Cahier 2 : CryptoDate & CryptoLove

ParErwan Guillemard

Le temps passe, ça nous ramènera pas CARLOS tout ça… TRUST aurait plutôt dit « Ce temps perdu que l’on ne rattrape plus« . Bref, je me suis souvenu récemment de la rencontre avec ma compagne et je me suis dit que cela n’était pas incompatible avec les Chroniques d’un SysAdmin.

Volontairement, aucuns noms, sociétés, marques, lieux et dates ne seront cités.

Contexte et avertissements

A cette époque, je n’étais pas encore diplômé et donc sur la fin de mon alternance. Cette année là il faisait chaud très chaud.

J’ai envie de te dire c’est un peu un leitmotiv de ces dernières années… On croirait entendre ce bon vieux JPP nous annoncer au JT de 13h « Et oui c’est la canicule. Allons voir Ginette et Paul-Edouard dans l’arrière pays niçois nous divulguer leurs secrets. Mon mari tourne au pastis et moi je suce des glaçons. Merci pour ces précieux conseils qui je le crois seront appliqués par de nombreux concitoyens. »

Bref je divague. A ce temps reculé de mes premiers pas de SysAdmin, j’avais en charge deux clients. Une petite organisation de 30 utilisateurs et une grande organisation de 160 utilisateurs. C’est pas mal pour commencer et faire ces armes. Un peu stressant car les jeunes loups qui sortent de l’école veulent montrer à leurs ainés qu’ils sont à la hauteur des responsabilités qui leurs sont confiées.

C’est ainsi que du statuts « J’ai pas de vie, je suis étudiant en informatique » je suis passé à (Attention, la phrase qui va suivre va vous demander un profonde inspiration. Cette dernière doit être lu rapidement à la manière de tous les influenceurs des années 2024) « J’ai pas de vie, je suis étudiant qui rédige un mémoire en insertion professionnelle en attente de valider mon cursus universitaire toute en continuant de me griller les neurones sur les pixels de jeu vidéo et les soirées karaokés à m’enfiler des picons bières et des Gins Tonics« . CHEH !

C’est comme ça que j’ai pu atteindre des performances qui rentre toujours dans le top 10 de mes plus beaux états éthyliques.

NOTE D’INFORMATIONS :
Avant que les associations anti-alcools, anti-tabacs, anti-étudiants, anti-sysadmins, anti-soirées, anti-karaokée, anti-anti et fanclub d’Isabelle NANTY ne me tombent dessus pour apologie d’ivresse et de consommation d’alcool sur la voie publique (et des plus beaux titres de variétés françaises massacrés). Je tiens à signaler que je ne suis pas un modèle, ni un exemple et quand aucun cas je n’encourage à la consommation d’alcool. J’ai pour livre de chevet la première édition de la loi Evin du 10 Janvier 1991 dédicacé par Michel ROCARD (Mauf Makapuf) en personne.
#toujourspassobre?

Je reprends donc où j’en étais. Le côté pile « professionnel » de ma vie étant posé, passons au côté face « personnel ».

Il est difficile pour un étudiant dans une petite ville qu’il ne connait pas de faire des connaissances et encore plus quand il est en étude d’informatique. C’est partir direct avec un malus de -10% dans une conversation où faire un échec critique dans Dungeons & Dragons en montant des escaliers.

Je me suis alors tourné vers la technique de nos aïeux pour « courir la fille » et pas finir « vieux gars ». J’ai fait les petites annonces du Journal de Saône et Loire. J’ai été peut-être été un peu ambitieux et optimiste… Je me suis tourné vers les petits annonces du Chasseur Français. Là encore, c’est en regardant la date de parution des magazines que j’avais posé des lapins ou qu’on ne m’avait pas attendu… Heureusement, l’essor de l’INTERNET des INTERNET à vu évoluer une multitudes de nouveau Chasseur Français version 2.0. 🙂 (Il raconte sa life, mais on s’en fout. Ce qui il y a 20 ans pouvait se traduire par RTL, OSEF).

Maintenant que nous avons bien décrit les deux faces de notre pièce. Faisons tourner cette dernière sur la tranche.

Difficile alors à notre pièce de trouver un équilibre entre vie professionnelle et personnelle. Voilà le piège des jeunes qui n’en veulent trop. Ne plus savoir comment positionner ce curseur et donc terminer comme A320 F-GGED sur le mont Saint-Odile. Je reviendrai plus tard sur ce point.

H-10h00 : Journée de rêve (avant THE DATE)

Ce jour là, un vendredi de Juin (sinon ce n’est pas drôle). J’étais tout content car j’avais rencard en début de soirée avec une jeune et charmante demoiselle. La journée se passait à merveille, entre impatience et angoisse de la première rencontre.

Je vous ai déjà dit que j’étais un p****n de chat noir ? Vous l’voyez venir l’élément perturbateur ?

