Sale temps pour la liberté de presse

ACTU
Par Ph. Huysmans on Sunday, 7 May 2017

En l'espace de deux mois, deux sites parmi les plus populaires de la presse alternative ont été violemment attaqués dans le but de les détruire.  Malheureusement, l'un d'entre eux est, pour l'instant, resté sur le carreau.

Dans cet article, je décrirai brièvement les attaques dont ont été victimes d'abord Arrêt Sur Info de Silvia Cattori, puis Investig'Action de Michel Collon.  Ensuite je présenterai des moyens que chaque éditeur de presse alternative peut assez facilement mettre en place pour s'en prémunir de manière efficace.

Quelle que soit l'opinion que l'on a sur tel ou tel site d'information, et si je conçois qu'on puisse être radicalement opposé aux idées, j'estime qu'il est parfaitement inacceptable en démocratie de s'en prendre aux voix dissidentes pour les faire taire.  Au reste quand on connaît les cibles, il n'est pas très difficile de remonter aux responsables.  Faut-il préciser que même au cas où on parviendrait à remonter jusqu'à la véritable adresse IP des attaquants, vous ne trouveriez pas un inspecteur de police ou un procureur pour recevoir votre plainte, ou bien celle-ci serait rapidement classée sans suite.

Les attaques

Arrêt Sur info : Le premier a avoir subi des attaques a été Arrêt Sur Info.  Dans la mesure où le site était déjà abrité derrière CloudFlare, celles-ci ont pris la forme de requêtes multiples et répétées sur l'ensemble des archives, via le port 80.   De simples requêtes comme celles que l'on fait lorsqu'on navigue sur le site, à la différence qu'elles étaient très nombreuses et ont mis le serveur sur les rotules.  Une fois les pages en cache dans CloudFlare (après la première demande, donc), celles-ci sont ultérieurement servies par lui sans plus transmettre la demande au serveur qu'il protège.

Investig'Action : Les attaques, d'une rare violence, ont duré plus d'une semaine et étaient multiformes.  En plus de la technique exposée ci-dessus, les attaquants ont fait appel au DDOS, une attaque en déni de service distribué.  En pratique, un ou plusieurs serveurs envoient des requêtes UDP sur la machine pour en saturer le stack, la mettant dans l'impossibilité de répondre aux demandes ultérieures.  Le serveur est totalement bloqué.  Cependant, l'ampleur somme toute limitée de l'attaque DDOS et le fait qu'ils aient du combiner avec une saturation de requêtes HTTP simples semble indiquer que ce n'était pas une attaque massive, via des dizaines de serveurs, mais plutôt l'initiative d'une ou deux personnes, en faisant appel à des services gratuits que l'on trouve ça et là sur le web.  En fait, il s'agit d'utiliser des soi-disant outils de stress-test comme outils de production pour faire tomber un serveur.  Les attaques plus massives quant à elles nécessitent plus de ressources, ce qui s'avère souvent coûteux.

Conséquences

Dans le cas d'Arrêt sur Info, les conséquences ont été dramatiques.  La WebMaster, qui est aussi rédac-chef du média a décidé, jusqu'à plus ample informé, de laisser le site en jachère, découragée par les attaques répétées, et devant les difficultés qui se posent pour sécuriser mieux son serveur.  Résultat, plus aucun nouvel article publié, les auteurs sont dépités, les lecteurs aussi.

Pour InvestigAction, qui est un collectif, la situation a pu être rétablie après une semaine complète de blocage quasi-permanent, mais on imagine que cela leur aura causé un double préjudice.  D'une part, un manque à gagner pour une organisation qui ne vit que de dons et de la vente de ses livres; et d'autre part, les frais liés à la remise en service et la protection de leur hébergement.

Faut-il craindre d'autres attaques ?

Objectivement, je crois qu'il est tout à fait concevable que d'autres sites de médias alternatifs aient aussi à faire face à des attaques dans les prochaines semaines ou les prochains mois.  Vous aurez vu comme moi que les cibles ne sont pas anodines, et qu'elles indiquent assez clairement d'où pourraient provenir les attaques.  Des petits Kévin autoproclamés justiciers, ou plus exactement exécuteurs des basses oeuvres à l'encontre de ceux qui osent s'exprimer en dehors des chemins balisés par la pensée unique.

