Certains passages de cette news sont ironiques ou humoristiques, merci de les considérer comme tels.

De nombreux sites sont maintenant développés sur la base de CMS (Content Management System) tel que Joomla!, PhpNuke etc…

Ces derniers permettent de disposer d’un site personnalisable sans avoir à  investir du temps et de l’argent dans des développements lourds.

Mais la situation n’est pas idyllique, loin de là 

Ne nous leurrons pas, nous avons tous tendance à  appliquer le précepte “Tant que cela marche, je ne touche plus”, certes, mais internet n’est pas figé et certaines personnes disposent du temps nécessaire pour chercher à  nuire gratuitement.

Prenons l’exemple de Joomla!, script extrêmement populaire et déployé par nombre de webagencies ou de particuliers, ce CMS est extrêmement modulaire et couvre donc une multitude de besoins. Il est développé par une communauté nombreuse et dynamique mais il souffre d’un mal propre à  son mode de développement et à  sa popularité.

Les sources de ce CMS sont libres, elles sont donc analysées et fouillées en permanence par des hackers et des crackers. Et bien entendu ces derniers découvrent et exploitent régulièrement des failles de sécurité.

L’exploitation d’une faille peut avoir plusieurs conséquences :

1er cas :
La moins répandue, contrairement à  une idée reçue, est le défaçage. Un beau matin vous vous connectez à  votre site, ce dernier n’affiche plus le descriptif de votre société mais un joyeux :

“Hacked By ToTo, i’m the king of the world” ou un tract politique contre la guerre en Irak ou l’impérialisme américain, blabla…

Vous n’avez plus qu’à  effacer le contenu de votre compte ftp, à  réinstaller votre site avec les dernières versions du script et à  changer vos mots de passe.J’insiste sur la réinstallation et non pas une restauration de sauvegardes. En effet, à  ma connaissance, une sauvegarde n’a jamais corrigé une faille de sécurité dans un CMS.

2ème cas :
Tant qu’à  nuire autant ajouter un peu de perversité à  l’action. Votre CMS contient une faille, c’est dommage à  plus forte raison puisque vous ne le savez pas (vous l’auriez comblée sinon). Sachez qu’il est alors possible d’utiliser votre compte pour des actions multiples et variées :
- l’upload de fichiers vidéos ou de mp3 pour qu’ils puissent être partagés entre le plus grand nombre de personnes malveillantes. Si c’est pas sympa de penser aux petits collègues ?
- L’implantation d’un vers qui aura pour mission de scanner le net pour trouver d’autres CMS non mis à  jour et de préparer une attaque par Deny Of Service contre des serveurs des méchants impérialistes américains déjà  cités.

Et là  , cela commence à  nous gêner pour diverses raisons :
- en mutualisé, cela à  un impact direct sur la qualité d’affichage des sites hébergés sur la même infrastrucuture : lorsque 90% de la puissance d’un cluster est utilisée pour scanner le net, elle ne sert pas à  générer des pages Php,
- suspendre un site ne nous fait jamais plaisir, pas plus qu’au client concerné,
- c’est tout de même dommage que vous ayez des problèmes avec la justice à  cause d’une simple faille ? Ah oui, le compte vous appartient vous êtes donc pénalement responsable de son utilisation, c’est tout à  fait logique. Sachez qu’en général ce type de problème se traite directement entre ISP pour plus de rapidité.

Cependant la personne morale ou physique ciblée par l’attaque peut légalement se retourner contre vous, un gestionnaire qui voit son serveur plier sous un flood fait rarement preuve de compréhension ou de tolérance.

Nous ne l’avons jamais fait, mais Celeonet est tout à  fait en droit de se retourner légalement contre vous pour détournement de l’utilisation d’un système informatique. Vous avez de la chance d’être notre client, nous savons que ce n’est pas volontaire

“En général”, ne veut pas dire systématiquement, je ne garde pas un excellent souvenir de mon entretien d’août 2005 avec les représentants d’un service de l’état (qui n’aime pas la publicité) concernant un site sous Joomla! qui présentait une faille sur l’upload de fichiers. Je vous rassure son propriétaire n’est pas en prison mais je ne pense pas qu’il garde un souvenir ému de cette affaire.

