Bonjour,
J’aimerais lancer une discussion autour de la communication faites lors des mises à jour de sécurité.
En tant qu’hébergeur, il nous arrive d’avoir à faire à des attaques dès qu’une faille de type RCE est corrigée, et ce dans les jours (ou mêmes heures !) qui suivent l’annonce du correctif.
C’est arrivé cette semaine. C’est arrivé l’année dernière.
En tant qu’hébergeur (associatif et bénévole), qui hébergeons des CRM de tout type, nous n’avons pas toujours le temps d’aller voir les patchs pour comprendre les failles. Mais nous devons pouvoir rapidement réagir pour:
- bloquer les attaques en cours (il nous est par exemple arrivé d’avoir des mineurs de crypto qui tournent…)
- bloquer les attaques à venir
- et surtout, détecter s’il y a eu des attaques
Sur ce dernier point, quand c’est un script kiddie qui installe un mineur de crypto, c’est facilement visible.
Quand c’est une attaque pour voler des données, ça peut être beaucoup plus discret.
Aussi, il serait très utile d’accompagner les posts de blog qui annonce les correctifs d’instructions pour détecter si nous avons été ciblé.
Par exemple, on donnant des indications sur ce qu’on peut chercher dans les journaux du serveur.
Par exemple, avec la RCE de l’année dernière, c’était simple, il suffisait de chercher une requête POST sur un certain point d’entrée.
On pourrait me répondre: «oui, mais si on fait ça, on indique comment exploiter la RCE». Ce à quoi je répond: les personnes malveillantes vont juste lire le patch. Et ça leur donnera bien plus d’indications.