Récupération d’une base de données MySQL suite à un vol et demande de rançon.

⏱ Temps de lecture : 7 mins

Suite à un phishing, une personne voit son accès à un intranet corrompu.


L’entreprise, une métallerie travaillant pour des entreprises et des particuliers, fournit un extranet à ses clients pour la gestion des commandes et des factures.


Cet extranet est aussi un intranet pour elle-même dans le but d’établir sa comptabilité client.


Restauration d'une base de données piratées

L’attaque


Le processus de l’attaque est assez classique : phishing, accès et escalade de droits.


Une employée reçoit un mail de phishing, clique dessus et fournit un accès à l’intranet à l’attaquant.

Le mail en question simulait l’interface de connexion.


L’attaquant prend alors le contrôle de l’ensemble du site via une escalade de droits liée à des plugins non à jour, en particulier Ultimate Client Dash, le plugin utilisé pour gérer l’accès des clients.


L’attaquant, disposant du site, en verrouille l’accès via un changement de compte administrateur et la suppression des accès des clients.


Il contacte alors l’entreprise et demande une rançon de 0.2 Bitcoin (environ 4000 euros à l’époque) pour rendre l’accès.


La réaction


La métallerie contacte alors l’agence en charge du site, qui prend contact avec moi pour savoir quelles sont les possibilités.


J’explique que l’on va tenter une récupération sans paiement de rançon.


Je commence alors l’analyse. L’agence a mis en place des backups mensuels du site + DB.

L’accès au site est impossible.

Néanmoins, l’attaquant n’a pas pris le contrôle du serveur.

On a la main sur le WordPress.

Par accident, l’agence a laissé le mode débogage activé ; j’ai donc accès aux fichiers de logs.


C’est une très mauvaise pratique, pas du tout conforme au RGPD, mais dans ce cas, ça va nous sauver.


Je propose un devis à 2500 euros.

Plan d’action


Étape 1 : Nettoyage


Dans un premier temps, je récupère le WordPress vérolé en local, je lance une restauration via l’invite de commande wp-cli (changement de compte admin, mise à jour de WordPress et des plugins).

Puis, avec Wordfence, je lance une analyse du site et procède au nettoyage de celui-ci.


Ensuite, je tente d’accéder à la DB.

Elle a été supprimée. C’est trop facile sinon.


Étape 2 : Récupération


Le dernier backup sain date de cinq semaines ; je l’utilise pour restaurer la base.


J’utilise ensuite les logs détaillés mais incomplets pour reconstruire les cinq semaines manquantes.


L’entreprise me fournit le reste des données pour compléter les trous, et j’injecte le tout dans la DB.


Dernière étape, remise en ligne du site avec les données reconstituées et changement des accès administrateurs.


Durée de l’intervention : 3 jours, durée du temps de mise en indisponibilité du service : 12 jours.


Étape 3 : Renforcement


Pour 800 euros, l’entreprise acquiert un serveur de sauvegarde mis sous clé dans ses locaux.

Ce serveur va « pull » quotidiennement les backups distants et les conserver en local.

En sus, je fournis une formation financée à 100 % sur la sensibilisation à la cybersécurité, en insistant fortement sur le phishing et ses impacts.


Le bilan pour l’entreprise :

  • La récupération : 2500 euros
  • Le serveur local : 800 euros
  • La formation de sensibilisation : 0, prise en charge via l’OPCO


La procédure de signalement de fuite a été respectée, les clients avertis.


Cette affaire a une morale : avant de payer une demande de rançon, penchez-vous sur les possibilités de récupération qui s’offrent à vous.


Pur acceder à la formation c'est par ici : Sécurisation des applications web

En résumé

  • Attaque et demande de rançon : Après un phishing réussi, un attaquant prend le contrôle de l'intranet d'une métallerie, verrouille l'accès en modifiant le compte administrateur et exige une rançon de 0.2 Bitcoin (environ 4000 euros) pour rétablir l'accès.
  • Réaction et récupération sans rançon : L'entreprise fait appel à un expert pour récupérer l'accès sans payer la rançon. Grâce à des sauvegardes mensuelles et l'exploitation des fichiers de logs laissés par mégarde en mode débogage, la restauration de la base de données et du site est lancée, comprenant le nettoyage du WordPress infecté et la reconstruction des données manquantes sur cinq semaines.
  • Renforcement de la sécurité : Pour prévenir de futures attaques, l'entreprise investit dans un serveur de sauvegarde local et offre une formation en cybersécurité à ses employés, mettant un accent particulier sur les risques du phishing, le tout pour un coût total de 3300 euros sans inclure la formation, couverte par l'OPCO.

Partager cet article

Qui sommes-nous ?

Mon Formateur Indépendant est un collectif d'experts du secteur du digital.


Nous proposons des formations professionnelles et des accompagnements sur-mesure sur le développement web, la cybersécurité, le SEO et le marketing digital.


Ecrit par : Thomas Dupont

photo de profil de Thomas Dupont


Avec une double casquette de développeur et de contrôleur financier, Thomas allie une expertise technique en développement web à de solides connaissances en gestion d'entreprise. Cette combinaison unique lui permet de comprendre et d'agir efficacement sur les problématiques de ses clients.
En tant que développeur web depuis 10 ans, Thomas maîtrise les technologies et langages web comme JavaScript, TypeScript et Node.js.
Il est intervenu pour des sociétés prestigieuses telles que L'Oréal, Louis Vuitton ou Chanel et travaille sur des applications comptabilisant des centaines de milliers d'utilisateurs actifs.
Il vous apportera une vraie vision orientée solutions.