Que peut-on faire pour se protéger ?

Les mesures qui peuvent être prises dépendront avant tout de votre hébergement et du CMS que vous utilisez pour gérer le contenu de votre site.   En gros, il y a deux types d'hébergements :  mutualisé ou dédié.  Et pour les CMS, il y en a deux qui sont très largement utilisés : Drupal et WordPress.  Il y a bien encore ça et là des CMS Spip en production, parce qu'ils avaient la cote, à une époque, parmi les sites d'info alternative, mais il ne sera pas abordé ici.

Hébergement mutualisé

C'est l'entrée de gamme de l'hébergement.  De nos jours on en trouve à moins de deux euros par mois chez divers fournisseurs.  Qui dit mutualisé dit partage des ressources.  En gros, on parle d'un serveur sur lequel peuvent être installés des dizaines de sites différents correspondant à des clients différents.  En général ces hébergements viennent avec de solides limitations en termes de bande passante, de quotas, du nombre de sous-domaines ou de bases de données que l'on peut créer.  Plus grave dans le cas qui nous occupe, le client n'a de visibilité que sur sa propre zone d'hébergement, et nullement sur les paramètres du serveur.  Il ne peut ni le stopper, ni le redémarrer, ni modifier des paramètres de la configuration du serveur.  De plus, ces hébergements offrent rarement une protection contre les attaques telles des détecteurs d'intrusion ou des firewalls.

Mesures de protection spécifiques

  • Abriter le serveur derrière un proxy inversé, comme CloudFlare par exemple (gratuit)
  • Configurer des règles spécifiques dans le firewall d'infrastructure et s'il n'y en a pas en installer un en front du serveur.  Faire un discard des paquets ICMP et UDP.  Limiter strictement les ports ouverts à ce qui est indispensable.  Exiger une clé cryptographique avant toute identification SSH.
  • Empêcher l'accès au serveur web par son IP, ce qui permettrait à un attaquant de scanner des pans entiers d'un hébergeur à la recherche de sa cible

Serveur dédié

Il s'agit d'une machine (physique) entièrement réservée au seul usage du client qui la configure entièrement selon ses propres besoins.  Il a donc les droits nécessaires à l'installation de tous les logiciels qu'il estimera utiles.  De plus ces plans d'hébergement s'accompagnent souvent de connexions rapides et illimitées, voire même la protection d'un firewall d'infrastructure configurable par le client.  Ce type d'hébergement commence aux alentours de 50 EUR/mois, soit tout de même 20 fois plus cher qu'un hébergement mutualisé. 

On pourrait aussi parler du modèle hybride : une machine virtuelle sur un serveur mutualisé.  Les avantages de la machine dédiée au point de vue de la configuration, mais les inconvénients de l'hébergement mutualisé en termes de restrictions, de quotas et de robustesse.

Mesures de protection spécifiques

  • Abriter le serveur derrière un proxy inversé, comme CloudFlare par exemple (gratuit)

Qu'est-ce que CloudFlare ?

C'est un proxy inversé.  Il se place entre les clients et votre propre serveur.  Faisant cela il masque aux clients la véritable adresse IP de votre serveur qui ne peut donc plus être attaqué directement pour peu que cette adresse n'ait pas été répertoriée.  Malheureusement, certains se sont mis en tête qu'en fait CloudFlare servait principalement à masquer l'identité de truands qui se livrent à des activités illicites sur internet (trafic, spam, arnaques, ...).  Et certains ont créé des applications qui scannent inlassablement le net en notant scrupuleusement l'adresse IP véritable des serveurs correspondant aux noms de domaines.  Il est donc judicieux, après avoir abrité son serveur derrière CloudFlare de vérifier si ces applications sont capables de retrouver l'adresse IP de votre serveur.  Et si cette adresse reste accessible, de demander à votre fournisseur de déplacer votre site sur une autre machine.

