{"id":42785,"date":"2024-04-04T12:50:47","date_gmt":"2024-04-04T16:50:47","guid":{"rendered":"https:\/\/www.canarie.ca\/?post_type=document&#038;p=42785"},"modified":"2024-04-04T15:48:25","modified_gmt":"2024-04-04T19:48:25","slug":"recover-a-hacked-instance","status":"publish","type":"document","link":"https:\/\/www.canarie.ca\/fr\/document\/recover-a-hacked-instance\/","title":{"rendered":"Restauration d\u2019une instance pirat\u00e9e"},"content":{"rendered":"\n<h1 class=\"wp-block-heading\"><strong><strong>Nous a-t-on pirat\u00e9s?!?<\/strong><\/strong><\/h1>\n\n\n\n<p>Une cyberattaque peut s\u2019av\u00e9rer dramatique pour n\u2019importe quelle organisation. C\u2019est pourquoi, il est capital de conna\u00eetre les mesures \u00e0 prendre et les programmes vers lesquels on peut se tourner pour prot\u00e9ger une instance ou la restaurer, advenant le cas o\u00f9 elle aurait \u00e9t\u00e9 compromise. Dresser un plan est crucial \u2013 nous nous concentrerons donc ici sur la <em>pr\u00e9paration<\/em>. En effet, il sera difficile de savoir qu\u2019une instance a \u00e9t\u00e9 pirat\u00e9e si aucun plan n\u2019a \u00e9t\u00e9 \u00e9tabli au pr\u00e9alable. Disposer d\u2019un plan signifie qu\u2019on pourra revenir rapidement et ais\u00e9ment \u00e0 un stade ant\u00e9rieur, de pr\u00e9f\u00e9rence en sachant d\u2019o\u00f9 venait l\u2019attaque.<\/p>\n\n\n\n<h5 class=\"wp-block-heading\">J&rsquo;ai juste besoin de savoir comment r\u00e9cup\u00e9rer mon instance OpenStack<a href=\"#openstack\">.<\/a><\/h5>\n\n\n\n<p><\/p>\n\n\n\n<h2 class=\"wp-block-heading\">D\u00e9tection d\u2019un incident<\/h2>\n\n\n\n<p>Supposons que vous avez not\u00e9 des activit\u00e9s inattendues ou suspectes sur l\u2019instance, voire que l\u2019\u00e9quipe des administrateurs de l\u2019ATIR vous ait signal\u00e9 la possibilit\u00e9 d\u2019un incident. Le moment est venu pour vous de passer \u00e0 l\u2019action. Deux mesures essentielles confirmeront vite si un compte a \u00e9t\u00e9 compromis et vous permettront de l\u2019identifier&nbsp;: (1) un contr\u00f4le des utilisateurs et (2) une v\u00e9rification du syst\u00e8me.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">1.&nbsp;&nbsp; Contr\u00f4le des utilisateurs<\/h3>\n\n\n\n<p>Demandez-vous ce qui suit.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Se passe-t-il quelque chose d\u2019anormal?<\/li>\n\n\n\n<li>Des permissions \u00e9tranges se sont-elles ajout\u00e9es aux programmes?<\/li>\n\n\n\n<li>Un compte a-t-il tent\u00e9, en vain, de prendre le contr\u00f4le avec une commande comme sudo?<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading has-cyan-color has-text-color has-link-color wp-elements-d19d21a031b7a49c0f0261380a864ac5\" style=\"font-style:normal;font-weight:700\">Commandes utiles:<\/h4>\n\n\n\n<figure class=\"wp-block-table is-style-stripes\"><table class=\"has-dark-grey-color has-light-cyan-background-color has-text-color has-background has-link-color\"><thead><tr><th class=\"has-text-align-left\" data-align=\"left\">Function<\/th><th>Command<\/th><\/tr><\/thead><tbody><tr><td class=\"has-text-align-left\" data-align=\"left\">Qui est connect\u00e9?<\/td><td><kbd>$ who<\/kbd><\/td><\/tr><tr><td class=\"has-text-align-left\" data-align=\"left\">Pour v\u00e9rifiez les permissions associ\u00e9es au programme et la derni\u00e8re fois que les permissions ont \u00e9t\u00e9 modifi\u00e9es (remplacez \/var\/log par le chemin \u00e0 v\u00e9rifier).<\/td><td><kbd>$ sudo ls -lc \/var\/log<\/kbd><\/td><\/tr><tr><td class=\"has-text-align-left\" data-align=\"left\">Pour gardez la liste des modifications apport\u00e9es aux permissions.<\/td><td><kbd>$ sudo auditctl -w \/var\/www\/foo -p a<\/kbd><\/td><\/tr><tr><td class=\"has-text-align-left\" data-align=\"left\">Pour l\u2019installer&nbsp;Auditd<\/td><td><kbd>$ sudo apt update &amp;&amp; sudo apt install auditd<\/kbd><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p>Les modifications apport\u00e9es aux attributs seront enregistr\u00e9es.&nbsp;<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>-w&nbsp; signifie \u00ab&nbsp;surveiller le fichier ou le r\u00e9pertoire&nbsp;\u00bb<\/li>\n\n\n\n<li>-p a&nbsp; signifie \u00ab&nbsp;suivre les modifications apport\u00e9es au fichier des attributs&nbsp;\u00bb (permissions)<\/li>\n<\/ul>\n\n\n\n<p>Voici \u00e0 quoi ressemble le journal qu\u2019active cette commande.