H-02h30 : Combo-breaker de rêve (avant THE DATE)

15h30, notre centre de service m’informe que mon petit client ne peut plus ouvrir ces fichiers. L’ensemble de ces derniers ont une extension bizarre… Ce qui semblait être une bonne journée commençait à tourner mal. Un peu comme un novice qui s’improvise derviche tourneur soit ça passe ou ça termine en festival de gerbe…

Comme disait Monsieur le frère du roi, le supplice du pal est un jeu qui commence si bien et qui finit si mal

Angélique et le Roy, en parlant de Philippe d’Orléans

Après une courte investigation, j’ai un crypto le jour de mon date… Je sais que je suis marron. Ce n’est pas le genre d’incident qui se solde en 1 heure et il faut agir vite. C’est un incident critique. Encore une fois, je ne suis pas seul et mon supérieur de l’époque me donne un coup de main.

Nous isolons donc le serveur du réseau, identifions la session et donc le poste de l’utilisatrice qui a initié le chiffrement des données.

A cet instant, il est important je pense de le signaler, nous étions au tout début de ce type de virus. Les mécanismes étaient donc moins sophistiqués que les virus que nous rencontrons de nos jours. Il suffisait donc de regarder le propriétaire des documents fraichement chiffrés pour connaitre le patient zéro. En somme un Cluedo contemporain pour les SysAdmins.

Bon et maintenant que le poste de l’utilisatrice est éteint, que le serveur de fichiers est isolé du réseau et que tous les utilisateurs de mon clients sont en week-end forcés, K’est Ce K’On Fait ?

H-01h30 : Good Luck & Have Fun (avant THE DATE)

Mon supérieur m’invite gentiment à 16h30 d’aller consulter notre Direction Technique. Le week end de mon directeur régional va commencer et un impératif ne lui permet pas de rester. Ne jugez pas trop vite son comportement, VOUS lecteur ! Je n’ai jamais eu de reproche à son égard quant à cet incident et il a choisit de faire tomber la pièce côté perso plutôt que du côté pro. Et honnêtement, qu’est ce qu’il aurait fait de plus à part me regarder et attendre ? Réponse, rien.

Effectivement, la seule solution viable et de m’en remettre aux mains et savoir de notre « expert » technique. (Pourquoi des guillemets autour du terme expert ? Cette personne ne s’est jamais considéré comme expert, mais ces compétences et savoir ont fait de lui lorsque nous travaillons ensemble le référent de tous les projets et situations critiques. Je le gratifie donc d’expert #coeuraveclesmains si tu te reconnais et que tu lis cet article).

Je vais donc voir ce collègue, qui n’est pas emballé par la chose car c’est en fin de journée et que c’est le week end blablablabla. Comportement normal. Mais c’est le sens du service qui prime. De mon côté, l’heure tourne et il y a mon rendez-vous galant… Intérieurement, je me demande si ça passe le coup du SMS « Salut, je peux pas venir j’ai un crypto, j’en ai pour le week end. On reporte ? » #lol #xptdr #pdr #looser

Mon collègue m’informe qu’avant toutes choses, il faut s’assurer de savoir comment le chiffrement a eu lieu, quand etc. Est ce réversible ? Ma sauvegarde est elle viable ? Il me pose une tonne de question. Je veux juste répondre « J’ai un date à 18h00… » mais je ne dis rien.

Les informations que je dispose à ce moment sont :

  • Le virus semble venir d’une navigation web ou d’un email
  • Le reste du SI n’est pas impacté
  • La première analyse antivirus sur les serveurs n’ayant rien trouvé sur les autres serveurs
  • Les droits et permissions sur le serveur de fichiers sont bien fait, mais trop permissif, l’ensemble des répertoires sont touchés. Hormis quelques répertoires type Directions, Comptabilités.
  • Le serveur est isolé, le poste fixe éteint.

H-00h10 : Négociations et Accord de Charnay (avant THE DATE)

17h50, il me dit (en soupirant) « Bon, il faut restaurer depuis la sauvegarde l’intégralité du serveur en parallèle de la production. Faire l’analyse afin de s’assurer que cela ne va pas chiffrer de nouveau l’ensemble des données. Va te chercher une chaise ». Là je n’en peux plus et je lui explique que je ne peux pas. Je vous laisse imaginer la situation.

MON client rencontre un incident critique, JE demande de l’aide auprès d’un autre service pour me sortir de cette mauvaise passe. Le collègue qui me porte assistance et à qui le début de weekend est foutu vient de se prendre un royal NON JE NE PEUX PAS J’AI UN DATE.

Il ne veut pas, je ne veux pas. Il voit vite que cela compte beaucoup. Nous finissons par trouver un terrain d’entente et comme à Téhéran en 1943, nous concluons à une accord.