CloudFlare agit également comme cache.  C'est-à-dire qu'il stockera localement une copie des pages que les utilisateurs ont déjà demandées.  Et au cas où cette page est ultérieurement redemandée, il ira la chercher directement dans son infrastructure sans que votre serveur soit mis à contribution.  C'est ce qu'on appelle le cache-hit, le nombre de pages qui ont été servies par lui, économisant autant de précieuses ressources sur votre serveur.

Se plaçant entre les clients qui peuvent s'avérer animés de mauvaises intentions et votre propre serveur, en cas d'attaque, ce sont les serveurs de CloudFlare qui prendront les coups, et non pas votre précieux serveur web.

Une autre fonctionnalité intéressante est la possibilité d'ajouter, pour une adresse IP, pour une groupe d'adresses IP, voire même un pays entier la nécessité pour l'utilisateur de prouver qu'il n'est pas un robot.  Vous avez tous déjà probablement vu ceci :

Parmi les autres options, on peut aussi choisir le «javascript challenge», toujours pour s'assurer qu'on a bien affaire à un internaute et pas à un robot qui comme dans le cas d'Arrêt Sur Info était hostile et dont l'objectif était de mettre le serveur par terre en le submergeant de requêtes simultanées.

Au niveau du CMS (Drupal, WordPress, Spip...)

Il est absolument impératif de disposer d'un gestionnaire de cache aussi au niveau du CMS, ne serait-ce qu'au cas où pour l'une ou l'autre raison CloudFlare repasserait subitement en mode transparent et répercuterait toutes les demandes sur le serveur « origine » (le vôtre).

Dans Drupal, c'est prévu, il suffit de l'activer au niveau du panneau de configuration :

Pour ceux d'entre vous qui utilisent WordPress, il faut installer un plugin comme par exemple Super_Cache.  Pour les autres CMS aussi, c'est indispensable, et s'ils ne le permettent pas, fuyez, pauvres fous !  Par les temps qui courent, vu la sophistication des CMS qui nécessitent tant et plus de cycles processeur pour afficher une simple page web, l'absence d'un gestionnaire d'antémémoire est un no-go.  C'est tout simplement suicidaire.

Pour terminer

À moins que vous ne soyez particulièrement débrouillard, la configuration de CloudFlare, sans parler de l'installation d'un serveur dédié sont des tâches qui nécessitent des compétences techniques spécifiques.  Le minimum étant de pouvoir modifier chez votre « registrar » les serveurs de domaines à utiliser (qui devront être ceux de CloudFlare).

La question à poser ici étant : pouvez-vous risquer de vous faire réduire au silence pendant des jours voire plusieurs semaines, ou à jamais ?  Il faut donc mettre en balance les frais éventuels qu'exigeraient l'intervention planifiée d'un technicien pour quelques heures de boulot avec les frais qu'occasionneraient la même intervention dans l'urgence qui s'ajouteraient à un éventuel manque à gagner.

Si vous aussi vous êtes responsable d'un site de presse alternative, si vous pensez que vous pourriez être un jour la cible d'attaques pour la seule raison de vos écrits, et si vous avez une question spécifique, vous pouvez me la poser via mon formulaire de contact, j'y répondrai dans toute la mesure du possible, au mieux de mes capacités.

Tags: 
LIBERTE
PRESSE
HACKERS
Références: 
CloudFlare

Comments

Submitted by Anonymous on Mon, 2017-05-08 16:18

ZeroNet. Open, free and uncensorable websites, using Bitcoin cryptography and BitTorrent network.

Submitted by Ph. Huysmans on Tue, 2017-05-09 08:29

Yep but who will use torrent to browse the web ?  Nowadays, even open a single page seems to be a hassle for the average user which is only capable of opening Facebook ?

I guess that in some circumstances this should be useful but still unusable in a practical way in the everyday life.

Les assertions et opinions exprimées dans les pages du Vilain Petit Canard par des contributeurs, ou dans le cadre d'une reproduction restent propriété exclusive de leurs auteurs respectifs réputés en assumer l'exactitude et la responsabilité qui ne peut être imputable à la rédaction du Vilain Petit Canard. Ces articles sont signalés par une mention spécifique du nom de l'auteur ou son pseudo s'il a souhaité garder l'anonymat, et mentionnent un lien vers l'article original.

