Des usines de TSMC paralysées par une attaque informatique, Réactions à la publication du 04/08/2018

[Lionel]

TSMC a annoncé que suite à des attaques virales certains de ses sites de production avaient dû cesser leur activité. Dans la plupart des cas l'interruption a été de brève durée, quelques heures. Dans d'autres, l'interruption aura duré plus de temps.
La société a annoncé qu'elle ferait un point précis sur les incidences de cette attaque le 6 août prochain.

Cela pourrait avoir un impact sur l'approvisionnement de certains clients de la société dont peut-être Apple qui produit toutes ses puces Ax chez TSMC.

[MàJ] TSMC a annoncé le retour à la normale rapide de ses activités. La société a également parlé des causes de ce problèmes. Elles sont simples et on aurait pu mieux attendre d'un groupe au sommet de la technologie de fonderie de puces. Les PC infectés, sous Windows, n'avaient pas été mis à jour avec les derniers patchs de sécurité et avaient donc des failles connues et exploitables qui ont permis ici l'installation du ransomware Wanacry.

Il est hélas fréquent, même à des grands groupes, de croire que les problèmes ne concernent que les autres ou n'arrivent qu'aux autres. Hélas on est maintenant à une époque où les failles sont exploitées par des groupements criminels de manière systématique et à grande échelle. Se voiler la face là dessus n'a donc plus la moindre utilité.

Lien vers le billet original

[otto87]

De quelques heures à 2 ou 3 jours soit au maximum 1 % de la production, sachant qu'apple est un client premium : aucun impact!

[linus]

Fournisseur unique ? Système fragile, non ?
On a déjà vu de grosses usines bruler de fond en comble.

[amike]

Fournisseur unique ? Système fragile, non ?
On a déjà vu de grosses usines bruler de fond en comble.

Déjà qu'on retire les iphones d'Apple. Si en plus on brûle les usines de ses fournisseurs de puces ...

[otto87]

Fournisseur unique ? Système fragile, non ?
On a déjà vu de grosses usines bruler de fond en comble.

Sauf que ce n'est pas le cas C'est juste des PC de prod inefficients pendant quelques heures.

[iAPX]

De quelques heures à 2 ou 3 jours soit au maximum 1 % de la production, sachant qu'apple est un client premium : aucun impact!

Mouaip, quand il faut 48H pour faire un premier point sur une attaque c'est qu'elle a quand-même tapé fort.

Je m'attend à des délais à cause des recalibrages, mais aussi des wafers qui vont terminer à la poubelles...

Ce message a été modifié par iAPX - 5 Aug 2018, 13:03.

[kenzo05000]

En dehors des "impératifs" de la production chamboulés, il faudrait se demander, pourquoi ?
Si c’était pour faire passer un mouchard pendant la gravure des puce, c'est soit grossièrement manqué, soit subtil.
Pendant que la victime est occupée par une attaque, on peut surement faire quelque chose ailleurs, qui ne sera découvert que beaucoup plus tard, quelques années par exemple.

[iAPX]

En dehors des "impératifs" de la production chamboulés, il faudrait se demander, pourquoi ?
Si c’était pour faire passer un mouchard pendant la gravure des puce, c'est soit grossièrement manqué, soit subtil.
Pendant que la victime est occupée par une attaque, on peut surement faire quelque chose ailleurs, qui ne sera découvert que beaucoup plus tard, quelques années par exemple.

Effectivement et je recommande chaudement cet article (en anglais), sur l'implémentation d'une backdoor analogique impossible à trouver sauf à savoir ce que l'on cherche et passant absolument tous les tests réalisés en fin de production ou même sur un échantillon pour validation.

[Rorqual]

[MàJ] TSMC a annoncé le retour à la normale rapide de ses activités. La société a également parlé des causes de ce problèmes. Elles sont simples et on aurait pu mieux attendre d'un groupe au sommet de la technologie de fonderie de puces. Les PC infectés, sous Windows, n'avaient pas été mis à jour avec les derniers patchs de sécurité et avaient donc des failles connues et exploitables qui ont permis ici l'installation du ransomware Wanacry.

Il est hélas fréquent, même à des grands groupes, de croire que les problèmes ne concernent que les autres ou n'arrivent qu'aux autres. Hélas on est maintenant à une époque où les failles sont exploitées par des groupements criminels de manière systématique et à grande échelle. Se voiler la face là dessus n'a donc plus la moindre utilité.

Il leur reste Petya à subir.

Le plus "drôle" dans l'histoire, c'est que je connais une entreprise française, filiale d'un très gros groupe français (au CAC40), dont les 2000 PC et serveurs ont été rendus HS par un ransomware en quelques minutes : boîte quasiment fermée (sauf service informatique) pendant trois semaines le temps de tout refaire. On se serait attendu à ce que le DSI, le RSSI, le responsable production en prennent pour leur grade : mais ils ont été promus pour avoir bien mouillé la chemise et rétabli le service... Pourquoi bien faire son travail (en amont) dans ces conditions ?

