Diagnostic terminé

Débranchez si possible d’Internet la machine touchée. Pour ce faire, débranchez le câble réseau Ethernet de votre ordinateur ou de votre serveur, ou bien désactivez la connexion Wi-Fi de votre appareil.

En cas d’intention de dépôt de plainte, essayez de récupérer ou de faire récupérer par un professionnel les preuves disponibles (fichiers de journalisation (logs) de votre pare-feu, serveur mandataire (proxy) et des serveurs touchés) et tenez-les à disposition des enquêteurs. Photographiez au besoin votre écran. Conservez la ou les machines touchées. Ces éléments peuvent permettre d’obtenir des « traces » du cybercriminel dans le cadre de l’analyse de l’attaque. Ils peuvent également constituer des preuves à valeur juridique en cas de procédures ultérieures.

Tentez d’identifier ou de faire identifier tous les éléments sensibles (bases de données, etc.) qui ont pu être copiés ou détruits. Si le serveur touché contenait des données personnelles et que l’incident entraîne une violation de données personnelles pouvant constituer un risque au regard de la vie privée des personnes concernées, vous devrez notifier l’incident à la CNIL. La CNIL considère comme une violation de données personnelles un cas de défiguration qui entraînerait une fuite, une altération et/ou une indisponibilité des données.

Identifiez ou faites identifier le vecteur qui a permis de prendre le contrôle de la machine, c’est-à-dire déterminer comment et par quel moyen l’attaquant a pu prendre le contrôle de la machine ciblée. Les cas les plus fréquemment rencontrés sont : l’utilisation par le cybercriminel d’un mot de passe d’administration trop simple ou par défaut qui n’aurait pas été changé, un défaut de configuration du site qui a permis de s’y introduire, l’utilisation d’une faille de sécurité souvent connue et non corrigée, etc.

Déposez plainte au commissariat de police ou à la brigade de gendarmerie ou encore par écrit au procureur de la République du tribunal judiciaire dont vous dépendez en fournissant toutes les preuves en votre possession.

La brigade numérique de la Gendarmerie nationale peut vous apporter une assistance en ligne 24h/24 dans vos démarches. Cliquez ici.

Lorsque vous aurez repris le contrôle de la machine touchée, corrigez toutes les failles de sécurité (tous nos conseils pour gérer au mieux vos mises à jour) et changez tous les mots de passe (tous nos conseils pour gérer au mieux vos mots de passe) avant de la remettre en ligne pour éviter que les individus malveillants ne parviennent de nouveau à en prendre le contrôle.

Si votre site Internet défiguré est hébergé chez un prestataire, contactez-le pour qu’il prenne les mesures nécessaires à la résolution de l’incident.