L'épisode n°350 du podcast NoLimitSecu paru en janvier 2022 porte sur la gestion de crise suite à une infection du système d'information par un rançongiciel.
Dans ce podcast, différents intervenants nous partagent leurs expériences en gestion de crise suite à l'infection d'entreprises par un rançongiciel. Ces retex sont très intéressants et permettent de se faire une idée des difficultés de l'intervention et de la méthodologie de "résolution" d'une telle crise. Il est d'ailleurs rappelé dans ce podcast la différence entre incident et crise :
La crise c'est quand ce n'est pas écrit dans les bouquins [...] il n'y a pas de plan, on doit improviser. [...] Alors que l'incident est quelque chose pour lequel on a un playbook, on sait quoi faire.
L'intervenant Jérôme Saiz met notamment en avant qu'aujourd'hui, "la compromission par un ransomware n'est plus une maladie honteuse". Ce fait facilite la communication et l'appel à des intervenants en gestion de crise ainsi que l'anticipation d'une telle crise.
Jérôme SAIZ est consultant en protection des entreprises et fondateur de la société OPFOR Intelligence, où il accompagne les entreprises dans la gestion des crises cyber. Il intervient également en tant que Crisis Manager & Incident Handler CERT-Intrinsec.
Jusqu'à présent, pour 90% des victimes de ransomware, c'est 8-10j de blackout pour l'entreprise
Ce podcast permet de mettre la lumière sur les conditions, les difficultés et l'ambiance générale d'une crise dans une entreprise victime d'une attaque par ransomware. On y apprend également quelques éléments importants sur la communication qui doit être faite sur la crise en elle-même. D'après les intervenants du podcast, la priorité en termes de communication est la communication interne, celle envers les salariés qui peuvent se poser des questions sur la survie de l'entreprise et les répercussions sur leur emploi. Vient ensuite la communication envers les partenaires, notamment ceux qui ont des interconnexions avec le SI infecté. Dans les premiers instants de la gestion de crise, la communication vers le grand public est, elle, secondaire.
En écoutant ces différents retours d'expérience, plusieurs points clés sont à retenir et permettent d'avoir une meilleure idée de comment agir et réagir si vous devez être confronté à une telle crise. Parmi les autres sujets abordés dans ce podcast :
la composition de la cellule en charge de la résolution de la crise;
l'importance de corréler les attentes pour éviter les tensions et justifier les décisions urgentes;
les différents niveaux de temporalité et les jalons de la résolution d'une crise;
le paiement des rançons est-il fréquent ?
lorsque paiement il y a, quels sont les résultats ?
l'action et l'intérêt des cyberassurances;
l'intérêt de la décorrélation entre l'AD/le SI bureautique et les systèmes d'administration et de sauvegarde;
les conditions posées par les partenaires interconnectés au SI pour redémarrer une collaboration et une interconnexion avec le système compromis.
Les intervenants proposent notamment 3 points pouvant être anticipés et préparés en amont d'une telle crise :
Cartographier les principaux processus métier et les traduire en cartographie système. Par exemple : quels systèmes interviennent dans le processus de paiement des salariés ?
S'entrainer à la gestion de crise.
Se poser la question suivante en amont d'une crise : "il n'y a plus de système d'information, qu'est ce que l'on fait ?" et ne pas considérer cette question comme très improbable, voire fantaisiste.
Désormais hors ligne, le service VPN qui se cache derrière VPNLab.net était exploité par des hackers qui l'utilisaient afin de mener à bien des attaques contre des entreprises, notamment pour déployer des ransomwares.
Ce mardi 18 janvier 2022, Europol, l'agence de police de l'UE, a annoncé avoir démantelé l'infrastructure du service VPNLab.net. Résultat, au moins 15 serveurs ont été saisis en Europe et en Amérique du Nord par les enquêteurs, et le site a été mis hors ligne. Désormais, il est remplacé par cette page :
Même si les auteurs des attaques et du service VPNLabs.net sont toujours en liberté, la police va pouvoir analyser le contenu des serveurs à la recherche d'informations utiles dans le cadre de cette enquête.