Il va continuer l’analyse et lancer la restauration du serveur. Je prendrai la suite après mon date et je me tiens disponible par téléphone toute la soirée et le week end. Je le remercie chaudement (et le remercie toujours d’ailleurs) sauf qu’il est 18h05 et je suis encore au boulot…

H+00h05 : Je suis l’aigle de la route (en retard pour THE DATE)

Je saute dans mon bolide, une MITO à l’époque. Et me magne de me rendre au point de chute, euh disons plutôt rendez-vous. L’intérieur de l’habitacle est brulant. Je sens mon parfum tellement je suis en nage… Je suis en sueur comme Mel GIBSON dans MAD MAX avant de monter dans les tours. (Dommage, le film a mal vieillit. D’ailleurs, savez vous que la mort d’un des cascadeurs est filmé et diffusé (à 1:15) ?)

H+00h15 : C’est pas moi c’est le crypto (à l’heure du V&B pour THE DATE)

J’arrive à mon rendez-vous à 18h15. Je suis en sueur car avec la canicule il fait pas loin des 40°C et pour plaire j’ai mis mon plus beau polo du stade toulousain à manches longues (oui je ne suis pas le SysAdmin le plus riche en CPU). Je présente mes excuses pour le retard à cette charmante jeune femme qui patiente depuis 15 minutes devant le bar/taverne et qui pensait avoir pris un lapin.

Je lui explique la situation et je crois qu’elle n’a toujours pas compris car je ne me suis même pas compris moi-même. Mais bon j’étais là (et ton collègue en train de taffer co****d BOUH BOUH BOUH ! Jetez lui des petits cailloux bien aiguisés !)

Nous entrons dans le bar, commandons deux pintes de GUINESS et…

Objection Monsieur Le Président, mon client ici dans cet article n’a pas a donner plus de précision sur ce moment car cela n’apporte pas d’élément concret à l’incident d’infrastructure rencontré.

Objection accordée

Nous décidons après le verre/les verres [rayer la mention inutile], de ne faire qu’une voiture et d’aller chercher de quoi diner. Au vu des températures, nous avions décidé de manger aux bords d’un lac. (Bonne idée pour les moustiques, je suis comme un tireuse à bière dans un festival de métal). Nous prenons donc The Italian Bolid.

H+04h42 : Ras Le Bol, Mosquitos et burger (THE DATE)

En nous rendant au lac, un appel entrant. Il est 22h42 (c’est marrant nous retrouvons toujours la réponse à la vie dans les grands moments). Je me souviens des premiers mots de mon collègue qui ne sait pas que je ne suis pas seul dans le véhicule.

« Euh j’en ai plein le cul ! Ton serveur est volumineux et ça prend trop de temps. Tu dois avoir un goulot d’étranglement sur ton réseau, mais c’est en cours…. »

Il me donne les consignes et fin de l’appel. Franchement, l’appel tombe à pic et montre que je ne suis pas un myto au volant de ma MITO (rime riche, tu peux te cacher Francis LALANE).

Le pourquoi du comment des problèmes liés à la restauration de la sauvegarde sont justifiés par deux choses.

  • Nous avions convenu au vu de la situation et de l’analyse réalisée en amont, que nous devions tout de même sauvegarder le SI.
  • L’équipement servant de repository n’était pas sur un switch d’infrastructure mais de distribution.

La sauvegarde était passée et la restauration en cours, dans tous les cas je devais attendre et je n’avais rien à faire d’autre.

Ensuite, nous asadasjkbirugruebgk eurnjunqjsdnjq juqsnhjnqkljnqs bbbzzzzz zbzzbbzbzbbzbbz

H+10h00 : Fin du Bal, on ferme ! (End of THE DATE)

Samedi, 04 heures du matin, la sauvegarde est toujours en cours de restauration. Elle devrait se terminer d’ici quelques heures. Je pars donc me coucher. La douce est merveilleuse jeune femme est rentrée chez elle il y a quelques heures déjà.

Il ne reste plus qu’à être Patient

H+14h30 : Contorsionniste et grosse fatique (Dream of new DATE)

4 Heures et plus ou moins 30 minutes plus tard, (soit 8h30) le serveur restauré est sous tension et l’analyse reprend. J’ai tellement la tête dans le c*l que je pourrai être contorsionniste au cirque PINDER.

Je ne note pas d’anomalie dans les journaux d’événements du serveur (c’est marrant j’ai encore le nom de celui-ci en tête ainsi que de ça volumétrie juste pour les datas) et aucune extension bizarre n’est présente. L’incident est donc résolu.

J’attends tout de même quelques heures avant de contacter mon collègue. Je l’ai remercié chaudement pour les actions réalisées la veille ainsi que de m’avoir permis d’assurer ma rencontre avec ELLE. Sans suivra ensuite les communications aux utilisateurs ainsi qu’au client sans oublier les communications internes. Dans ce genre d’incident la communication est la pierre angulaire et le liant vers le succès.

