Peut être en avez-vous entendu parler mais beaucoup de sites web hébergés chez Sivit se sont fait pirater le week-end dernier. Leurs pages d'index ont été remplacés par la signature du hacker. Je m'en suis aperçu non pas parce que j'ai le moins site web chez eux mais le site du jour, affiché dans  notre rubrique de liens, était alors japanim.net qui était un des sites victimes. À en croire les fora spécialisés, la situation a mis quelques temps à revenir à la normale, le week-end Pasqual n'aidant pas particulièrement.

Les déffaçages de sites se produisent régulièrement, avec plus ou moins de publicité autour. L'internet prend une place de plus en plus importante dans les buisness mais certains comportements naïfs semblent toujours perdurer, même dans les milieux professionnels. Le magazine de l'économie, Capital, qui est pourtant fort loin du domaine, s'est targué ce mois-ci d'un petit article pratique sur le sujet. Les exemples sont assez effarants avec des sites institutionnels mis à jour comme des Wiki, c'est-à-dire libre librement par le visiteur. Vous avez  aussi un site avec une adresse du style example.com dont le sésame de l'interface d'administration s'ouvre avec l'identifiant admin et le mot de passe example. Il n'y a même pas eu besoin d'une attaque à l'aide d'un dictionnaire. Un minimum de bon sens suffit…

Les attaques courantes passent généralement par des failles découvertes dans les applications web fréquemment utilisées tels que les scripts de forum ou bien les systèmes de gestion de contenu. Un pirate peut s'attaquer à un site en particulier mais le sport de certains consiste plutôt à automatiser les attaques et à atteindre le maximum de sites.

Les professionnels qui considèrent leurs sites comme critiques sont en général bien armés et ne prennent pas la sécurité à la légère. Ils évitent les fautes grossières et mettent les moyens pour assurer de bonnes défenses de façon naturelle. Un haut niveau de protection exige cependant des investissements lourds, qui ne sont pas à la portée des sites amateurs. Pour eux, que reste-t-il à la disposition ?

Certains choisiront carrément de proscrire toute page dynamique et de se cantonner à la bonne vieille page HTML. Pas de page dynamique, pas de risque. Hélas, le cas Sivit est un bon contre-exemple. La faille s'est produite à un niveau supérieur et le script pirate a modifié l'ensemble des indexes des sites, qu'ils soient statiques ou dynamiques. Mêmes si les parapets entre comptes n'ont pas fonctionné, les équipes de support ont incriminé des failles parmi les outils utilisés par certains clients. C'est là un problème des hébergements mutualisés. Non seulement vous partager les ressources mais vous partagez souvent les risques. Vous aurez beau faire preuve de rigueur dans la gestion de votre site, cela n'aura pas grand intérêt si votre voisin laisse sa porte grande ouverte.

Nous avons fait l'expérience à plusieurs reprises sur Animint. Les dégâts n'ont pas été bien graves – dans le contexte d'un projet amateur – mais cela se traduit ensuite par des règles de sécurité plus drastiques chez notre hébergeur. Le risque zéro n'existe pas même si quelques précautions suffisent à réduire ce risque.

Il est vital d'avoir des sauvegardes régulières de l'ensemble des données. Se faire pirater sa page d'accueil n'est jamais plaisant mais perdre tout le contenu, c'est bien pire. En automatisant le processus, cela augmente l'utilisation de l'espace disque mais c'est inévitable. Dans le cas d'une base de données, il faut également vérifier que les sauvegardes sont exploitables. Un annuaire français a eu quelques soucis au mois de mars 2007 avec sa base. Ils se sont aperçus que les sauvegardes étaient corrompues depuis le mois de décembre 2006! Résultats, ils ont du faire une restauration à cette date et ont perdu l'ensemble des sites inscrits après décembre 2006.

Pour éviter les attaques automatiques concernant les applications open source, une défense simple est de ne pas les utiliser et de concevoir vos propres applications. Le premier avantage est de coller pile poil à votre besoin. Le second est que vous maîtrisez votre code et n'ajoutez pas de faille inutile. D'autre part, même si vous êtes faillible, il est peu vraisemblable qu'un pirate perde son temps chez vous pour dénicher une porte dérobée, à moins que vous soyez un énorme site renommé. La méthode a cependant des inconvénients. D'une part, ce n'est pas à la portée de tout le monde de faire du développement et qui plus est, du développement propre. Le plus gênant est que tout le temps passé sur le code est autant de temps pris au détriment du contenu ou d'une autre tâche.

Je reviendrai une autre fois sur la répartition du temps entre les différentes tâches de webmastering mais l'un des dilemmes est bien de conserver un équilibre entre les différentes occupations. C'est d'autant plus vrai que si votre site peut présenter quelques particularités sur certains points, il est peu vraisemblable que vous ne puissiez pas réutiliser un logiciel de forum existant ou un programme de galerie d'images déjà tout fait. Les montées de version de ces applications proposent de nouvelles fonctions à moindre coût pour vous.

Une alternative consistent à employer des logiciels open source et à les personnaliser assez profondément pour votre usage. Avec un peu de chance cela occulte certaines failles et vous protège des robots hacker même si cela pose quelques difficultés pour les maintenir par la suite, comme vous aviez dévié de la version officielle.  

Dans le même ordre d'idée, si vous avez les moyens, vous pouvez opter pour un serveur dédié. Là aussi, cela requiert quelques compétences et une discipline pour remettre à jour non seulement vos applications mais le système d'exploitation. Cela vous permet en revanche de rester maître chez vous et même d'opter pour un système d'exploitation un peu exotique. Dans le passé - cela remonte à plus de cinq ans maintenant - un de nos voisin avait laissé une ouverture béante par laquelle est passé un pirate qui a lancé ses scripts pour  devenir maître du système d'exploitation. Heureusement pour le serveur - et pour nous tous - , le système d'exploitation n'était pas sous la version de Linux attendue et le pirate est reparti bredouille.

Pour ma part, la maintenance d'Animint reste un hobby – hobby éclairé car le site me sert souvent de laboratoire par ailleurs – mais nous avons pris un minimum de précautions pour éviter une trop grande déconvenue en cas de dégâts. Je vous invite à faire de même si ce n'est pas déjà fait.