RSSI
J'ai été 3 ans RSSI à RTE, puis 5 ans à EDF.Ceci pour dire que j'étais bien au fait des problématiques de sécurité, des méthodes de défense et aussi des méthodes d'attaque.
Mais certains de mes ex collègues risquent de frémir en lisant la suite !
Microsoft veille sur vous !
Le 2 avril, appel téléphonique sur le téléphone fixe, pris par mon épouse.
Elle m'indique qu'un interlocuteur se présentant comme ingénieur de maintenance à Microsoft souhaite me parler, car ils ont détecté un comportement anormal de mon PC lors des connexions à Internet. Je prends l'appel.
En mauvais français et en anglais moyen, l'interlocuteur me faire part qu'ils ont été alerté par un nombre très important de messages d'erreur en provenance de mon PC.
Pour preuve, il m'invite à examiner l'observateur d'événements (outil standard de Windows).
En suivant ses indications, après une navigation un peu laborieuse guidée par mon interlocuteur, je constate effectivement un grand nombre d'anomalies réseau.
Il m'indique que ses anomalies sont causées par un virus, et après moultes discussions me propose une assistance en ligne pour diagnostiquer plus avant ce qui se passe sur le PC.
Il m'indique également que ce type de virus crée un ralentissement progressif du système, qui se termine par un figeage complet. Il insiste lourdement là dessus.
Pas fou, et bien au courant des risques de la PMAD (prise en main à distance), je lui fais remarquer que je n'ai aucune preuve qu'il est bien de Microsoft.
Il me fait regarder alors (toujours aussi laborieusement) un numéro d'identification que seul Microsoft peut connaître. Effectivement, il me le récite exactement.
J'avoue que si d'une part j'étais méfiant et soupçonnait une tentative de phishing par téléphone interposé, j'étais d'autre part également curieux de connaître la suite. J'avais été même un peu impressionné par le discours qu'il m'avait servi et le côté Big Brother ainsi prêté à Microsoft.
Donc le lui laisse prendre la main à distance sur le PC, un peu trop confiant dans mes capacités à bloquer une attaque par la suite, si d'aventure c'était une tentative de hacking.
Je devenais d'autant plus méfiant que le logiciel de PMAD qu'il utilisait était TeamViewer et non pas l'un des outils classiques de Microsoft.
Passer la PoMmADe pour étourdir la victime
Avec une certaine agilité, l'interlocuteur me remontre l'observateur d'événements avec sa flopée d'erreurs. Il me montre aussi sur les processus en cours des processus suspects (Adwares en fait).
Pour que je comprenne bien ce qu'il me dit, il utilise un traducteur anglais-français.
Il me décrit encore une fois tous les risques, et en particulier celui de perdre toutes mes données.
Il m'indique alors que le déverminage peut être pris en charge dans le cadre de la maintenance de windows. Mais malheureusement mon contrat de maintenance a expiré ! (Pour ce faire il m'affiche un écran qui confirme cette expiration ; je ne sais d'ailleurs pas trop de quoi il s'agit).
Mais pas de souci ! Il suffit de régler cette maintenance, pour laquelle 3 options sont possibles !
Ça se gâte !
Je choisis la moins chère (quelques
dizaine d'euros si mes souvenirs sont exacts) mais mentionne qu'il est
hors de question que je règle cette maintenance par CB sous ses yeux !
Qu'à cela ne tienne ! Allez faire un virement par Western Union.
Mais attention, me dit-il : dans 6 heures, si vous ne faites rien, vous allez perdre toutes vos données !
Je suis enfin définitivement convaincu que je suis sous le coup d'une tentative de rançonnage car jamais le grand Microsoft ne s'abaisserait à de telles pratiques ! Suprême imprudence : je le lui dis !
Je vois alors se dérouler un mouvement de fichier sur l'écran : move ou delete. Immédiatement je coupe physiquement la connexion internet et arrête le PC en arrêt d'urgence (l'arrêt normal ne se déclenchant pas).
Il m'indique alors que je n'aurait plus accès à mes données la prochaine fois que je redémarrerai le PC, et raccroche.
J'avoue que malgré toutes mes sauvegardes, j'étais un peu inquiet.
Reconstruction... laborieuse
Effectivement au redémarrage, je me retrouve face à une demande de mot de passe inconnue.
Impossible de bypasser la demande de mot de passe par un démarrage sans échec. Toujours ce vieil écran vieillot de demande de mot de passe.
Sur un autre PC je consulte le "net" et trouve des indications pour remédier à un ransomware de ce type : par exemple le kit Kaperski : on le télécharge et on boote dessus.
Avant de me lancer dans l'opération, je regarde les autres options de Windows, et constate que l'on peut repartir d'un point de reprise système. Miracle ! Le dernier date du premier avril et ce n'est pas une farce ! Je lance la restauration (et ne perd que 2 installations mineures du 2 avril).
Et ça marche sans kit. Je retrouve l'usage du PC et grâce au ciel et à la faible technicité des hackeurs constate que mes données sont en clair ...
Moins rigolo, je constate également qu'une partie de mes photos ont disparu.
J'essaye de faire une restauration depuis mon back-up Seagate. Impossible ! (Alors que les sauvegardes sont faites régulièrement ; je l'avais vérifié car les fichiers en back-up sont accessibles dans l'arborescence du back-up).
Plutôt que d'aller à la pêche aux fichiers, je décide d'utiliser SyncBack à partir d'une autre sauvegarde. Je récupère bien tous mes fichiers.
Mais patatras : je n'arrive plus à faire fonctionner Office correctement : SyncBack a dû m'écraser des fichiers de paramètres d'Office.
Qu'à cela ne tienne ! Réinstallons Office (je suis en Office 365, ça fait partie du possible).
Succès apparent de la réinstallation mais ça ne marche toujours pas (2 fois de suite).
Aux grands maux, les grands remèdes. Désinstallons puis réinstallons ! Ça marche ! Ouf !
Les morales de cette histoire
- Si j'avais raisonné calmement, j'aurais immédiatement été sûr qu'il s'agissait de phishing : l’omniscience de Microsoft a des limites et faire le lien entre un numéro de téléphone fixe, et un PC précis et certes théoriquement possible mais il y a plus simple pour contacter un utilisateur, ne serait-ce que le mail.
- Évidemment ne jamais laisser faire une PMAD dans les conditions où elle a été faite.
- Attention aux sauvegardes : il faut évidemment vérifier qu'elles s'exécutent normalement, mais pour être sûr il faudrait faire un back-up de test (en faisant un signe de croix, car des imprévus sont possibles). En l'occurrence il semble que la restauration de Seagate s'emmêle les pinceaux avec Windows 10.
- Windows souffre toujours d'une tare congénitale avec un joyeux méli-mélo de fichiers utilisateurs et de paramètres d'applications. Quand on restaure vaut mieux ne restaurer que ses fichiers et réinstaller le reste si nécessaire. Ceci dit Windows a fait par ailleurs de sérieux progrès qui évitent des réinstallations complètes et fiabilisent le fonctionnement.