<\/p>\n\n\n\n<p><kbd>tail -f \/var\/log\/audit\/audit.log.<\/kbd><\/p>\n\n\n\n<p><kbd>type=SYSCALL msg=audit(1429279282.410:59): arch=c000003e syscall=268 success=yes exit=0<\/kbd><\/p>\n\n\n\n<p><kbd>a0=ffffffffffffff9c a1=23f20f0 a2=1c0 a3=7fff90dd96e0 items=1 ppid=26951 pid=32041<\/kbd><\/p>\n\n\n\n<p><kbd>auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts5<\/kbd><\/p>\n\n\n\n<p><kbd>ses=4294967295 comm=\"chmod\" exe=\"\/bin\/chmod\"<\/kbd><\/p>\n\n\n\n<p><kbd>type=CWD msg=audit(1429279282.410:59):&nbsp; cwd=\"\/root\"<\/kbd><\/p>\n\n\n\n<p><kbd>type=PATH msg=audit(1429279282.410:59): item=0 name=\"\/var\/www\/foo\" inode=18284 dev=00:13<\/kbd><\/p>\n\n\n\n<p><kbd>mode=040700 ouid=0 ogid=0 rdev=00:00<\/kbd><\/p>\n\n\n\n<p>Les deux derniers points sont des m\u00e9thodes couramment employ\u00e9es pour acc\u00e9der \u00e0 votre syst\u00e8me. L\u2019assaillant se connectera souvent en passant par des utilisateurs ou des services mal prot\u00e9g\u00e9s, puis en modifiera les autorisations pour s\u2019en accorder de plus grandes.<\/p>\n\n\n\n<div class=\"wp-block-columns is-layout-flex wp-container-core-columns-is-layout-9d6595d7 wp-block-columns-is-layout-flex\">\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:100%\">\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"409\" src=\"https:\/\/www.canarie.ca\/wp-content\/uploads\/2024\/04\/Ensure-all-users-are-using-SSH-Keys-5-1024x409.png\" alt=\"\" class=\"wp-image-42892\" srcset=\"https:\/\/www.canarie.ca\/wp-content\/uploads\/2024\/04\/Ensure-all-users-are-using-SSH-Keys-5-1024x409.png 1024w, https:\/\/www.canarie.ca\/wp-content\/uploads\/2024\/04\/Ensure-all-users-are-using-SSH-Keys-5-300x120.png 300w, https:\/\/www.canarie.ca\/wp-content\/uploads\/2024\/04\/Ensure-all-users-are-using-SSH-Keys-5-768x307.png 768w, https:\/\/www.canarie.ca\/wp-content\/uploads\/2024\/04\/Ensure-all-users-are-using-SSH-Keys-5.png 1483w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n<\/div>\n<\/div>\n\n\n\n<h3 class=\"wp-block-heading\">2.&nbsp;&nbsp; V\u00e9rifiez l\u2019utilisation du syst\u00e8me.<\/h3>\n\n\n\n<p>Des outils comme uptime ou top permettent de v\u00e9rifier la charge de l\u2019instance et d\u2019\u00e9tablir si certains services exploitent anormalement beaucoup de ressources. Le pirate cherchera \u00e0 dissimuler ses activit\u00e9s avec des services qui se fondent dans l\u2019environnement. Effectuez une recherche en ligne pour rep\u00e9rer les services qui ne vous paraissent pas familiers. Consid\u00e9rez comme suspects les services sur lesquels aucune source fiable ne peut vous renseigner. Le pirate pourrait vouloir utiliser les ressources de calcul (p.&nbsp;ex., minage des unit\u00e9s de traitement graphique) ou essayer de r\u00e9cup\u00e9rer des donn\u00e9es \u00e0 diverses fins (p.&nbsp;ex., ran\u00e7ongiciel).<\/p>\n\n\n\n<p>Pour ausculter le syst\u00e8me de fa\u00e7on dynamique et en temps r\u00e9el, utilisez la commande: <kbd>$ top<\/kbd><\/p>\n\n\n\n<p>Cliquez <a href=\"https:\/\/opensource.com\/article\/22\/3\/linux-top-command\">ici<\/a> pour en savoir plus (information en anglais seulement).<\/p>\n\n\n\n<p>Vous pouvez aussi v\u00e9rifier le fichier des utilisateurs autoris\u00e9s et d\u00e9terminer qui s\u2019est connect\u00e9 \u00e0 l\u2019instance ant\u00e9rieurement (p.\u00a0ex., avec la \u00a0commande <strong>last<\/strong> ou un journal comme \/var\/log\/auth.log). <em>Tout semble-t-il normal? Vous ne reconnaissez pas une nouvelle entr\u00e9e?<\/em> Ces signes pourraient indiquer que le syst\u00e8me a \u00e9t\u00e9 compromis.<\/p>\n\n\n\n<p><kbd>$ tail 1000f \/var\/auth\/log&nbsp;<\/kbd><br><\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Vous en avez donc la confirmation&nbsp;: votre syst\u00e8me \u00e0 \u00e9t\u00e9 pirat\u00e9\u2026<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Plan d\u2019intervention<\/h3>\n\n\n\n<p>L\u2019\u00e9tape suivante consiste \u00e0 limiter les d\u00e9g\u00e2ts et \u00e0 restaurer l\u2019instance \u00e0 un stade pr\u00e9c\u00e9dant le piratage. Pareille mesure gagnera en efficacit\u00e9 si elle a \u00e9t\u00e9 planifi\u00e9e et si on \u00e9pouse des principes de cybers\u00e9curit\u00e9 solides, qui vous faciliteront la t\u00e2che au cas o\u00f9 la s\u00e9curit\u00e9 du syst\u00e8me aurait \u00e9t\u00e9 compromise.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\">1.&nbsp;&nbsp;&nbsp;&nbsp; Isolez l\u2019instance.