Profitez-en, après celui là c'est fini

Le jour où j’ai été hacké

octobre 26th, 2015 Posted in Non classé

Mercredi dernier, j’ai eu le déplaisir intense de découvrir que l’accueil de presque tous les sites hébergés sur mon serveur1 avait été remplacée par la page qui suit :

system_hacked

J’avais été hacké.
Cela ne se voit pas sur cette capture d’écran au format réduit, mais la page a pour arrière plan un motif à base de zéros et de un. Bien qu’il s’agisse d’une page HTML dynamique, et qu’il y ait une image, l’esthétique générale évoque les systèmes d’exploitation en ligne de commande. Un piratage informatique de cinéma, quoi. L’image de fond contient l’adresse d’un site turc actuellement injoignable, spécialisé dans la sécurité informatique et le hacking, mais dont de nombreuses pages sont consacrées au créateur de la Turquie moderne, Mustafa Kemal Atatürk. Le message que l’on m’envoie, en résumé, est que la sécurité de mon site est insuffisante. La destruction de données n’a été qu’un « défacement » : seules quelques pages ont été détruites, dont la plupart n’étaient que des fichiers du logiciel WordPress (le système qui sert de moteur à ce blog, par exemple). Ça se répare, donc.

Même si mon premier réflexe a été de tweeter « J’arrête Internet », j’ai pris le vandalisme avec un flegme qui m’a moi-même étonné : tant pis pour les un, deux ou trois jours que prendraient les réparations, il ne fallait pas précipiter les choses, et surtout, comprendre comment empêcher qu’elles se reproduisent. J’ai écrit à la cellule dédiée à la sécurité Internet de la Gendarmerie Nationale pour demander conseil. Un robot m’a aussitôt répondu que mon message serait pris en compte dans les plus brefs délais. Je me demande quand j’en entendrai parler à nouveau. J’imagine qu mes blogs ne constituent pas un objectif prioritaire de sécurité nationale.

sauveteurs

On n’est jamais seul, sur Internet. Benjamin, Olliver et Unickuity (qui m’avait sauvé alors que j’avais des problèmes de serveur il y a cinq ans de ça !) se sont instantanément proposés sur Twitter pour me secourir.

On demandait un jour à Charles Darwin pourquoi les chiens avaient la manie de se lécher le rondibé. L’auteur de l’Origine des espèces a alors répondu : « parce qu’ils sont assez souples ».
Il n’est pas improbable que j’aie complètement inventé cette citation triviale que je colporte depuis plusieurs décennies et que je n’ai jamais retrouvée nulle part ailleurs que dans ma mémoire. Mais peu importe son degré d’authenticité, j’aime bien cette explication, qui rappelle que ce qui arrive n’est pas ce qui doit arriver, mais ce qui n’a pas de raison de ne pas advenir, ce que rien n’empêche, ce qui peut arriver.
Plusieurs personnes m’ont demandé pourquoi on m’avait fait ça. Pourquoi à moi : est-ce qu’il s’agissait de représailles ?2. Je connais la réponse, et elle est très simple : c’est arrivé parce que, effectivement, il y avait des failles dans la sécurité de mon site3, et qu’il existe des logiciels tout faits pour trouver des sites mal mis à jour, et pour assommer ces derniers de requêtes permettant d’en faire des portes d’accès pour en prendre le contrôle. En gros. Bref, si mon serveur a été hacké, c’est pour la raison que j’attribue à Darwin : parce que c’est possible.
Mes pirates, plutôt que de se réclamer de Darwin préfèrent citer en anglais Mustafa Kemal Atatürk qui a a dit :
« Victory is for those who can say « Victory is mine ». Success is for those who can begin saying « I will succeed » and say « I have succeeded » in the end »4.
Je n’arrive pas à trouver beaucoup de profondeur à cette tautologie — les voies du nationalisme sont décidément impénétrables.

benjamin_sonntag

Jeudi, j’ai foncé chez Octopuce, société d’hébergement Internet et d’administration système co-fondée par Benjamin Sonntag (ci-dessus), pour que ce dernier secoure le piètre administrateur Unix5 que je suis.
Benjamin a tourné la tête le temps que je saisisse mon mot de passe, et il a pris le contrôle du sixième serveur du bloc A de la baie ving-et un de la rangée C de la zone PRO de la salle cent-trois d’un data-center situé en périphérie de Paris : ma maison, quoi. Le data center en question est protégé des pannes électriques par deux-cent tonnes de batteries, et des assauts par un blindage anti-balles. En fouillant dans mes dossiers, en voyant les listes des domaines hébergés, Benjamin m’a dit que l’opération était très intime : mettre les mains dans le serveur de quelqu’un, c’est un peu comme fouiller ses placards, voire son linge sale.