Europol justifie cette décision, car ce "fournisseur VPN était utilisé pour soutenir des actes criminels graves tels que le déploiement de rançongiciels et autres activités cybercriminelles". Dans la pratique, les hackers utilisaient ce service VPN en souscrivant un abonnement à 60 dollars par an pour ensuite réaliser leurs attaques informatiques sans être détectés par les autorités.
Ce qui différencie ce service VPN des autres services VPN grand public, c'est que celui-ci est imaginé pour un usage illicite. De ce fait, il multiplie d'autant plus les rebonds entre les serveurs afin que ce soit difficile de remonter jusqu'à la source, et plusieurs couches de chiffrement sont utilisées. Même si les performances sont forcément impactées, cela reste très intéressant pour les hackers.
Suite à cette enquête, Europol affirme que plus de 100 entreprises ont été identifiées comme étant exposées à des cyberattaques. Désormais, un travail va être effectué avec les entreprises identifiées afin d'éviter que le pire se produise. Jusqu'ici, il y aurait eu plus de 150 victimes d'attaques par ransomware via ce réseau VPN.
Si vous avez un NAS Synology, de l'espace disque inutilisé, et un tenant Office 365 / Microsoft 365, alors ce tutoriel devrait vous intéresser. En effet, nous allons voir comment utiliser un NAS Synology pour sauvegarder les données Office 365 à l'aide du paquet gratuit Active Backup for Microsoft 365.
Lorsque l'on utilise Office 365 pour son entreprise ou son établissement scolaire, c'est un peu risqué de compter uniquement sur Microsoft pour la sauvegarde des données. Vous allez me dire, pourquoi ? Et bien, Microsoft sauvegarde bien vos données (et le stockage est redondé), ce n'est pas le problème, mais la période de conservation par défaut est de seulement 30 jours. Par exemple, lorsqu'un fichier est supprimé de OneDrive, il est récupérable pendant 30 jours suite à sa suppression.
Pour mettre en place une véritable politique de sauvegardes de ses données stockées dans le Cloud Microsoft, soit vers un autre Cloud ou vers son infrastructure on-premise, on peut s'appuyer sur différents outils disponibles sur le marché.
Pour en citer quelques-uns : Veeam Backup for Microsoft 365, AvePoint Microsoft 365 Backup, ou encore Acronis Cyber Backup. Ce qui peut différencier ces solutions, c'est leur capacité à sauvegarder les différents éléments, notamment au sein des équipes Teams qui contiennent énormément d'informations.
Aujourd'hui, je vais vous parler d'Active Backup for Microsoft 365, disponible gratuitement sur les NAS Synology et qui va permettre de sauvegarder un bon nombre d'éléments. En effet, vous pouvez sauvegarder les boîtes aux lettres, les contacts, les calendriers, ainsi que les espaces de stockage OneDrive et SharePoint. Puisque Teams stockent ses fichiers dans des sites SharePoint, ces données peuvent être sauvegardées avec cet outil.
Note : la solution proposée par Synology prend en charge les différents plans de licences, aussi bien Business, Enterprise que Education.
La présentation étant faite, nous allons pouvoir passer à la partie pratique. Je pars du principe que vous disposez déjà d'un tenant Office 365 et que votre NAS Synology est déjà en place avec un partage (qui sera utilisé pour stocker les sauvegardes). Mon NAS Synology tourne sous DSM 7 (mais ce paquet existe sur les versions précédentes).
Si vous avez besoin d'aide pour créer votre tenant Office 365, vous pouvez suivre ce tutoriel :
II. Installation d'Active Backup for Microsoft 365
La première étape consiste à installer le paquet "Active Backup for Microsoft 365" à partir du Centre de paquets de DSM. Il suffit de rechercher le paquet et de cliquer sur le bouton "Installer".
Installation du paquet Active Backup for Microsoft 365
Un assistant va s'exécuter. Il est nécessaire d'activer le paquet à l'aide d'un compte Synology (gratuit) alors cliquez sur le bouton "Activer".