<\/h4>\n\n\n\n<p>Pour commencer, s\u00e9parez l\u2019instance de celles auxquelles elle pourrait \u00eatre connect\u00e9e ou avec lesquelles elle communique. Le pirate sait comment s\u2019en servir pour acc\u00e9der aux autres instances du r\u00e9seau. S\u2019il s\u2019agit d\u2019un ran\u00e7ongiciel, son auteur saura comme encrypter des \u00e9l\u00e9ments comme du stockage et des objets.<\/p>\n\n\n\n<p>Les premi\u00e8res mesures \u00e0 prendre quand une instance est compromise consistent \u00e0 la d\u00e9sactiver et \u00e0 signaler le probl\u00e8me \u00e0 l\u2019<a href=\"mailto:DAIR.admin@canarie.ca\"><strong>\u00e9quipe des administrateurs de l\u2019ATIR<\/strong><\/a> de CANARIE.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\"><a><\/a>2.&nbsp;&nbsp; V\u00e9rifiez les donn\u00e9es de l\u2019instance.<\/h4>\n\n\n\n<p>V\u00e9rifiez le jeu ou les bases de donn\u00e9es pour en d\u00e9terminer l\u2019authenticit\u00e9 et vous assurer que rien n\u2019a \u00e9t\u00e9 ajout\u00e9, supprim\u00e9 ou modifi\u00e9, de quelque fa\u00e7on que ce soit. Si vous parvenez \u00e0 \u00e9tablir quand les donn\u00e9es ont \u00e9t\u00e9 alt\u00e9r\u00e9es pour la premi\u00e8re fois, vous pourrez vous servir de cette information pour identifier la derni\u00e8re \u00ab&nbsp;sauvegarde s\u00fbre&nbsp;\u00bb qui servira de point de d\u00e9part \u00e0 la restauration.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\"><a><\/a>3.&nbsp;&nbsp; V\u00e9rifiez les copies de sauvegarde.<\/h4>\n\n\n\n<p>Vous aurez \u2013 nous l\u2019esp\u00e9rons \u2013 pris soin d\u2019effectuer fr\u00e9quemment des copies de sauvegarde, ce qu\u2019il est sage de faire. Trouvez la copie \u00ab&nbsp;s\u00fbre&nbsp;\u00bb la plus r\u00e9cente. Il vaut la peine de garder un \u0153il sur les copies de sauvegarde en r\u00e9serve. Si les donn\u00e9es sont sauvegard\u00e9es automatiquement tous les jours \u00e0 la m\u00eame heure, par exemple, assurez-vous que le timbre de l\u2019horodateur de la copie s\u00fbre la plus r\u00e9cente correspond bien \u00e0 l\u2019heure \u00e0 laquelle s\u2019effectuent normalement la sauvegarde. C\u2019est une bonne fa\u00e7on de v\u00e9rifier qu\u2019elle n\u2019a pas \u00e9t\u00e9 alt\u00e9r\u00e9e.<\/p>\n\n\n\n<p><a><\/a>Vous avez un doute? Supprimez l\u2019instance.<\/p>\n\n\n\n<p>Malheureusement, reb\u00e2tir l\u2019instance reste le meilleur moyen \u2013 le plus s\u00e9curitaire et aussi celui qu\u2019on recommande \u2013 de r\u00e9tablir la situation apr\u00e8s une cyberattaque. N\u00e9anmoins, si vous suivez les pratiques exemplaires et recourez \u00e0 la puissance de l\u2019infrastructure-service (IaaS), cela ne vous demandera que quelques minutes. En supprimant l\u2019instance puis en la red\u00e9ployant, vous att\u00e9nuerez consid\u00e9rablement les risques d\u2019une compromission, advenant le cas o\u00f9 le pirate aurait cr\u00e9\u00e9 une ou plusieurs portes d\u00e9rob\u00e9es pour acc\u00e9der au syst\u00e8me par la suite ou aurait introduit un logiciel malveillant qui ne pourra \u00eatre d\u00e9tect\u00e9 et qu\u2019il d\u00e9clenchera ult\u00e9rieurement.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Options de sauvegarde<\/h3>\n\n\n\n<p>\u00c9tant donn\u00e9 l\u2019importance des copies de sauvegarde apr\u00e8s une cyberattaque, nous examinerons maintenant quelques solutions souvent employ\u00e9es en infonuagique.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Sauvegarde des donn\u00e9es<\/h3>\n\n\n\n<p>On peut sauvegarder les donn\u00e9es de diverses mani\u00e8res et ainsi en garder une trace chronologique. La premi\u00e8re consiste \u00e0 g\u00e9rer les copies de sauvegarde comprim\u00e9es de la base de donn\u00e9es sur un volume distinct, s\u00e9curis\u00e9, ou sur un service de stockage quelconque (p.&nbsp;ex., S3). Une autre serait de cr\u00e9er des instantan\u00e9s du syst\u00e8me. Ces deux approches ont leurs avantages et leurs inconv\u00e9nients.<\/p>\n\n\n\n<p><a><\/a>Par \u00ab&nbsp;instantan\u00e9&nbsp;\u00bb, on entend l\u2019image du serveur \u00e0 un moment quelconque dans le temps. On pourra s\u2019en servir pour b\u00e2tir un second serveur, configur\u00e9 \u00e0 l\u2019identique, qui ex\u00e9cutera les m\u00eames fonctions que celles en activit\u00e9 au moment o\u00f9 l\u2019instantan\u00e9 a \u00e9t\u00e9 pris. C\u2019est pourquoi il importe d\u2019en garder plusieurs.