Mon responsable du moment à la formule suivante

La communication nous devons la maitriser et non la subir

Un directeur d’agence qui se reconnaitra

C’est cette dernière qui rappelle ce pourquoi telle ESN fait la différence avec une autre.

Je passe le reste du week end tranquille. J’ai finalement atteint mes objectifs personnels et professionnels. Bien que j’aimerai bien revoir cette charmante jeune fille sans avoir en arrière pensée des états d’âmes professionnels.

H+…… : Violences empathiques (Pléonasmes élégants)

Le Lundi qui suit, nous nous rendons avec mon binôme chez le client pour questionner un peu plus l’utilisatrice à l’origine de l’incident et vérifier son poste.

Je me souviens avoir eu un comportement ainsi que des paroles hautaines et déplacés. « Ouai, elle va m’entendre cette c****e. Ca m’a fait c***r. Va falloir qu’elle se rende compte de l’impact et des conséquences de ces actes… »

Mon collègue qui à l’époque était technicien sur le contrat (qui deviendra par la suite l’un de mes modèles et l’un des mes supérieurs) m’avait sérieusement recadré dans la voiture quant à mon attitude et mes propos.

Finalement je ne suis qu’un jeune loupio qui jappe, je suis même pas encore sorti de l’école. Je n’ai pas l’expérience du terrain et je crois tout savoir de la vie professionnel. Comme le dirai ma grand-mère :

Mais tais toi donc !

La Grand-Mère de l’auteur

Mon collègue avait raison. J’étais qu’une m***e qui n’avait pas bien compris le sens du mot Service et de l’accompagnement des utilisateurs et du respect.

Une fois sur site, l’utilisatrice avait pleinement conscience de ce qu’elle avait généré en terme d’impact. Elle avait juste ouvert un mail. Elle était désolé. C’est là que mon empathie m’a fait comprendre que ça ne servait à rien de remuer le couteau dans la plaie et qu’au final la situation était résolu. J’étais donc bien un trou du c*l en train de prendre le melon. Mais le melon de quoi ? De moi, responsable informatique ? Le SysAdmin… C’est MOI !

L’organisation à perdu 2 jours de travail.

Ah bon tu es certain de ça ? Ils ont perdu qu’une journée car vous avez restauré la sauvegarde à J-1, donc Jeudi au soir.

Sur le papier c’est vrai. Dans l’organisation, ils ont perdu l’ensemble du travail effectué le Vendredi. Donc il va falloir faire la journée de travail du Lundi et refaire le travail effectué le Vendredi qui a été perdu.

Conclusion

Depuis, les antivirus ont bien évolués et prennent maintenant bien en charge les virus de nature cryptographique. Bien que ce soit toujours le jeu du chat et de la souris entre les attaquants et les éditeurs de sécurité. L’activité du client est bien reparti et les engagements de services sont respectés.

Il est important d’avoir l’architecture, la topographie réseau adéquate pour ces équipements d’infrastructure. Premièrement pour assurer les meilleures performances lors de la sauvegarde ou restauration du SI. Deuxièmement pour garantir un niveau de sécurité satisfaisant (Firewall avec IPS ou IDS).

Je ne mets pas de côté non plus la gestion des droits d’accès ainsi que la matrice des droits quant à la gestion documentaire (serveur de fichiers). Il revient toujours de se poser la question, est-ce que ce service ou utilisateur doit avoir accès à ce répertoire ? Doit il vraiment avoir les droits de lecture/écriture ou les droits de lecture seule suffisent ?

Il y a peu, je discutais avec l’un des mes collègues de cette situation personnelle. Il m’a demandé ce que m’avait apporté l’investissement et le temps que j’ai donnée à mon client à la suite de cet incident vis à vis de ma vie personnelle ?

Et bien sans mon collègue de la Direction Technique, je ne serai sans aucun doute là où j’en suis aujourd’hui. Car c’est avec notre Accord que j’ai pu faire tomber la pièce du côté personnel et donc rencontrer cette charmante demoiselle qui est devenu par la suite la charmante compagne qui se trouve à mes côtés. (Au premier degré puis que nos bureaux sont l’un à côté de l’autre à la maison 🙂 ).

Egalement et je le pense vraiment, il est important de bien encadrer et d’accompagner les jeunes loups lors de leurs premiers pas dans le monde professionnel. Tout reste à apprendre et il est nécessaire de nous enseigner l’humilité ou de nous le rappeler. Quitte à montrer les dents de temps à autres.

Comme quoi, tout est bon dans les cryptos ! <3

Le mot de la fin :

CryptoDate, mais CryptoLove. Impeccable, vous gagner un burger, une Guiness et une belle histoire

Erwan GUILLEMARD