Acceptez la "Déclaration de confidentialité" et connectez-vous avec votre compte Synology, ou créez un compte le cas échéant. Lors de la création du compte, un code de sécurité est envoyé sur l'adresse e-mail renseignée.
Après s'être connecté avec un compte Synology, le paquet est activé. C'est tout bon.
Passons à la seconde étape, qui est de loin la plus technique : l'inscription de l'application Azure pour Active Backup.
III. Inscrire l'application Azure pour Synology
L'inscription d'une nouvelle application au sein d'Azure peut être effectuée à partir du portail d'administration d'Azure, à coup de clics. Pour simplifier l'inscription de l'application conformément aux prérequis de Synology, notamment pour attribuer les bonnes autorisations, le fabricant fournit un script PowerShell nommé "AppGenerator.ps1".
Commencez par télécharger le script via ce lien officiel : AppGenerator.ps1
Ce script est clean et il va réaliser différentes actions, notamment l'inscription d'une application, l'ajout des autorisations et la génération d'un certificat pour l'authentification.
Note : si le module AzureAD n'est pas présent sur votre machine, le script va l'installer.
Ouvrez une console Windows PowerShell en tant qu'administrateur. Commencez par définir la politique d'exécution PowerShell sur "RemoteSigned" uniquement pour le processus en cours (cette console). Ce script est signé par Synology.
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
Ensuite, déplacez-vous dans le dossier où se situe le script AppGenerator.ps1 que vous venez de télécharger. Pour ma part, c'est dans le dossier "C:\TEMP".
cd C:\TEMP\
Enfin, il ne reste plus qu'à exécuter le script :
.\AppGenerator.ps1
Confirmez que vous souhaitez exécuter le script signé par Synology Inc en précisant "O" puis Entrée.
Exécution du script AppGenerator.ps1 de Synology
Au début de l'exécution du script, le message "Before generating your Azure AD application, please enter a password you wish to use to protect the certificate" s'affiche. Vous devez préciser un mot de passe qui va servir à protéger le certificat (pour la clé privée).
Ensuite, il faut s'authentifier auprès de votre environnement Office 365 avec un compte administrateur afin que le script puisse inscrire l'application.
À la fin, le message "Congratulations! Your Azure application has been successfully generated" s'affiche : tout s'est bien passé. Il faut noter les valeurs de "Tenant ID" et "Application ID" car nous en aurons besoin dans un second temps. Le certificat au format PFX est disponible dans le répertoire courant du script.
Remarque : ces valeurs sont récupérables à tout moment à partir du portail Azure.
Script AppGenerator de Synology pour la sauvegarde Office 365
Au sein du portail Azure AD, si vous allez dans "Azure Active Directory" puis "Inscriptions d'applications", vous pouvez retrouver l'application "Microsoft 365 Backup" correspondante à Active Backup. Pour gagner du temps, vous pouvez cliquer sur le lien qui s'affiche en jaune dans la console PowerShell (voir ci-dessus).
Dans la section "API autorisés", cliquez sur le bouton "Accorder un consentement d'administrateur pour IT-Connect" et validez pour approuver les autorisations.
Application "Microsoft 365 Backup" générée par Synology
Suite à cette action, tous les voyants passent au vert au niveau de la colonne "Statut", comme ceci :
L'application est prête ! Nous allons pouvoir sauvegarder les données de notre tenant Office 365 !
IV. Sauvegarder les données Office 365 sur le NAS Synology
La suite du tutoriel va se dérouler via DSM et l'application Active Backup for Microsoft 365. Démarrez l'assistant de création de tâche s'il ne se lance pas tout seul... Et sélectionnez "Créer une nouvelle tâche de sauvegarde".