<\/p>\n\n\n\n<p><strong><a href=\"https:\/\/docs.aws.amazon.com\/fr_fr\/ebs\/latest\/userguide\/ebs-creating-snapshot.html\">Songez \u00e0 configurer la prise automatique d\u2019instantan\u00e9s sur AWS<\/a><\/strong><\/p>\n\n\n\n<p>En conservant plusieurs instantan\u00e9s, vous pourrez revenir au moment que vous avez choisi dans le pass\u00e9, ce qui s\u2019av\u00e8rera extr\u00eamement utile une fois qu\u2019on aura \u00e9tabli la date \u00e0 laquelle l\u2019attaque est survenue.<\/p>\n\n\n\n<p>Un des principaux b\u00e9mols de l\u2019instantan\u00e9, contrairement aux copies de sauvegarde, est la probabilit\u00e9, nettement plus grande, que le maliciel ait d\u00e9j\u00e0 \u00e9t\u00e9 install\u00e9, donc que le probl\u00e8me ressurgisse. Parall\u00e8lement, l\u2019instantan\u00e9 \u00e9vite la r\u00e9installation et la reconfiguration du logiciel.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><a><\/a>Copies de sauvegarde externes<\/h3>\n\n\n\n<p><strong>Qu\u2019est-ce qui vaut mieux qu\u2019une bonne copie de sauvegarde?<\/strong> Plusieurs! Copiez toujours plusieurs fois vos images ou vos donn\u00e9es, et conservez-les ailleurs. Cette couche de protection suppl\u00e9mentaire s\u2019av\u00e8rera fort utile si jamais une panne majeure affecte votre fournisseur de services infonuagiques.<\/p>\n\n\n\n<p><strong>Et si le compte Administrateur \u00e9tait compromis dans AWS?<\/strong> La meilleure mani\u00e8re de garder vos donn\u00e9es \u00e0 l\u2019abri consiste \u00e0 conserver vos copies de sauvegarde chez un tiers.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><a><\/a>Restauration<\/h3>\n\n\n\n<p>Quand vous en saurez davantage sur ce qui a \u00e9t\u00e9 compromis et comment, d\u00e9bute la restauration. Tel qu\u2019indiqu\u00e9 plus haut, nous pr\u00e9conisons vivement de reb\u00e2tir l\u2019instance de z\u00e9ro, \u00e0 moins que vous soyez absolument certain de poss\u00e9der un instantan\u00e9 pr\u00e9c\u00e9dant la date o\u00f9 a eu lieu l\u2019attaque.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><a><\/a>Restauration \u00e0 partir des donn\u00e9es sauvegard\u00e9es<\/h3>\n\n\n\n<p>Si vous avez sauvegard\u00e9 vos donn\u00e9es, la restauration peut se faire par la cr\u00e9ation d\u2019une nouvelle instance, l\u2019installation et la configuration du logiciel puis la saisie des donn\u00e9es sauvegard\u00e9es. Les approches comme <a href=\"https:\/\/docs.aws.amazon.com\/fr_fr\/whitepapers\/latest\/introduction-devops-aws\/infrastructure-as-code.html\">l\u2019infrastructure-code<\/a> et la <a href=\"https:\/\/docs.docker.com\/develop\/dev-best-practices\/\">gestion de la configuration<\/a> vous faciliteront la t\u00e2che.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Restauration \u00e0 partir d\u2019un instantan\u00e9 AWS<\/h2>\n\n\n\n<p><a href=\"https:\/\/docs.aws.amazon.com\/fr_fr\/prescriptive-guidance\/latest\/backup-recovery\/restore.html\">https:\/\/docs.aws.amazon.com\/fr_fr\/prescriptive-guidance\/latest\/backup-recovery\/restore.html<\/a><\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><a><\/a>Restauration \u00e0 partir d\u2019un instantan\u00e9 dans OpenStack<\/h2>\n\n\n\n<p>Une autre fa\u00e7on de restaurer le syst\u00e8me consiste \u00e0 utiliser un instantan\u00e9 en suivant les six \u00e9tapes que voici dans OpenStack (pour ceux qui utilisent une unit\u00e9 de traitement graphique dans l\u2019ATIR).<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Cliquer <strong>Instances<\/strong> sur le panneau gauche et s\u00e9lectionner <strong>Lancer une instance<\/strong>.<\/li>\n<\/ol>\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"226\" src=\"https:\/\/www.canarie.ca\/wp-content\/uploads\/2024\/04\/OSInstance-1-1024x226.png\" alt=\"\" class=\"wp-image-42851\" srcset=\"https:\/\/www.canarie.ca\/wp-content\/uploads\/2024\/04\/OSInstance-1-1024x226.png 1024w, https:\/\/www.canarie.ca\/wp-content\/uploads\/2024\/04\/OSInstance-1-300x66.png 300w, https:\/\/www.canarie.ca\/wp-content\/uploads\/2024\/04\/OSInstance-1-768x169.png 768w, https:\/\/www.canarie.ca\/wp-content\/uploads\/2024\/04\/OSInstance-1-1536x339.png 1536w, https:\/\/www.canarie.ca\/wp-content\/uploads\/2024\/04\/OSInstance-1.png 1877w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n<\/div>\n\n\n<ol class=\"wp-block-list\" start=\"2\">\n<li>Saisir les param\u00e8tres (<strong>Details<\/strong>) de l\u2019instance.