Un article bien long pour arriver aux conclusions suivantes si vous utilisez un CMS :
1°) Vérifiez régulièrement qu’aucune nouvelle version de votre CMS n’a été publiée, si tel n’est pas le cas, mettez votre CMS à  jour.
2°) Même punition pour les modules tiers, vérifiez qu’aucune alerte de sécurité n’est publiée sur le site de l’équipe de développement, si tel n’est pas le cas, les mettre à  jour.
3°) Vous avez fait développer votre site par une société tierce, vous ne vous êtes jamais posé de questions sur les mises à  jours (c’est mal !), peut-être est-il temps de vous renseigner sur la possibilité d’obtenir un contrat de maintenance auprès de votre prestataire ?
4°) Vous avez mis en place un CMS sur votre espace Celeonet et franchement tout ça est assez obscur pour vous. Il est temps de marcher vers la lumière et de consulter les forums de l’éditeur de votre CMS.

Questions / réponses fréquentes :
C’est trop tard mon site est hacké ! (Vous n’auriez pas pu publier cette note hier, non ? Damned !)
Il ne vous reste plus qu’à  identifier la faille et à  la corriger, n’hésitez pas à  mettre à  jour le CMS, ses modules etc… Remettre une sauvegarde ne sert à  rien, la faille serait à  nouveau exploitée.

Comment savoir que mon site est hacké et exécute des routines perl ?
Idéalement, il faudrait que vous connaissiez le nom, la taille, la date de mise à  jour de tous les fichiers de votre Ftp et que chaque jour vous effectuiez une vérification afin de vérifier que rien n’a été modifié Bon, dans les faits vous recevrez un mail de Yann ou de Mickael.

Dans le cas de suspension de sites voilà  les questions que nous pose en général le client :

Mon site a été suspendu ou ma fonction mail() a été suspendue, j’en ai été informé par Yannick, Mickael ou Yann (au choix) [...]

que puis je faire ?
C’est très simple, tout est résumé dans cet article.

Quelles sont les preuves de ce que vous avancez ?
Les comptes clients sont liés à  un compte UNIX, en cas d’exécution d’une routine Perl le nom du compte y est associé. De même les mails générés par la fonction mail() sont tracés, le compte expéditeur est donc identifiable sans ambiguité.
Depuis peu, nous joignons une copie d’écran dans nos mails afin qu’aucune suspension arbitraire ne puisse pas être suspectée.

Apparté : Je ne vois pas quel serait notre intérêt de suspendre au hasard un compte client mais à  priori ceci ne coule pas de source pour tout le monde.

J’ai identifié et corrigé la faille, comment remettre mon site en ligne ?
Privilégiez l’utilisation de l’interface de support pour décrire le problème et la manière dont vous l’avez corrigé, dans les plus brefs délais l’un de nos techniciens rétablira votre site.

Il est impératif que mon site soit en ligne, je ne veux/peux pas corriger cette faille dans l’immédiat.
Il est clair que nous ne laisserons pas un site en ligne si celui gêne l’affichage d’autres sites mutualisés, optez pour un serveur virtuel ou dédié. L’impact d’une exploitation se limitera alors à  vos sites, attention ceci ne peut être qu’une solution temporaire dans l’attente d’une correction rapide.

C’est honteux, je change d’hébergeur !!!! (en général en majuscule et avec une crispation sur certains caractères spéciaux).
Mon préféré Il aurait été préférable d’identifier et de corriger la faille de votre CMS, mais ceci règle au moins le problème à  notre niveau si ce n’est au và´tre.

Dans le cas d’une suspension, il est certain que vous éprouvez rarement une grande joie en recevant le mail de notification mais il est intéressant de garder à  l’esprit en rédigeant votre mail que :

- les menaces, insultes etc… ne sont pas des arguments qui seront pris en compte pour le rétablissement de votre site,
- qu’il est nécessaire de décrire la correction apportée et qu’elle soit crédible pour que le site soit rétablit,
- que vous êtes le webmaster de vos sites et que vous en assumez toute la reponsabilité, cela implique qu’en aucun cas nous ne procéderons à  des recherches sur votre compte pour identifier la faille et encore moins la corriger,
- qu’il faut privilégier l’utilisation du panel de support, un ingénieur ou un technicien travaille rarement 24h/24, 7j/7,
- que le caractère répétitif des suspensions d’un même compte entraineront une analyse de plus en plus poussée des corrections apportées.

