 50€ pour 1To de données qui vous permet de garder le disque compromis (en cas de besoin dans le cadre d'une enquête ou d'une analyse ultérieure) et d'être sûr de ne garder aucun fichier infecté.

II - Réinstaller un système d'exploitation vierge

Une fois votre nouveau disque dur installé, vous pouvez réinstaller un nouveau système d'exploitation dessus. Si vous travaillez sur un environnement Windows, vous pouvez créer un disque d'installation à l'aide d'une clé USB ou d'un disque dur externe et d'une machine Windows saine (https://support.microsoft.com/fr-fr/help/15088/windows-10-create-installation-media) qui vous servira à réinstaller la version de Windows de votre choix.

Pour d'autres systèmes d'exploitation, se référer aux documentations appropriées.

III - Améliorer sa sécurité

Si vous n'utilisiez pas de Pare-Feu et d'Antivirus, c'est le moment pour s'en occuper ! Renseignez-vous sur les solution logicielles fiables en fonction de votre système d'exploitation et activez les mises à jour automatiques ainsi que les paramètres de sécurité recommandés par votre OS.

Il est également indispensable d'effectuer une rotation de tous les mots de passe ayant été entrés sur votre machine, ceux-ci peuvent avoir été subtilisés par un attaquant.

Utiliser un gestionnaire de mots de passe (comme KeePass, 1password, LessPass, Dashlane par exemple) facilitera la création de nouveaux mots de passe et vous aidera à ne pas les réutiliser.

IV - Récupérer vos données depuis une sauvegarde saine

Si il peut être tentant d'utiliser les données du disque dur potentiellement infecté, les risques associés rendent l'opération absolument inenvisageable.

Utilisez la dernière sauvegarde saine à disposition pour récupérer les données dont vous avez besoin et si vous n'avez pas de mécanisme de sauvegarde automatisé, c'est l'occasion d'en mettre un en place.

N'installez et ne stockez sur votre machine que le strict nécessaire, surtout si vous n'avez pas pu déterminer avec précision la vulnérabilité ayant rendue une intrusion possible.


Si vous suspectez une intrusion sur votre réseau ou une de vos machines vous pouvez nous contacter pour des conseils et un encadrement dans les procédures d'analyse et de sécurisation de vos données.

Ressources supplémentaires :

https://www.cert.ssi.gouv.fr/information/CERTA-2002-INF-002/ (En Français)

https://www.secjuice.com/how-to-handle-an-intrusion-on-a-windows-system/ (En Anglais)


Image d'illustration de Vitaly Vlasov.

Mots clés

Jérémie A.

Fondateur @fenrir.pro Ethical Hacker, Certifié C|EH, C|EI, Pentest+

Super ! Vous vous êtes inscrit avec succès.
Super ! Effectuez le paiement pour obtenir l'accès complet.
Bon retour parmi nous ! Vous vous êtes connecté avec succès.
Parfait ! Votre compte est entièrement activé, vous avez désormais accès à tout le contenu.