OVH Community, votre nouvel espace communautaire.

Cyberciminalité : Que faire en cas d'attaque de vos serveurs ?


janus57
25/05/2015, 19h51
Bonjour,

Par contre une plainte doit être déposée physiquement dans les locaux des services concernés. Les supports contenant éléments de preuve (clef USB, CD...) devront être remis à l'officier qui prendra la plainte et se chargera de transmettre le dossier complet au parquet.

La OCLCTIC, votre commissariat / gendarmerie peuvent vous orienter vers le SRPJ dont vous dépendez pour déposer votre plainte.
C'est l'emplacement de votre machine qui détermine quel service contacter.

Pour Paris et sa petite couronne, vous devez alerter la BEFTI :
122/126, rue du Château des Rentiers, 75 013 Paris.
Standard : 01.55.75.26.19 - Email : pppj-befti-gestion@interieur.gouv.fr

Pour des machines hébergées ne relevant pas de la BEFTI, vous devez vous adresser au ICC (Investigateur en Cyber Criminalité) de votre SRPJ (Service Régional de Police Judicière).

Vous pouvez également vous adresser à l'Office Central de Lutte contre la Criminalité liée aux Technologies de l'Information et de la Communication (OCLCTIC) :
101 rue des Trois Fontanot, 92000 Nanterre
Standard : 01.49.27.49.27
Du coup si on a un serveur chez OVH à RBX on doit allez à paris pour déposer plainte ou on peu faire au SRPJ de notre région qui transmettra au service concernés ?
Sinon ces procédures sont effectivement bonne à savoir pour monter un petit dossier bien "solide".

Cordialement, janus57

shirokoweb
25/05/2015, 18h28
@janus57, effectivement, y'a de quoi écrire des milliers de pages sur le sujet...

Pour répondre à ta question, une personne avec procuration peut tout à fait déposer la plainte. (Par exemple, on peut déposer plainte au nom du client pour lequel on héberge son site sur notre serveur et qui nous aura donné plein pouvoir pour le faire).

Par contre une plainte doit être déposée physiquement dans les locaux des services concernés. Les supports contenant éléments de preuve (clef USB, CD...) devront être remis à l'officier qui prendra la plainte et se chargera de transmettre le dossier complet au parquet.

La OCLCTIC, votre commissariat / gendarmerie peuvent vous orienter vers le SRPJ dont vous dépendez pour déposer votre plainte.

En France, la législation, le service judiciaire et les tribunaux on beaucoup progressé en matière de cyber-criminalité, particulièrement ces derniers temps.

Bref, je ne le dirais pas assez : Agissez, ne vous laissez pas faire, la victime c'est VOUS pas le type qui s'acharne sur votre dos. Vous avez des droits, faites les valoir.

janus57
25/05/2015, 17h12
Bonjour,

très intéressant et relativement complet (sujet très vaste...).

Sinon petite question : en tant qu'entreprise ou association, c'est à qui de faire le dépôt de plainte ?
Une personne avec une procuration de l'entreprise/association ou alors un gérant déclaré ?

Il faut faire ces procédures en télédéclaration (si sa existe...) ou en LR AR puis envois des informations numérique ?

En tout cas cela peu aider pas mal en ces temps ou le (D)DoS (c'est aussi une attaque informatique) est monnaie courante et parfait réalisé via des lignes ADSL(oui oui)/VDSL/Fibre.

Cordialement, janus57

shirokoweb
25/05/2015, 16h11
Vous avez un serveur (dédié / vps) et vous hébergez des sites web à titre personnel ou pour le compte de vos clients.

Régulièrement vous constatez des tentatives de hack dans les logs de vos serveurs. Bien souvent elles émanent de serveurs esclaves infectés à l'insu de leurs propriétaires et sont hébergés en Mongolie, Chine, Moyen-Orient etc.

Vous savez que pour chaque IP impliquée, écrire à abuse@hebergeur-concerné.com est chronophage et bien souvent n'a aucun effet (sourtout quand les serveurs sont hébergés par des compagnies qui n'en n'ont rien à faire). Du coup, peu de webmasters / hébergeurs le font.