<\/li>\n<\/ol>\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"986\" height=\"624\" src=\"https:\/\/www.canarie.ca\/wp-content\/uploads\/2024\/04\/OS-Details.png\" alt=\"\" class=\"wp-image-42843\" srcset=\"https:\/\/www.canarie.ca\/wp-content\/uploads\/2024\/04\/OS-Details.png 986w, https:\/\/www.canarie.ca\/wp-content\/uploads\/2024\/04\/OS-Details-300x190.png 300w, https:\/\/www.canarie.ca\/wp-content\/uploads\/2024\/04\/OS-Details-768x486.png 768w\" sizes=\"auto, (max-width: 986px) 100vw, 986px\" \/><\/figure>\n<\/div>\n\n\n<ol class=\"wp-block-list\" start=\"3\">\n<li>Cliquer \u00ab&nbsp;suivant&nbsp;\u00bb (<strong>Next<\/strong>).<\/li>\n\n\n\n<li>Dans le menu d\u00e9roulant <strong>Select Boot Source<\/strong> (choisir la source de d\u00e9marrage), s\u00e9lectionner <strong>Instance Snapshot<\/strong> (instantan\u00e9 de l\u2019instance).<\/li>\n<\/ol>\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"379\" src=\"https:\/\/www.canarie.ca\/wp-content\/uploads\/2024\/04\/OS-Instance-snapshot-2-1024x379.png\" alt=\"\" class=\"wp-image-42853\" srcset=\"https:\/\/www.canarie.ca\/wp-content\/uploads\/2024\/04\/OS-Instance-snapshot-2-1024x379.png 1024w, https:\/\/www.canarie.ca\/wp-content\/uploads\/2024\/04\/OS-Instance-snapshot-2-300x111.png 300w, https:\/\/www.canarie.ca\/wp-content\/uploads\/2024\/04\/OS-Instance-snapshot-2-768x284.png 768w, https:\/\/www.canarie.ca\/wp-content\/uploads\/2024\/04\/OS-Instance-snapshot-2.png 1155w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n<\/div>\n\n\n<ol class=\"wp-block-list\" start=\"5\">\n<li>Choisir le bon instantan\u00e9 en cliquant le bouton avec la fl\u00e8che ascendante, \u00e0 droite.<\/li>\n<\/ol>\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1015\" height=\"598\" src=\"https:\/\/www.canarie.ca\/wp-content\/uploads\/2024\/04\/OS-Up-arrow-1.png\" alt=\"\" class=\"wp-image-42855\" srcset=\"https:\/\/www.canarie.ca\/wp-content\/uploads\/2024\/04\/OS-Up-arrow-1.png 1015w, https:\/\/www.canarie.ca\/wp-content\/uploads\/2024\/04\/OS-Up-arrow-1-300x177.png 300w, https:\/\/www.canarie.ca\/wp-content\/uploads\/2024\/04\/OS-Up-arrow-1-768x452.png 768w\" sizes=\"auto, (max-width: 1015px) 100vw, 1015px\" \/><\/figure>\n<\/div>\n\n\n<ol class=\"wp-block-list\" start=\"6\">\n<li>Cliquer <strong>Launch Instance<\/strong> (lancer l\u2019instance), en bas \u00e0 droite. L\u2019instance devrait revenir et d\u00e9marrer en l\u2019espace de quelques minutes.<\/li>\n<\/ol>\n\n\n\n<h1 class=\"wp-block-heading\">Pr\u00e9venir la perte des instances<\/h1>\n\n\n\n<p>Nous vous recommandons d\u2019adopter les trois mesure que voici pour \u00e9viter de perdre vos instances au d\u00e9part&nbsp;:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>ne pas utiliser de r\u00e8gle du genre 0.0.0.0\/0 avec les ports \u00e0 risque \u00e9lev\u00e9 comme ceux des protocoles RDP et SSH;<\/li>\n\n\n\n<li>ne pas autoriser les comptes qui donnent acc\u00e8s \u00e0 l\u2019instance gr\u00e2ce \u00e0 un mot de passe uniquement;<\/li>\n\n\n\n<li>effectuer une mise \u00e0 niveau et installer les rustines de s\u00e9curit\u00e9 tous les jours!<\/li>\n<\/ol>\n\n\n\n<p>La seule fa\u00e7on de cr\u00e9er un instance r\u00e9cup\u00e9rable consiste \u00e0 bien comprendre ce qu\u2019on installe et la mani\u00e8re dont on l\u2019a configur\u00e9. Avant de structurer votre environnement ou de cr\u00e9er un programme quelconque, il est fortement recommand\u00e9 de se demander comment quelqu\u2019un pourrait les d\u00e9molir.<\/p>\n\n\n\n<p>Pour vous aider, posez-vous les questions qui suivent.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Mon serveur est-il accessible au public?<\/strong><\/li>\n\n\n\n<li><strong>Qu\u2019est-ce que j\u2019utilise? Une base de donn\u00e9es? Un serveur Web?<\/strong><\/li>\n\n\n\n<li><strong>Le serveur est-il ouvert \u00e0 tous ou des mises \u00e0 niveau le s\u00e9curisent-elles?<\/strong><\/li>\n\n\n\n<li><strong>Comment devrais-je sauvegarder mon serveur?<\/strong><\/li>\n\n\n\n<li><strong>Comment devrais-je sauvegarder mes donn\u00e9es?<\/strong><\/li>\n\n\n\n<li><strong>Comment puis-je surveiller ce qui se passe sur mon serveur?<\/strong><\/li>\n<\/ul>\n\n\n\n<p>\u00c0 pr\u00e9sent, examinons quelques aspects fondamentaux de l\u2019instance qui vous aideront \u00e0 d\u00e9terminer si le syst\u00e8me a \u00e9t\u00e9 compromis ou pas.