Active Backup for Microsoft 365 - Créer une nouvelle tâche de sauvegarde
La première étape consiste à indiquer les informations liées à l'application inscrite dans Azure AD afin d'établir la communication avec votre tenant. Voici comment remplir les champs :
Point de terminaison Microsoft 365 : choisissez "Microsoft 365"
Adresse e-mail de l'admin du domaine : indiquez l'adresse e-mail du compte administrateur
ID du locataire : l'ID de votre tenant, correspondant à la valeur "Tenant ID" récupérée à la fin du script
ID de l'application : l'ID de votre application, correspondant à la valeur "Application ID" récupérée à la fin du script
Fichier du certificat : cliquez sur "Charger" afin de sélectionner le certificat au format PFX généré par le script
Mot de passe du certificat : précisez le mot de passe de la clé privée du certificat, c'est-à-dire le mot de passe spécifié précédemment lors de l'exécution du script
Cliquez sur "Suivant".
Ensuite, d'autres champs sont à renseigner :
Nom de la tâche : nommez cette tâche, tout simplement, pour ma part ce sera "Tenant-IT-Connect.tech"
Destination de la sauvegarde : vous devez sélectionner le partage dans lequel seront stockées les sauvegardes Office 365
Liste des sauvegardes : en cliquant sur le bouton "Modifier", vous pouvez choisir les éléments à sauvegarder pour chaque compte Office 365
Enfin, l'option "Activer Active Backup for Microsoft 365 Portal" permet d'ouvrir le portail de restauration des données à vos utilisateurs. Les droits d'accès à ce portail sont à gérer dans un second temps. Pour ma part, je n'active pas ce portail.
Note : à partir du "Panneau de configuration" puis "Privilèges d'application", vous pouvez attribuer des droits au portail Active Backup à tout moment.
En cliquant sur le bouton "Modifier", vous pouvez sélectionner ce que vous souhaitez sauvegarder ou non. Sur l'image ci-dessous, la colonne "Disque" correspond à l'espace OneDrive de l'utilisateur. Pour le reste, c'est explicite.
Vous pouvez naviguer entre les utilisateurs, les groupes et les sites (SharePoint et donc aussi les équipes Teams) en cliquant sur les trois liens en haut à gauche. Lorsque la sélection est effectuée, cliquez sur "OK".
Active Backup for Microsoft 365 : choix des éléments à sauvegarder
Poursuivez... voici l'étape "Activer les services de découverte automatique". En fait, cela permet de choisir ce qu'il faudra sauvegarder pour tous les nouveaux utilisateurs, groupes et sites créés par la suite. De cette façon, les nouveaux objets seront ajoutés à la tâche de sauvegarde automatiquement selon cette configuration.
Désormais, il faut planifier la sauvegarde. Lorsque l'option "Sauvegarde continue" est choisie, l'application "surveille" continuellement l'activité de vos utilisateurs afin de sauvegarder les nouveaux fichiers ou les fichiers modifiés. L'option "Sauvegarde manuelle" nécessite que la sauvegarde soit déclenchée manuellement à partir de l'interface DSM, tandis que l'option "Sauvegarde programmée" permet de planifier la sauvegarde : une seule fois, tous les week-ends, un jour sur deux, tous les lundis, tous les jours, etc... En fonction de ce que vous souhaitez, à une heure spécifique.
Active Backup for Microsoft 365 : planifier la sauvegarde
Quant à la conversation des versions de fichiers, soit vous pouvez conserver toutes les versions (attention à l'espace disque...), soit vous pouvez déterminer le nombre de jours pendant laquelle une version précédente est conservée. Je vous invite à lire l'explication ci-dessous pour bien comprendre ce principe qui s'applique sur chaque fichier.
Cliquez sur "Suivant" lorsque vous avez fait votre choix. Le récapitulatif s'affiche, cliquez sur "Effectué". L'application vous demande si vous souhaitez exécuter la sauvegarde dès maintenant, ou attendre la prochaine planification.
Je tiens à préciser que vous pouvez revenir sur votre configuration à tout moment pour apporter des modifications à la tâche. Il suffit de sélectionner la tâche puis de cliquer sur "Modifier".
Lorsque la tâche est en cours, vous pouvez suivre la progression depuis l'interface Active Backup for Microsoft 365.