Et là BINGO ! vous tombez sur des logs d'un lamer qui s'attaque à vos services (formulaires, sites web etc.). Extrait :
xx.xx.244.183 - - [25/May/2015:01:47:53 +0200] "GET /../.ini HTTP/1.1" 400 166 "-" "-"
xx.xx.244.183 - - [25/May/2015:01:47:54 +0200] "GET /../.old HTTP/1.1" 400 166 "-" "-"
xx.xx.244.183 - - [25/May/2015:01:37:35 +0200] "GET /referencement-seo-site-internet-../.../.././../.../.././../.../.././../.../.././../.../.././../.../.././etc/passwd.html HTTP/1.1" 400 166 "-" "-"
vous indiquant que l'IP est celle d'un abonné à un FAI français Hostname : xxx.xxx.92.79.rev.sfr.net et qui joue les "hackers" bien au chaud depuis chez lui pensant que personne ne s'en rendra compte.

Manque de bol, toute son activé (pages visitées, IP, horodatage, tentatives de hack etc) a soigneusement été tracée.

Concrètement vous avez deux possibilités :

La première que je vous déconseille fortement serait de répondre à une attaque par une contre attaque, mais vous n'avez plus 12 ans
La deuxième que je vous conseille vivement consiste à alerter les services de cybercriminalité et déposer plainte, ne riez pas ça fonctionne très bien et ça peut vous rapporter ! Car c'est un client que vous n'aurez pas eu à démarcher il vous est tombé du ciel dans les bras.

En effet, outre le fait de se faire condamner pour cybercriminalité, vous pouvez chiffrer le préjudice subit, les éventuels dommages causés, et toutes autres conséquences (perte de temps pour vérification de l'intégrité des sites hébergés ainsi que des données, pertes d'argent, perte de crédibilité auprès des internautes ou de vos clients, atteinte à votre image etc.) et demander à être indemnisé.

Vous pouvez même utiliser le jugement comme référence pour avoir fait condamné tel ou tel agissement.

Procédure :

1. Récolter toutes les traces de l'activité suspecte (même si vous savez qu'il est coupable, il est présumé innocent tant que la justice ne l'aura pas déclaré coupable). Vous devrez fournir sur format numérique (cd, clef USB) ces logs / éléments preuve.

2. Récupérez l'adresse physique de votre serveur (demandez à votre hébergheur : adresse datacenter, baie, etc. la majeure partie est présente dans votre manager.) Cet élément est indispensable en cas de réquisition (dérackage) du serveur.

3. Preuve que vous êtes l'hébergeur (contrat, factures de location du serveur). En effet, vous louez du matériel (hardware / bande passante) auprès de votre hébergeur, mais vous hébergez la partie logiciel (software).

3. Lister et chiffrer tous les préjudices subis

4. Déposer plainte :

C'est l'emplacement de votre machine qui détermine quel service contacter.

Pour Paris et sa petite couronne, vous devez alerter la BEFTI :
122/126, rue du Château des Rentiers, 75 013 Paris.
Standard : 01.55.75.26.19 - Email : pppj-befti-gestion@interieur.gouv.fr

Pour des machines hébergées ne relevant pas de la BEFTI, vous devez vous adresser au ICC (Investigateur en Cyber Criminalité) de votre SRPJ (Service Régional de Police Judicière).

Vous pouvez également vous adresser à l'Office Central de Lutte contre la Criminalité liée aux Technologies de l'Information et de la Communication (OCLCTIC) :
101 rue des Trois Fontanot, 92000 Nanterre
Standard : 01.49.27.49.27

Un seul combat est perdu d’avance, celui auquel on renonce. Si la cybercriminalité est un passe-temps pour certains, c'est une véritable menace pour d'autres, mettant en péril des centaines, voire des milliers d'heures de travail.

Prémunissez-vous des attaques en sécurisant vos serveurs, en effectuant des backups réguliers, en analysant régulièrement vos logs et signalez systématiquement toute activité suspecte.