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><a><\/a>Journaux, SDI et SIEM<\/h2>\n\n\n\n<p>L\u2019instance cr\u00e9e plusieurs journaux dont on peut se servir pour suivre les activit\u00e9s qui s\u2019y d\u00e9roulent. Il est bon de les examiner r\u00e9guli\u00e8rement ou de faire appel \u00e0 d\u2019autres services comme un syst\u00e8me de d\u00e9tection des intrusions (SDI) ou un syst\u00e8me d\u2019information et de gestion des incidents en s\u00e9curit\u00e9 (SIEM) pour rep\u00e9rer et ma\u00eetriser les menaces.<\/p>\n\n\n\n<p>Les grands fournisseurs de services d\u2019infonuagique proposent leur propres solutions. <em>AWS\u2019 Detective service<\/em> en est un exemple. Rappelez-vous que l\u2019efficacit\u00e9 du SIEM ou du SDI d\u00e9pend de la mani\u00e8re dont ces services ont \u00e9t\u00e9 configur\u00e9s et de la r\u00e9gularit\u00e9 avec laquelle on en examine les journaux. Un peu de r\u00e9flexion et d\u2019efforts sont n\u00e9cessaires pour se doter d\u2019une telle protection. On se demandera donc si on surveille ce qu\u2019il faut afin de s\u2019assurer que les ressources disponibles sont exploit\u00e9es aussi efficacement que possible. Pour en apprendre davantage sur les SIEM ou les SDI, lisez la documentation du fournisseur, car chaque service est diff\u00e9rent.<\/p>\n\n\n\n<h1 class=\"wp-block-heading\"><a><\/a>Autres outils et techniques<\/h1>\n\n\n\n<p>Voici quelques derniers points \u00e0 prendre en compte, tant sur le plan de la pr\u00e9vention que pour d\u00e9tecter rapidement les activit\u00e9s anormales.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><a><\/a>Outils<a><\/a><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Logiciel pr\u00e9venant les intrusions<\/h3>\n\n\n\n<p>Les logiciels comme <em>fail2ban<\/em> surveillent les journaux pour d\u00e9tecter les attaques par bourrage de mots de passe ou force brute. Ils signalent les acc\u00e8s non autoris\u00e9s. Regardez le <a href=\"https:\/\/www.digitalocean.com\/community\/tutorials\/how-to-protect-ssh-with-fail2ban-on-ubuntu-20-04\">tutoriel de Digital Oceans<\/a> pour en savoir plus (en anglais seulement).<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><a><\/a>Logiciel de surveillance et d\u2019analyse<\/h3>\n\n\n\n<p>Les outils comme <a href=\"https:\/\/aws.amazon.com\/cloudwatch\/getting-started\/\">CloudWatch<\/a> et GuardDuty, disponibles sur la plateforme AWS, vous aideront \u00e0 suivre la situation et vous alerteront. Les solutions de ce genre signalent aussi les changements d\u2019\u00e9tat.<\/p>\n\n\n\n<p><a href=\"https:\/\/docs.aws.amazon.com\/fr_fr\/AWSEC2\/latest\/UserGuide\/monitoring-instance-state-changes.html\">https:\/\/docs.aws.amazon.com\/fr_fr\/AWSEC2\/latest\/UserGuide\/monitoring-instance-state-changes.html<\/a><\/p>\n\n\n\n<p>D\u2019autres outils comme <em>Grafana, Prometheus, Sensu <\/em>et <em>Nagios<\/em> v\u00e9rifieront l\u2019instance et vous permettront de d\u00e9tecter les activit\u00e9s inhabituelles. Ils peuvent suivre diverses choses comme le temps exploitable, la charge, les entr\u00e9es et les sorties, le trafic sur le r\u00e9seau et ainsi de suite. On recommande ce type de surveillance, car les probl\u00e8mes associ\u00e9s au serveur peuvent \u00eatre diagnostiqu\u00e9s plus facilement. Ces outils s\u2019installent vite et vous fourniront les preuves tangibles que vous avez \u00e9t\u00e9 attaqu\u00e9 ou pas.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><a><\/a>Techniques<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\"><a><\/a>Principe du plus petit privil\u00e8ge<\/h3>\n\n\n\n<p>Ce principe signifie que chaque utilisateur n\u2019a acc\u00e8s qu\u2019\u00e0 ce qui lui faut pour effectuer son travail, pas plus. L\u2019authentification pr\u00e9c\u00e8de l\u2019autorisation d\u2019acc\u00e9der \u00e0 des services sp\u00e9cifiques, r\u00e9serv\u00e9s \u00e0 ceux qui en ont strictement besoin.<\/p>\n\n\n\n<p><a href=\"https:\/\/repost.aws\/knowledge-center\/security-best-practices\">https:\/\/repost.aws\/knowledge-center\/security-best-practices<\/a> (en anglais)<\/p>\n\n\n\n<p><a href=\"https:\/\/blog.appsecco.com\/top-10-docker-hardening-best-practices-f16c090e4d59\">https:\/\/blog.appsecco.com\/top-10-docker-hardening-best-practices-f16c090e4d59<\/a> (en anglais)<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><a><\/a>Pare-feu et authentification<\/h3>\n\n\n\n<p>Un pare-feu bien configur\u00e9 et des m\u00e9thodes d\u2019authentification concourront sensiblement \u00e0 s\u00e9curiser l\u2019instance et \u00e0 la mettre \u00e0 l\u2019abri du piratage. Id\u00e9alement, on <strong>n\u2019utilisera jamais<\/strong> de r\u00e8gle ouverte du genre 0.0.0.0\/0 avec les protocoles SSH et RDP, ni avec les ports des bases de donn\u00e9es et des applications d\u2019administration sp\u00e9ciales.