La vue d'ensemble fait office de tableau de bord et elle ne devrait pas dépayser les personnes habituées à utiliser les applications de la suite Active Backup. Vous pouvez visualiser le nombre de comptes protégés par service (Disque, Courrier, etc.), ainsi que l'espace disque utilisé par service et par utilisateur.
Tableau de bord Active Backup for Microsoft 365
Maintenant, si l'on bascule sur l'explorateur de fichiers de DSM, c'est-à-dire "File Station", on peut regarder à quoi ressemblent les données sauvegardées.
Les données sauvegardées sont stockées à la racine du partage dans un dossier nommé "ActiveBackupForMicrosoft365" avec un sous-dossier par tâche. Certains éléments ne sont pas visibles directement, notamment les e-mails, par contre les fichiers sont consultables en parcourant l'arborescence de la sauvegarde.
Voici un exemple des données sauvegardées à partir de l'onglet "Fichiers" du canal "Général" de l'équipe Teams "Redacteurs" de mon tenant.
Aperçu des données sauvegardées avec Active Backup for Microsoft 365
À partir de l'application "Active Backup for Microsoft 365" vous pouvez créer d'autres tâches de sauvegarde, mais aussi accéder au "Journal" afin de garder un oeil sur les actions réalisées (tâche créée, sauvegarde effectuée, données restaurées, etc.), sous la forme d'un log.
V. Restaurer les données avec Active Backup for Microsoft 365
Pour finir ce tutoriel, je vais vous parler de la restauration des données à partir d'Active Backup for Microsoft 365. Pour cela, il faut utiliser l'icône nommée "Active Backup for Microsoft 365 Portal" : un nouvel onglet va s'ouvrir.
En tant qu'administrateur du NAS, on peut accéder à toutes les données sauvegardées. Pour naviguer entre les comptes utilisateurs, les tâches (si vous en avez plusieurs) et les types de contenu, il faut utiliser les boutons en haut à droite. Par exemple, en cliquant sur "Rôle de l'affichage", vous allez pouvoir choisir le compte afin de voir les données sauvegardées pour ce compte.
Si l'on prend l'exemple d'un fichier que l'on souhaite restaurer, il suffit de le sélectionner et de cliquer sur "Restaurer".
Restauration d'un fichier OneDrive avec Active Backup for Microsoft 365
Le fichier sera restauré au sein du OneDrive de l'utilisateur dans un dossier nommé "Restore_<date>_<heure>" (ou à l'emplacement d'origine selon le choix effectué au moment de restaurer).
Maintenant, si l'on souhaite restaurer un autre élément, par exemple un e-mail, il faut changer de type de contenu, car par défaut, ce sont les fichiers qui sont sélectionnés. Il faut cliquer sur le bouton avec 4 carrés en haut à droite, puis choisir "Courrier".
Ensuite, l'e-mail à restaurer doit être sélectionné et la restauration pourra être lancée, sur le même principe que pour un fichier. Pour l'e-mail, vous pouvez décider d'effectuer la restauration dans le dossier d'origine, en écrasant l'e-mail s'il existe ou en ignorant en cas de conflit, sinon il est possible de restaurer dans un dossier spécifique à la restauration. Ce dossier sera créé automatiquement et visible par l'utilisateur via Outlook ou tout autre client de messagerie. Il portera le nom "Restore_Inbox_<date>_<heure>". Cette option est pratique si vous avez besoin de restaurer de nombreux e-mails, cela permettra à l'utilisateur de récupérer ce dont il a besoin à partir des éléments restaurés.
Restauration d'un e-mail avec Active Backup for Microsoft 365
Voilà, vous savez désormais installer et configurer Active Backup for Microsoft 365 sur votre NAS Synology pour protéger les données de votre tenant Office 365 !
Microsoft continue d'intégrer de nouvelles fonctionnalités à Teams dans le but d'améliorer l'expérience utilisateur, mais aussi de répondre à des besoins spécifiques. Deux nouveautés sont imminentes : la fonction Talkie-Walkie et le mode muet pour les réunions.
