Pour ceux qui le savent pas, je fais partie de l'ACBD, Association des Critiques de Bande-Dessinées. Chaque année, plusieurs événements rythment l'association, notamment les Prix de la Critique (principal et manga) et le rapport annuel sous le haut-patronage de Gilles Ratier.

Outre votre serviteur, cette association regroupe un certain nombre de journalistes qui tiennent une rubrique régulière sur la BD, dont certains avec carte de presse. Et afin de communiquer sur ses événements, d'assurer un point de présence pour ses différents interlocuteurs du secteurs (éditeurs, attachés de presses, auteurs, organisateurs de festival, etc…), l'ACBD a fait construire un site web.

Pour des raisons de temps, je ne m'en étais pas préoccupé. Le site est relativement simple et joue parfaitement son rôle. Jusqu'à ce que courant Décembre dernier, il se fasse pirater, défacer.

Évidemment, les journalistes non-spécialistes dans le domaine informatique ont souhaité être éclairés sur les raisons, les motivations, etc… Comme ce n'est pas la première fois qu'on me demande des explications dans de telles circonstances, je reproduis ici l'e-mail que j'ai écrit le 2 Janvier dernier, car je suis persuadé qu'il peut aider d'autre personnes dans une démarche pédagogique.

Je vais expliquer ce qu'il s'est très probablement passé :

Qui a intérêt à pirater un site comme le notre ?
Ce que l'on appelle des script-kiddies. Des petits br****rs qui tentent de se faire un nom en cassant le plus de sites possibles. Pour cela, ils utilisent tout simplement un programme qui permet de “défacer” un site, de remplacer sa page de base par un message, en général soit pour signer le forfait 3n ut1l1s4nt d3s ch1ffr3s 4 l4 pl4c3 d3s voyelles pour se donner un genre, soit par revendication politique, ce que semble indiquer le drapeau.

Comment cela se passe-t-il ?
Les petits br… script-kiddies qui ne sont pas de vrais pirates, font tout simplement tourner un logiciel (Blackhole, Nuclear Pack, genre ça) sur un maximum de sites. L'outil va simplement essayer des combinaisons de mots de passe “facile” (mots de passe de moins de 8 caractères par exemple), et des failles de sécurités en générales archi-connues (plus de 6 mois). Si le site a une politique de sécurité faible, il peut être cassé en 10 secondes. s'il est solide, ils abandonnent au bout d'une heure parce qu'ils ne savent pas faire autre chose qu'une page html et mettre une adresse dans un logiciel.
C'est ce qui est arrivé à Charlie Hebdo ¹

Comment fait-on pour contrer ce type d'attaque ?

  • On maintient à jour (perpétuellement) le logiciel CMS qui fait tourner le site. Ici, Joomla. Cela peut devenir très fastidieux. D'autres logiciels (au hasard Dotclear) permettent de se mettre à jour en un clic si l'installation a été propre. Gros confort.
  • On abandonne l'usage du ftp (le mot de passe est transmit en clair), on s'intéresse au SSH malgré ses controverses ¹
  • On utilise un mot de passe solide. Au moins 8 caractères à l'heure actuelle (quoiqu'on recommande plus de 16) avec des chiffres et des lettres réellement pris au hasard. Vous pouvez tester sur ce genre de site ce que donne un mot de passe comme “sfar” ou “n2xK&:”.
  • On teste le site avec un pen-tester, qui est la version “gentille” d'un robot de defacement. Mais là, cela demande de très bonnes connaissances techniques.

Pour le dernier cas, je vous recommande de vous intéresser aux Crypto Parties ¹ qui ont pour but d'informer les gens sur leur identité et leur sécurité numérique. Hélas, aucune de programmée pour l'instant sur Paris.

Comment fait-on quand le site a été compromis ?

  • En général on a une copie complète du site sur un autre ordinateur, textes et images inclus.
  • On suspend immédiatement l'hébergement, on remplace TOUT par un bête message d'excuse, après avoir changé le mot de passe (d'où l'intérêt d'avoir une copie “statique” de votre site sain : dans votre navigateur, enregistrer “page web complète”) .
  • On crée un nouvel hébergement à part,
  • On crée de nouveaux mots de passes,
  • On met à jour le CMS dans sa version la plus récente, ainsi que ses plugins si ces derniers ne peuvent être supprimés.
  • On remet le contenu normal complet du site.

Évidemment, il faut avoir pensé à avoir préservé une copie régulièrement.

Comment pirate-t-on l'Elysée ?
On envoie un faux e-mail facebook²
C'est du social engineering², et ça demande très peu de compétences informatiques ;)

¹ Oui, ce sont des billets de mon blog. Et quitte à lier à la Wikipédia, j'ai publié une interview de la directrice France avant-hier
² Ces deux derniers liens sont des articles écrits par Marc Olanié, seul journaliste en sécurité informatique à parsemer ses articles de références à Gaston Lagaffe.

Je ne pourrais être présent à Angoulême cette année.