Avertissement de Orange Cyber Defense

Hello à toutes et tous,

J’ai reçu un e-mail du team cyber sécurité d’Orange m’avertissant qu’un lien sur mon instance LSTU redirigeais vers un site utilisé dans un schéma de phishing et demandant la suppression du lien en question, qui existe effectivement.

Je serais incliné à le faire au plus vite mais je me demandais quand même quelles sont les implications par rapport à la charte des CHATONS. Ils demandent aussi, évidemment, si j’ai d’autres éléments à leur fournir. Je n’ai que l’adresse sur laquelle il pointe, qui ne correspond d’ailleurs pas à ce qu’ils ont reporté.

Merci d’avance pour vos promptes réponses, c’est heureusement une première pour moi.

Beanface42 pour Anancus

1 « J'aime »

Si la redirection ne correspond pas à ce qui est signalé, faut à mon avis:

  • t’assurer que c’est pas un spam spécial pour les adminsys (on en reçoit de temps en temps chez ARN via abuse ou les adresses fournient au RIP)
  • si non, demander des précisions (même si c’est peut être un outil automatique qui t’as contacté)

Tu peux aussi chercher à vérifier si le lien d’édition du lstu n’est pas utilisé pour changer le lien après l’attaque.

Chez ARN on a eu notre lufi utilisé pour attaquer la banque d’Afrique du sud (via du phishing), et vu que c’était une demande légitime on a bloqué le lien rapidement. On héberge pas de raccourcisseur de lien, mais d’autres chatons comme 42l ont parlé sur ce forum de problématique de liens nuisibles.

En tout cas, modérer les attaques informatiques avérées me semble tout à fait indiqué par la charte chatons. En revanche si la team orange demande des infos sur l’ip à l’origine d’un lien qui de surcroît s’avère ne pas être la redirection indiqué, personnellement je ne communiquerai pas l’info (RGPD, etc.)

2 « J'aime »

+1 . Il me semble que cela est défini dans les cgu et mentions légales d’anancus.

Si il s’avère que c’est une demande légitime de la «team cyber machin» ou de la «rocket team», cela reste une demande hors cadre juridique. Cette demande est non légitime du point de vue d’un chaton, quel qu’il soit et où qu’il se situe, même en Suisse comme c’est le cas de @beanface42 :smile_cat: . La question de fournir ou pas des infos ne se pose pas.

Hello,

Merci pour vos réponses. Les actions appropriées ont été prises et le lien néfaste supprimé, après analyse de la provenance du courriel, en moins de 24 heures. Aucune information autre que la confirmation de la suppression n’a été transmise à Orange.

Librement votre.

Beanface42

1 « J'aime »

Une petite note en passant. Si l’URL malicieuse ne correspond pas à celle que t’a signalé le CIRT d’Orange, il est fort probable que ce soit parce que la premiere ressource ayant été supprimée ou neutralisée, le lien a été mis à jour pour pointer vers une nouvealle URL malicieuse. Je ne vois donc rien de louche à ça.

Dans pareil cas la seul information utile et nécessaire que tu peux partager est que tu as pris les mesures nécessaires.

Mouai…

Si j’héberge une redir vers un C&C d’un botnet, et qu’on me demande plus d’infos pour le shutdown, meme si ce n’est pas légal, je pense quand meme que je vais aider à le faire tomber.

Je suis pour la vie privée des utilisateurs et des utilisatrices. Pas des criminel·le·s clairement identifié·e·s comme tel.

1 « J'aime »

Nous sommes tou·tes d’accord avec cela. Mais il n’y a que toi qui évoque la vie privée. Ce n’était pas le propos de ce topic. La question posée par @beanface42 était quelle réponse à apporter dans le contexte «chatons». Et il a agit en tenant compte de nos observations et de ses propres CGU.

Si tu penses différemment, pourquoi pas. Cependant, est-ce que vous avez documenté cela à indiehosters? Par exemple, comment prenez-vous la décision de communiquer des infos par rapport à ce type de demande ? Quelles informations ? Avez-vous une commission déontologique ? Est-ce que tous cela est enregistré quelque part ? Dans votre registre de traitement de données ? Enfin, comment expliques-tu cela dans ta relation BtB ou BtC ? Peut-être avez-vous fait ce job par ailleurs ?

Note bien qu’il n’y a pas de malice dans mes questions. Il se trouve que je suis en train de relire le travail de @ljf et @imacrea notamment sur les CGU type «chatons». Du coup, ça pourrait (nous) m’éclairer. :smiling_face:

1 « J'aime »

Oui, je répondais rapidement en tant que Pierre, pas en tant que Indie.
Mais je suis aussi en // en train de revoir nos rgpd… J’en discuterai avec mon binôme, c’est une bonne question :slight_smile: Quand ce sera à jour, je reviendrais ici, ça va encore prendre quelques semaines pour finir le travail, et ensuite encore qq semaines pour le mettre en forme.

Et je vous reco l’écoute de ces 2 épisodes au passage aussi:

Et de ce que je comprends à l’instant t, on aurait le droit de le faire, il suffit « juste » d’avoir une rgpd qui l’explique bien. Si un chatons utilise crowdsec ou lightmeter, c’est le cas en fait, on partage les comportements malicieux avec d’autres entités juridiques.

1 « J'aime »

Hello à toutes et tous,

L’utilisation malicieuse (et les signalements de Orange Cybersecurity) continuant, je voudrais donner plus de détails, qui peuvent être utiles au collectif.

Il s’agit d’une campagne de phishing, apparement de grande ampleur, qui cible les clients du Crédit Agricole en le redirigeant, à la fin, sur des sites frauduleux hébergés sur tmweb.ru.

Après avoir demandé conseil à @Framasky, j’ai mis en place quelques règles « REGEX » dans le fichier

/var/www/lstu/lstu.conf

pour empêcher la création de ces liens frauduleux, de cette manière:

# spam blacklist regex. All URLs (or redirection) whose host part matches this regex are considered as spam
    # optional, no default
    spam_blacklist_regex => 'contactinbio\.com|contactin\.bio|tmweb\.ru',

# spam path blacklist regex. All URLs (or redirection) whose path part matches this regex are considered as spam
    # optional, no default
    spam_path_blacklist_regex => 'cagg|securpass|caggri',

Cela permet d’empêcher directement la création des liens malicieux favorisés jusqu’ici par ces malandrins. Ca peut devenir un poil lourd et j’espère plutôt qu’ils se lasseront vite…

Je sais que ces sites ne sont pas à proprement parler malicieux en eux-mêmes. Mais le fait de savoir que des particuliers risquaient de se faire arnaquer en passant par chez moi est plutôt malaisant. De plus, le service « contactinbio » est déjà une sorte de shortener, aucun intérêt à en utiliser un autre pour l’atteindre.

J’espère que ces informations pourront être utiles à d’autres.

Librement!

Beanface42

1 « J'aime »

Salut !

Je me permets d’ajouter quelques éléments de réflexion sur le sujet, comme nous avons été victimes du même genre de pratiques (exactement les mêmes liens créés chez nous, même histoire avec tmweb, securipass/certicode, etc).

Le sujet a déjà été abordé ici : Des retours d'expérience sur la réputation des raccourcisseurs de lien? - #5 par Association42l

Et si cela intéresse quiconque, nous venons de publier un retour d’expérience sur trois ans d’hébergement d’un raccourcisseur de liens, avec des détails sur le type de contenu hébergé. On y mentionne notamment une expérience avec Orange Cyberdéfense comme tu l’as décrite.

Bonne soirée :slight_smile:

~ Neil

3 « J'aime »