par Mathias » 09 Sep 2010, 23:13
Salut les kikoureurs,
Merci pour tous les messages de soutien, sur le forum ou par mail...
On m'a posé bcp de questions sur l'interruption de service de Kikouroù qui a duré 2 semaines...
Qques précisions.
Le 19 août, notre hébergeur a verrouillé tous les accès au serveur car un hacker en avait pris le contrôle, afin d'envoyer qques millions de spams. C'est assez classique malheureusement.
J'étais alors dans les Alpes pour une course, avec pour seul accès internet mon téléphone portable, la seule chose que j'ai pu faire c'est ouvrir un nouveau serveur tout neuf (et plus puissant !) pour mettre un petit message d'information...
Kikouroù est sauvegardé, les données sont donc à l'abri, et en cas de problème en mon absence, le kéké a le mot de passe pour intervenir sur le serveur. Mais cette fois-ci, le problème est plus compliqué, il ne suffit pas de corriger un bug, de réparer la base de données ou de relancer un logiciel, car :
1) le hacker a pu installer une "backdoor" n'importe où, c'est-à-dire une porte dérobée qui lui permettrait de re-rentrer sur le serveur si on se contentait de le remettre en ligne tel quel. Il est donc nécessaire de vérifier ligne par ligne tout le code de Kikouroù (ce qui représente des dizaines de milliers de lignes de code de programmation).
2) Kikouroù est un peu complexe, mais surtout il y a des parties très spécifiques qui font que, indépendamment des compétences techniques, c'est difficile d'intervenir si on ne connait pas...
C'est aussi pour ça que Kikourou n'a pas pu profiter des coups de main qui m'ont été proposés...
Le point positif, c'est que le hacker est probablement un robot (un logiciel). Son objectif étant de prendre le contrôle du serveur pour envoyer du spam (l'activité est rémunératrice...), il n'y a pas d'intention malveillante par rapport à Kikouroù, à notre communauté.
Bref, j'ai dû attendre le 1er septembre pour commencer à réparer le bazar. Le travail est long et fastidieux. Surtout que j'en ai profité pour mettre en place une mise à jour importante du forum (qui était à l'ordre du jour depuis au moins 2 ans !).
Et en plus une rentrée professionnelle très chargée ne me facilite pas la tâche. Les limites de l'amateurisme... Merci donc d'être indulgent si les réparations trainent.
J'ai décidé de reprendre sérieusement en main la sécurité de Kikouroù. La 1ère étape consiste en une vérification ligne par ligne de tout le code, et le colmatage de pas mal de failles potentielles. C'est pour cela que les fonctionnalités de Kikouroù ne reviendront que goutte à goutte.
Merci d'être patient...
J'aurais besoin de votre aide pour :
- répondre au sondage ci-dessus, histoire d'avoir une idée de ce qui vous semble le plus urgent à remettre en route.
- s'il y a un expert en sécurité Web dans la salle, j'aurais besoin d'un avis sur les logiciels d'audit de sécurité de serveur Web (principalement injection SQL... car apache, mysql & co sont très vite patchés par l'hébergeur en cas de pb de sécurité)
- s'il y a un expert CSS dans la salle, j'aurais besoin d'un coup de main pour remettre le forum aux couleurs de kikourou (l'appel au CSS kikourou est visible dans le <head>, l'appel au CSS du forum est visible un peu plus bas, oui je sais c'est pas terrible mais je n'ai pas eu le temps de chercher mieux).
à+
Mathias