<\/p>\n\n\n\n<p>Pour restreindre les risques de piratage, on \u00e9tablira des r\u00e8gles IP pr\u00e9cises pour chaque administrateur.<\/p>\n\n\n\n<div class=\"wp-block-columns is-layout-flex wp-container-core-columns-is-layout-9d6595d7 wp-block-columns-is-layout-flex\">\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:66.66%\">\n<p>Regardez le <a href=\"https:\/\/www.canarie.ca\/document\/dair-advanced-cloud-security-tutorial\/\">tutoriel du Nuage de l\u2019ATIR sur la s\u00e9curit\u00e9<\/a> pour d\u2019autres conseils relatifs \u00e0 la s\u00e9curit\u00e9 sur une plateforme en nuage moderne. Vous y trouverez la description de nombreux outils et techniques comme l\u2019isolement du r\u00e9seau, l\u2019authentification et divers mod\u00e8les et architectures qui rendront votre instance aussi s\u00fbre que possible.<\/p>\n<\/div>\n\n\n\n<div class=\"wp-block-column is-layout-flow wp-block-column-is-layout-flow\" style=\"flex-basis:33.33%\"><div class=\"wp-block-image\">\n<figure class=\"alignright size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"270\" height=\"192\" src=\"https:\/\/www.canarie.ca\/wp-content\/uploads\/2024\/04\/DAIR-program.png\" alt=\"\" class=\"wp-image-42881\"\/><\/figure>\n<\/div><\/div>\n<\/div>\n\n\n\n<p><\/p>\n","protected":false},"featured_media":42872,"parent":0,"template":"","program":[],"document_type":[195],"class_list":["post-42785","document","type-document","status-publish","has-post-thumbnail","hentry","document_type-soutien-technique"],"acf":[],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.4 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>Restauration d\u2019une instance pirat\u00e9e - CANARIE<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.canarie.ca\/fr\/document\/recover-a-hacked-instance\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Restauration d\u2019une instance pirat\u00e9e - CANARIE\" \/>\n<meta property=\"og:description\" content=\"Nous a-t-on pirat\u00e9s?!? Une cyberattaque peut s\u2019av\u00e9rer dramatique pour n\u2019importe quelle organisation. C\u2019est pourquoi, il est capital de conna\u00eetre les [&hellip;]\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.canarie.ca\/fr\/document\/recover-a-hacked-instance\/\" \/>\n<meta property=\"og:site_name\" content=\"CANARIE\" \/>\n<meta property=\"article:modified_time\" content=\"2024-04-04T19:48:25+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.canarie.ca\/wp-content\/uploads\/2024\/04\/Ensure-all-users-are-using-SSH-Keys-2.png\" \/>\n\t<meta property=\"og:image:width\" content=\"1590\" \/>\n\t<meta property=\"og:image:height\" content=\"977\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/png\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/www.canarie.ca\\\/fr\\\/document\\\/recover-a-hacked-instance\\\/\",\"url\":\"https:\\\/\\\/www.canarie.ca\\\/fr\\\/document\\\/recover-a-hacked-instance\\\/\",\"name\":\"Restauration d\u2019une instance pirat\u00e9e - CANARIE\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.canarie.ca\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/www.canarie.ca\\\/fr\\\/document\\\/recover-a-hacked-instance\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/www.canarie.ca\\\/fr\\\/document\\\/recover-a-hacked-instance\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/www.canarie.ca\\\/wp-content\\\/uploads\\\/2024\\\/04\\\/Ensure-all-users-are-using-SSH-Keys-2.png\",\"datePublished\":\"2024-04-04T16:50:47+00:00\",\"dateModified\":\"2024-04-04T19:48:25+00:00\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/www.canarie.ca\\\/fr\\\/document\\\/recover-a-hacked-instance\\\/#breadcrumb\"},\"inLanguage\":\"fr-FR\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/www.canarie.ca\\\/fr\\\/document\\\/recover-a-hacked-instance\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"fr-FR\",\"@id\":\"https:\\\/\\\/www.canarie.ca\\\/fr\\\/document\\\/recover-a-hacked-instance\\\/#primaryimage\",\"url\":\"https:\\\/\\\/www.canarie.ca\\\/wp-content\\\/uploads\\\/2024\\\/04\\\/Ensure-all-users-are-using-SSH-Keys-2.png\",\"contentUrl\":\"https:\\\/\\\/www.canarie.ca\\\/wp-content\\\/uploads\\\/2024\\\/04\\\/Ensure-all-users-are-using-SSH-Keys-2.png\",\"width\":1590,\"height\":977},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/www.canarie.ca\\\/fr\\\/document\\\/recover-a-hacked-instance\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Accueil\",\"item\":\"https:\\\/\\\/www.canarie.ca\\\/fr\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Restauration