A titre informatif 3 comptes sur 5334 existants ont été suspendus en octobre pour ce type de problème. Ce sont les réponses des clients concernés qui ont suscité la rédaction de cette news.

Préambule :

Freeix c’est quoi ?
C’est un réseau créé et maintenu par Free ayant pour objectif de permettre à  différents acteurs de l’internet français d’échanger du transit IP. Ce transit n’est pas soumis à  facturation.

Par exemple, Celeonet “peer” sur Freeix avec plusieurs FAI dont Free. Par conséquent les Freenautes passent par le Freeix pour accéder aux sites que nous hébergeons.

Quel intérêt ?
Ne pas payer une partie de son transit IP.

Dans le cadre du déplacement de notre infrastructure notre baie de routage est maintenant située à  200 mètres environ du réseau Freeix ne nous permettant plus d’utiliser une connexion RJ45 en cuivre. La seule solution une fibre optique.

Nous avons donc contacté le responsable de ce réseau afin de migrer vers un port optique, cela est impossible pour les raisons suivantes :
- plus aucune nouvelle connexion sur le Freeix n’est acceptée (depuis 1 an),
- plus aucune modification n’est acceptée,
- seule la maintenance de l’existant est assurée.

A notre niveau cela n’est pas dramatique, nous trouverons bien une solution pour faire une partie des 200 mètres en optique

Par contre nous sommes en droit de nous interroger sur l’avenir de Freeix, ce réseau a fortement contribué à  la baisse des tarifs de la bande passante, sa fermeture aurait un impact non négligeable sur le marché (pas forcément négatif d’ailleurs).

Free aura contribué au développement d’acteurs nationaux (dont Celeo ), certains abus auront probablement décidé Proxad a revoir sa politique en la matière.

Le marché de l’hébergement français est le moins cher du monde (et oui) mais dans un contexte o๠les datacenters multiplient leurs tarifs par trois et o๠le coût de la BP risque d’augmenter, quel est l’avenir des ISP qui n’ont pas atteind une taille critique ? (Je vous rassure immédiatement, Celeonet a une taille qui lui permettrait de ne pas souffrir d’une fermeture du Freeix).

L’explosion de la bulle internet, le retour

Edit : Rani Assaf, le directeur technique de Free s’exprimait sur la problématique du peering il y a un an déjà  , c’est ici.

Nous avons terminé hier le câblage de notre suite chez Completel, le plus dur est fait (enfin j’espère).

L’objectif était de disposer d’un réseau filaire “propre”, je pense que nous avons atteind nos objectifs.

En parallèle, l’un de nos objectifs consiste à  limiter nos déplacements en Datacenter afin de gagner en réactivité. Les prises électriques des serveurs sont managées par des PDU HP nous permettant d’effectuer des reboots distants.

Début 2008, nous procéderons à  la mise en place progressive de KVM IP.

La baie de brassage sur laquelle sont connectés tous les serveurs.

Vu de la baie de brassage depuis le faux plancher

Le “dos” de la baie et les boyaux de câbles.

Sortie des câbles dans une baie.

Vue d’ensemble

En plein câblage, le plus dur est en cours 2Km de câble RJ45 tout de même…

Nous vous en avions parlé il y a quelques mois, c’est maintenant effectif. Nous venons de prendre possession de notre suite dans le datacenter parisien de Completel.

Nous avons opté pour un espace au sol “nu”, les baies et le câblage sont donc à  notre charge. Nous disposons de 3 semaines pour transférer notre architecture. La première semaine est dédiée à  l’équipement de la salle, la 2ème et la 3ème au déplacemement des serveurs.

Quelques photos en fin de 1ère journée.

Mercredi, jeudi, vendredi, câblage…