Il aurait été intéressant de filmer. Comme un hacker « white hat »6 de série télévisée, Benjamin travaille sur de nombreuses fenêtres en même temps (et même sur plusieurs écrans), passant de l’une à l’autre par des raccourcis clavier, sans jamais se perdre. Il saisit certaines commandes tellement souvent qu’il les a raccourcies à seule lettre. Régulièrement, un de ses collègues passe une tête et pose une question technique totalement incompréhensible au profane sur les clusters et les noyaux (et encore, je ne cite que les mots dont je connais le sens), question à laquelle Benjamin a invariablement la réponse. L’enquête aura permis de déterminer que le pirate avait vraisemblablement opéré mercredi un peu avant 02:40 depuis la une adresse dynamique de Türk Telekom. Benjamin a supprimé ou rendu inoffensifs quelques programmes laissés en cadeau par mes pirates, et renforcé la sécurité générale du serveur.
J’ai été assez flatté d’apprendre qu’il n’y avait pas d’erreur flagrante dans ma configuration du système, mais toute cette affaire a été une belle piqûre de rappel : si le serveur a une faille connue, alors il se trouvera un hacker à deux sous pour en profiter. Et ça m’aura rappelé aussi que j’ai de la chance d’avoir des amis !

  1. Il s’agit de mes sites, comme par exemple hyperbate.fr, scientistsofamerica.com, synchise.com, twilightzonecrew.com, mais aussi des sites d’amis que j’héberge : jlggb.net, lantb.net, colonelmoutarde.comclosky.info, mrexhibition.net… []
  2. Après tout, ce hacking a suivi de quelques heures seulement la publication par Rue89 d’un article dans lequel je critiquais fortement Chronopost… []
  3. Apparemment, la porte d’entrée a été le site ifdesignelseart, créé pour la sortie du livre Processing : Le code informatique comme outil de création il y a quatre ans, et dont j’avais négligé de mettre à jour le programme. []
  4. La victoire appartient à ceux qui disent « La victoire est mienne ». Le succès revient à ceux qui disent « J’y arriverai » puis qui disent « J’y suis arrivé ». []
  5. Pour ceux à qui ça dira quelque chose, la première distribution unix (oui oui, ça va, je sais que Linux n’est pas unix mais un unix-like, et que Gnu’s not unix, etc.) que j’ai installée était une Slackware, en 1996 ! Bientôt vingt ans, donc, et pourtant je ne suis pas devenu le centième d’un expert, je n’ai jamais accepté de retenir aucune commande shell en dehors de cd et ls. Si je veux créer un dossier ou supprimer un fichier, je dois d’abord demander les commandes adéquates à Google, de peur de causer une catastrophe. []
  6. Les « white hat » sont les gentils hackers, ceux qui règlent les problèmes et qui traquent les « black hats » — les méchants hackers. []
  1. One Response to “Le jour où j’ai été hacké”

  2. By Dereckson on Oct 27, 2015

    [ Au niveau du message ]

    Bon nombre de pays exaltent leurs jeunes à un nationalisme développé. Ainsi, le jeu agar.io est intéressant à ce niveau : (i) il offre un gameplay simple, immersif où une cellule (chaque joueur en incarne une) doit grandir en mangeant des cellules plus petites (ii) l’auteur a d’abord promu ce jeu sur 4chan. Le bilan en est que ces cellules sont décorées de drapeaux et noms de pays, et des alliances se forment par affinité politique. Cela a atteint en Turquie son paroxysme lors des élections, comme le relève http://www.hurriyetdailynews.com/web-game-becomes-latest-battlefield-in-turkish-politics.aspx?pageID=238&nID=83041&NewsCatID=338

    Le jeune turc est donc fier d’être turc, de l’héritage de son pays et va afficher cette partie de son identité de façon proéminente. Y compris quand il va s’amuser en lançant des « attaques » informatiques.

    Ce sentiment d’ancrage local de l’identité n’est cependant pas absent de nos contrées, ailleurs qu’au niveau national. En France, lorsqu’un jeune qui n’a pas encore le talent pour les graffs s’essaient à ses premiers tags, il écrira souvent une mention faisant référence à son quartier, ou son n° département. En Belgique, à sa commune ou code postal.

    L’imagerie de cinéma est intéressante également : je m’aperçois qu’en ayant donné l’image du graff sur la différence de rattachement géographique dans l’identité, le but pourrait être similaire : marquer son territoire par un tag, planter son drapeau par un defacement.

    [ Au niveau prophylactique ]

    Ce qui est une bonne idée pour éviter que ça ne se reproduise, ou du moins cloisonner les effets à un seul site sans propagation, c’est de séparer les comptes utilisateurs de chaque site.

    En 2001, lorsque l’un de nos serveurs a été hack de façon similaire, là non par un programme non mis à jour mais par une faille de sécurité d’un programme maison sur un site ami qu’on hébergeait, on était directement passé à une configuration SuEXEC + CGI, où chaque domaine ou site est exécuté par un compte utilisateur distinct. Conséquence : s’il y a une faille sur UN site, cela n’affecte pas le site des voisins. Bilan : pas un seul incident serveur lié à une attaque Web les 15 années suivantes.

    En 2015, on dispose également de php-fpm qui permet de créer plusieurs pools, et là aussi d’exécuter le code PHP sous des noms d’utilisateurs différents pour chaque domaine ou site.

Postez un commentaire


Veuillez noter que l'auteur de ce blog s'autorise à modifier vos commentaires afin d'améliorer leur mise en forme (liens, orthographe) si cela est nécessaire.
En ajoutant un commentaire à cette page, vous acceptez implicitement que celui-ci soit diffusé non seulement ici-même mais aussi sous une autre forme, électronique ou imprimée par exemple.