[djdoxy]

Il est hélas fréquent, même à des grands groupes, de croire que les problèmes ne concernent que les autres ou n'arrivent qu'aux autres.

Dans les grand groupes il y a des procedures à respecter....

Dans une startup, chacun gere son PC, télécharge ses updates
.
Dans une grosse boite, c'est pas comme ca.... non monsieur, on est serieux chez nous

Les utilisateurs ne sont pas administrateurs de leur machine le plus souvent, et ne peuvent donc faire que ce que l'IT a autorisé.
Et pour autorisé une mise à jour, l'IT doit d'abord faire un tas de tests pour valider que ca ne perturbe pas le bon fonctionnement des applications nécessaire à faire marcher la boite.

A la base l'idée est bonne, mais en pratique ca retarde considérablement l'installation des mises à jour.
Et le jour ou ca pete, personne n'est responsable, chacun à bien respecter la procedure...

[kwak-kwak]

Il est hélas fréquent, même à des grands groupes, de croire que les problèmes ne concernent que les autres ou n'arrivent qu'aux autres.

Dans les grand groupes il y a des procedures à respecter....

...

A la base l'idée est bonne, mais en pratique ca retarde considérablement l'installation des mises à jour.
Et le jour ou ca pète, personne n'est responsable, chacun a bien respecter la procedure...

Dans bien des grandes entreprises, il y a surtout un manque de moyen alloué à l'informatique. Je bosse dans une entreprise d'importance stratégique (au niveau national), et pourtant les 3/4 des serveurs informatiques sont sous Windows 2003 (la version serveur de Windows XP). Une bonne partie de mon activité constitue d'ailleurs à demander 10 Go de disque dur en plus sur le disque dur système. La demande est régulièrement refusée : "trop cher", du coup on se tape des dizaines de ticket "disque plein" par semaine.

[raoulito]

Une bonne partie de mon activité constitue d'ailleurs à demander 10 Go de disque dur en plus sur le disque dur système. La demande est régulièrement refusée : "trop cher", du coup on se tape des dizaines de ticket "disque plein" par semaine.

j'en ai un vieux qui traine, je suis pret à te le donner si ca peut aider mon pays
hahaha

[kwak-kwak]

Une bonne partie de mon activité constitue d'ailleurs à demander 10 Go de disque dur en plus sur le disque dur système. La demande est régulièrement refusée : "trop cher", du coup on se tape des dizaines de ticket "disque plein" par semaine.

j'en ai un vieux qui traine, je suis pret à te le donner si ca peut aider mon pays
hahaha

Ne rigole pas, quand on fait un upgrade de disque physique ils réussissent à nous mettre des disques de 150Go. Je ne comprends même pas d'où ils les sortent.

[raoulito]

aller, deconne pas tu parles de SSD, avoue !

[iAPX]

...
Le plus "drôle" dans l'histoire, c'est que je connais une entreprise française, filiale d'un très gros groupe français (au CAC40), dont les 2000 PC et serveurs ont été rendus HS par un ransomware en quelques minutes : boîte quasiment fermée (sauf service informatique) pendant trois semaines le temps de tout refaire. On se serait attendu à ce que le DSI, le RSSI, le responsable production en prennent pour leur grade : mais ils ont été promus pour avoir bien mouillé la chemise et rétabli le service... Pourquoi bien faire son travail (en amont) dans ces conditions ?

Ils ont fait ce qu'ils pouvaient, avec les moyens qu'ils avaient (probablement très insuffisants), comme dans beaucoup d'entreprise comme le narre @kwak-kwak ci-dessus.

Pour ma part j'ai été consultant dans une très grande institution financière au Québec, dans leur tour au-dessus de leur place, et ils avaient des ordinateurs portables sous Windows XP qu'ils essayaient de garder au maximum, et au-lieu de donner ceux-ci aux nouveaux arrivants, le Service Informatique les suivaient pour les allouer là où ils étaient utiles, car les nouveaux ordinateurs portables n'étaient plus certifiés pour cet OS antique, et certains systèmes n'étaient accessible qu'aux travers de ceux-ci (et plus précisément IE6 et pas autre-chose!!!).
Donc en héritaient des responsables ayant besoin d'accéder ces systèmes. Totalement sûr, comme un coffre de banque

Leur dette technique s'étaient ainsi transformé en problème de mise-à-jours de services vers un problème de réfaction complète, plus couteuse et donc non budgetée "tant que ça marche", les obligeant à jouer au jeu de la chaise musicale avec leurs vieux PC sous XP!

[kwak-kwak]

aller, deconne pas tu parles de SSD, avoue !

Non non, de disque à plateau.

Le fait que ne doivent pas ajouter "Ca fonctionne avec de la mémoire flash, comme une clef USB, mais en plus rapide sur les débits et surtout lors des accès simultanés" quand je pose l'acronyme SSD est assez récent.