Newsletter hebdomadaire

Inscription Newsletter

Ils l'ont dit [+]

Plus on rentre dans le moule plus on ressemble à une tarte.
Anonyme
Un peuple qui élit des corrompus, des renégats, des imposteurs, des voleurs et des traîtres n'est pas victime, il est complice.
George Orwell
Il est plus facile de tromper les gens que de les convaincre qu’ils ont été trompés
Mark Twain

Sélection d'Actu

22/06/2017 > SYRIE/ISRAËL > Israël fournit de l'aide et finance les rebelles en Syrie
Israel has been regularly supplying Syrian rebels near its border with cash as well as food, fuel and medical supplies for years, a secret engagement in the enemy country’s civil war aimed at carving out a buffer zone populated by friendly... [Wall Street Journal]
11/06/2017 > GUERRE/IRAK > Selon Human Rights Watch, des munitions au phosphore blanc ont été utilisées, dans la partie ouest de Mossoul
Le ministère irakien de la défense n’a pas confirmé, ni démenti son utilisation. Il a en revanche déclaré que la coalition a tiré des munitions pour faire de la fumée et protéger un groupe de civils qui fuyait les snipers de l’Etat... [Euronews]
05/06/2017 > CONSO > Poules maltraitées en Vendée: Panzani s’engage à ne plus utiliser d’œufs de batterie
Le groupe a réagi après la diffusion d’une vidéo dénonçant des conditions d’élevage déplorables dans une exploitation vendéenne…Quelques heures après la mise en ligne d’une vidéo révélant les conditions sanitaires « déplorables » d’un... [20 Minutes]
31/05/2017 > France/État d'Urgence > L’état d’urgence sert à restreindre le droit de manifester, constate Amnesty International
Alors qu’Emmanuel Macron prévoit la prolongation de l’état d’urgence, en vigueur depuis plus de 18 mois, Amnesty International publie ce mercredi un rapport sur les dérives liberticides de son utilisation. Interdictions de rassemblements,... [Reporterre/Amnesty]
21/05/2017 > MEDIAS/FRANCE > "ONPC" : Vanessa Burggraf se fait recadrer par Najat Vallaud-Belkacem
Cette tourte de Vanessa Burggraf se fait dézinguer en direct par Najat après avoir relayé ce qui n'est rien d'autre qu'une fake niouze lancée par la fâcheuse sphère, sur la " réforme de l'orthographe ". [L'Obs.]
10/05/2017 > POLITIQUE/USA > Donald Trump limoge le patron du F.B.I., James Comey
" Je suis cependant d'accord avec l'analyse du ministère de la Justice selon laquelle vous n'êtes pas capable de diriger de manière efficace le Bureau ". Ca pique un peu... [LALIBRE]
30/04/2017 > SECINFO > Pire que l'absence de sécurité, le faux sentiment de sécurité
Nomx, le comble de l'arnaque en termes de sécurité informatique. Ou comment des escrocs abusent de la crédulité des clients. [SCOTT HELME]
21/04/2017 > SYRIE/USA > Quand le Pentagone payait les gentils rebelles pour lutter contre le méchant Bachar
U.S. military pays Syrian rebels up to $400 per month: Pentagon Syrian rebels receiving U.S. military training to battle Islamic State militants are being paid $250 to $400 per month, depending on their skills, performance and... [REUTERS]
17/04/2017 > SYRIE > Irak : Daech a utilisé des armes chimiques contre l'armée à Mossoul
Selon l'armée irakienne, le groupe État islamique a utilisé des obus chargés de substances chimiques toxiques contre elle mais les effets ont été limités. Le groupe djihadiste État islamique (EI) a utilisé des armes chimiques lors... [Europe1]
31/03/2017 > CONSPIRATIONNISME > Déconstruire les théories du complot : les limites de l'exercice
Certes, les théories complotistes les plus délirantes doivent être démontées, mais l'exercice est-il si simple ? Ne risque-t-il pas de mener à la censure ou à certaines formes de propagande ? [TV5Monde]
Wikipedia a besoin de vous
Libérez Julian Assange