Annoncée en janvier 2020, la fonction Talkie-Walkie de Teams va enfin être déployée sur les applications mobiles, sur Android et iOS. En menant une étude, Microsoft s'est rendu compte qu'il y avait de plus en plus de travailleurs sur le terrain qui utilisaient les applications conçues initialement pour être utilisés au bureau, comme Teams. De ce fait, Microsoft souhaite leur apporter la fonction Talkie-Walkie pour faciliter les échanges au quotidien. Afin de renforcer l'intégration, certains appareils vont intégrer un bouton physique "push to talk" (appuyer pour parler) afin de reproduire l'expérience d'un véritable Talkie-Walkie. Plusieurs fabricants de smartphones sont déjà sur le coup : Zebra, Crosscall et HMD Global. Bien sûr, cette fonction nécessite l'utilisation du réseau de données mobiles ou du WiFi pour fonctionner.
Ensuite, une seconde fonctionnalité qui permettrait de couper le son des notifications pendant une réunion devrait voir le jour en février. Grâce à cette légère amélioration, les utilisateurs ne seront plus déconcentrés par le bruit des notifications pendant qu'une réunion est en cours. Cette option sera activable sur toutes vos réunions, ou alors seulement sur une réunion spécifique (ce sera intégré directement dans les réglages de Teams). Cette fonction a été ajoutée à la feuille de route de Teams assez récemment, suite aux remontées de nombreux utilisateurs qui jugent ces notifications pénibles et distrayantes.
Enfin, il ne faut pas oublier une troisième nouveauté qui pourrait intéresser certains utilisateurs : la possibilité de communiquer entre Teams pour les particuliers et Teams "Pro", via la fonction de chat uniquement (pour l'instant en tout cas). Le déploiement de cette fonctionnalité est en cours, et elle sera activée par défaut sur les tenants Office 365 / Microsoft 365. A partir du centre d'administration Teams (ou de PowerShell), l'option pourra être désactivée.
Google souhaite renforcer la sécurité de son navigateur Chrome en empêchant les sites Web d'accéder aux ressources situées sur votre réseau local, pour une raison évidente de sécurité. Voici ce qu'il faut savoir au sujet de cette nouveauté.
Afin de lutter contre les intrusions effectuées à partir du navigateur, Google Chrome va intégrer une nouvelle fonctionnalité de sécurité qui va empêcher les sites Web, c'est-à-dire les sites publics, d'accéder directement aux ressources situées sur le réseau local (ou privé) auquel est connectée la machine de l'utilisateur.
L'intégration de cette nouvelle fonctionnalité va être réalisée en deux temps. Une première phase d'intégration sera effectuée à l'occasion de la sortie de Chrome 98, avant une intégration définitive au sein de Chrome 101. Pour rappel, Chrome est aujourd'hui en version 97. Une nouvelle spécification W3C baptisée PNA pour Private Network Access sera implémentée à cette occasion.
Comme l'explique l'équipe de Google, lorsqu'un site Web souhaitera accéder à des ressources situées sur un réseau privé, une demande de contrôle CORS sera envoyée afin de demander une autorisation explicite. Pour être précis, un nouvel en-tête "Access-Control-Request-Private-Network : true" sera ajouté et il attendra une réponse sous la forme "Access-Control-Allow-Private-Network : true". Google précise que ce mécanisme de sécurité permettra de protéger les utilisateurs contre les attaques de type CSRF.
Au sujet des demandes de contrôle CORS, voici ce que dit le site de Mozilla : Le "Cross-origin resource sharing" (CORS) ou "partage des ressources entre origines multiples" est un mécanisme qui consiste à ajouter des en-têtes HTTP afin de permettre à un agent utilisateur d'accéder à des ressources d'un serveur situé sur une autre origine que le site courant.
Concrètement, à partir de Chrome 101, tout site Web (accessible via Internet) devra demander l'autorisation explicite au navigateur avant de pouvoir accéder aux ressources du réseau interne, via ce mécanisme de sécurité "PNA". La sortie en version stable de Chrome 101 est prévue pour le 26 avril 2022, d'après la feuille de route officielle.