[yponomeute]

Dans bien des grandes entreprises, il y a surtout un manque de moyen alloué à l'informatique. Je bosse dans une entreprise d'importance stratégique (au niveau national), et pourtant les 3/4 des serveurs informatiques sont sous Windows 2003 (la version serveur de Windows XP). Une bonne partie de mon activité constitue d'ailleurs à demander 10 Go de disque dur en plus sur le disque dur système. La demande est régulièrement refusée : "trop cher", du coup on se tape des dizaines de ticket "disque plein" par semaine.

Manque de moyens très bien illustré par CommitStrip



Ce message a été modifié par yponomeute - 8 Aug 2018, 12:08.

[iAPX]

+1

[ungars]

Ce ransomware n'est tout de même pas si récent que cela. On on a parlé pas mal en plus.
Toutes les entreprises dont vous parlez sont complètement irresponsables.
Elles craignent un maximum et mettent en danger leurs clients.

[Nono95400]

Pour avoir été au contact de responsables de la sûreté informatique d'un grand groupe français du CAC40, j'ai fait une amer découverte, les failles de sécurité les plus pointues sont pointées du doigt et les patchs palliatifs déployés aussi rapidement que possible.
Par contre des logiciels et des systèmes développés en interne (ou via des prestataires) n'intégrant quasiment aucune exigence du côté de la sécurité sont validées par ses mêmes services qui s'alarment à la moindre découverte d'une nouvelle faille.

Vous connaissez probablement Shodan.io, un site web qui répertorie des équipements connectés sans protection à internet.
On y trouve toutes sortes d'équipements : de la caméra de sécurité du magasin d'à côté jusqu'à des équipements qui contrôlent le fonctionnement de centrales hydroélectriques. Trois entreprises du monde de l'énergie du TOP 20 du CAC40 sont trop bien représentées sur Shodan !

Lorsque les experts en sécurité informatique prennent trop de temps pour vérifier que tous les ordinateurs sont bien à jour avec la dernière version de l'antivirus, que la dernière faille révélée a bien été neutralisée sur leurs postes... On est certains que dans cette entreprise, ils n'ont pas le temps de contrôler l'ensemble des équipements technique/industriel/bureautique connectés à internet. À tel point que certains de ces équipements se retrouvent très exposés et vulnérables sur des sites comme Shodan ou Morpheus.

Il faut évidemment se préoccuper de tous les aspects de la sécurité informatique dans une entreprise et cela peut rapidement représenter une charge considérable de travail. Et beaucoup d'entreprises ne l'ont pas encore compris.

Exemple qui illustre mon propos, ayant porté à la connaissance d'un grand groupe français de l'énergie qu'un de leur site web permettant d'accéder à l'ensemble de leurs outils industriels était facilement accessible à n'importe qui. On ne parle pas de piratage complexe avec utilisation de faille liée aux serveurs ou base de données... mais juste d'une URL magique qui ouvrait toutes les portes sans authentification sur ce site. Le groupe a mis 8 mois à résoudre ceci !

Nous sommes donc bien loin d'être à la hauteur de nos espérances en sécurité informatique dans les grandes entreprises françaises.

Ce message a été modifié par Nono95400 - 8 Aug 2018, 20:41.

[iAPX]

...
Nous sommes donc bien loin d'être à la hauteur de nos espérances en sécurité informatique dans les grandes entreprises françaises.

Pas qu'en France, crois-moi!

[linus]

Se voiler la face là dessus n'a donc plus la moindre utilité.

Se voiler la face a donc eu une utilité auparavant ?

[linus]

Une bonne partie de mon activité constitue d'ailleurs à demander 10 Go de disque dur en plus sur le disque dur système. La demande est régulièrement refusée : "trop cher", du coup on se tape des dizaines de ticket "disque plein" par semaine.

j'en ai un vieux qui traine, je suis pret à te le donner si ca peut aider mon pays
hahaha

Ne rigole pas, quand on fait un upgrade de disque physique ils réussissent à nous mettre des disques de 150Go. Je ne comprends même pas d'où ils les sortent.

Je confirme que ce genre de stupidité semble plus que banal dans des grands groupes réputés pour leur haute technologie. Le personnel développe de la techno de pointe avec des ordinateurs obsolètes, perd un temps fou car les simulations Matlab ou autres sont faites sur des machines trop peu dotées en mémoire qui swappent à mort, etc, etc. Ce qui est encore plus triste est que ces boîtes prônent le zéro papier (plus de bureau personnel, plus d'archives papier) mais avec des ordinateurs aux disques durs trop petits et auxquels il manque les outils permettant de vivre (survivre ?) sans papier. Je ne vais pas entrer dans le détail mais ce que me racontent les ingénieurs que je côtoie montre clairement que les managers de haut niveau ont une compréhension de l'informatique qui ne dépasse guère celle de Chirac avec son mulot (cf. Guignols de l'info).
https://www.dailymotion.com/video/x3jtm
https://www.dailymotion.com/video/xa9r0y

[otto87]

...
Nous sommes donc bien loin d'être à la hauteur de nos espérances en sécurité informatique dans les grandes entreprises françaises.

Pas qu'en France, crois-moi!

Une simple requête google avec quelques options permet de découvrir bien des PDFs qui devraient normalement être inaccessibles au public.