d\u2019une instance pirat\u00e9e\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/www.canarie.ca\\\/#website\",\"url\":\"https:\\\/\\\/www.canarie.ca\\\/\",\"name\":\"CANARIE\",\"description\":\"\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/www.canarie.ca\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"fr-FR\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Restauration d\u2019une instance pirat\u00e9e - CANARIE","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.canarie.ca\/fr\/document\/recover-a-hacked-instance\/","og_locale":"fr_FR","og_type":"article","og_title":"Restauration d\u2019une instance pirat\u00e9e - CANARIE","og_description":"Nous a-t-on pirat\u00e9s?!? Une cyberattaque peut s\u2019av\u00e9rer dramatique pour n\u2019importe quelle organisation. C\u2019est pourquoi, il est capital de conna\u00eetre les [&hellip;]","og_url":"https:\/\/www.canarie.ca\/fr\/document\/recover-a-hacked-instance\/","og_site_name":"CANARIE","article_modified_time":"2024-04-04T19:48:25+00:00","og_image":[{"width":1590,"height":977,"url":"https:\/\/www.canarie.ca\/wp-content\/uploads\/2024\/04\/Ensure-all-users-are-using-SSH-Keys-2.png","type":"image\/png"}],"twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/www.canarie.ca\/fr\/document\/recover-a-hacked-instance\/","url":"https:\/\/www.canarie.ca\/fr\/document\/recover-a-hacked-instance\/","name":"Restauration d\u2019une instance pirat\u00e9e - CANARIE","isPartOf":{"@id":"https:\/\/www.canarie.ca\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.canarie.ca\/fr\/document\/recover-a-hacked-instance\/#primaryimage"},"image":{"@id":"https:\/\/www.canarie.ca\/fr\/document\/recover-a-hacked-instance\/#primaryimage"},"thumbnailUrl":"https:\/\/www.canarie.ca\/wp-content\/uploads\/2024\/04\/Ensure-all-users-are-using-SSH-Keys-2.png","datePublished":"2024-04-04T16:50:47+00:00","dateModified":"2024-04-04T19:48:25+00:00","breadcrumb":{"@id":"https:\/\/www.canarie.ca\/fr\/document\/recover-a-hacked-instance\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.canarie.ca\/fr\/document\/recover-a-hacked-instance\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/www.canarie.ca\/fr\/document\/recover-a-hacked-instance\/#primaryimage","url":"https:\/\/www.canarie.ca\/wp-content\/uploads\/2024\/04\/Ensure-all-users-are-using-SSH-Keys-2.png","contentUrl":"https:\/\/www.canarie.ca\/wp-content\/uploads\/2024\/04\/Ensure-all-users-are-using-SSH-Keys-2.png","width":1590,"height":977},{"@type":"BreadcrumbList","@id":"https:\/\/www.canarie.ca\/fr\/document\/recover-a-hacked-instance\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Accueil","item":"https:\/\/www.canarie.ca\/fr\/"},{"@type":"ListItem","position":2,"name":"Restauration d\u2019une instance pirat\u00e9e"}]},{"@type":"WebSite","@id":"https:\/\/www.canarie.ca\/#website","url":"https:\/\/www.canarie.ca\/","name":"CANARIE","description":"","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.canarie.ca\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"}]}},"_links":{"self":[{"href":"https:\/\/www.canarie.ca\/fr\/wp-json\/wp\/v2\/document\/42785","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.canarie.ca\/fr\/wp-json\/wp\/v2\/document"}],"about":[{"href":"https:\/\/www.canarie.ca\/fr\/wp-json\/wp\/v2\/types\/document"}],"version-history":[{"count":0,"href":"https:\/\/www.canarie.ca\/fr\/wp-json\/wp\/v2\/document\/42785\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.canarie.ca\/fr\/wp-json\/wp\/v2\/media\/42872"}],"wp:attachment":[{"href":"https:\/\/www.canarie.ca\/fr\/wp-json\/wp\/v2\/media?parent=42785"}],"wp:term":[{"taxonomy":"program","embeddable":true,"href":"https:\/\/www.canarie.ca\/fr\/wp-json\/wp\/v2\/program?post=42785"},{"taxonomy":"document_type","embeddable":true,"href":"https:\/\/www.canarie.ca\/fr\/wp-json\/wp\/v2\/document_type?post=42785"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}