Categories

Accueil > Blog > Les leçons d’un piratage

30 septembre 2015
Eric Bernard

Les leçons d’un piratage

Ce site a été victime d’un piratage post-Charlie. Des scripts-kiddies pseudo-cyber-djihadistes ont profité d’une faille pour un petit piratage dont les conséquences ont été plus importantes qu’elles auraient dû être.

Ce piratage a eu lieu début 2015 à une date indéterminée. Je ne m’en suis aperçu que plusieurs semaines plus tard, lors d’une formation que j’animais. Pour ne pas avoir respecté les actions que je mentionne ci-dessous, j’ai perdu deux années de travail sur ce site. J’ai donc perdu également tout mon trafic, mon référencement Google et la plus grande partie de ma motivation. Il m’a fallu six mois pour décider de reprendre ce blog, en l’améliorant un peu (ce qui est certainement le principal aspect positif de l’expérience).

Parce qu’on ne peut pas seulement partager les réussites, j’ai décidé de partager ici mes réflexions sur cet événement.

Ces leçons apprises en cherchant des solutions à un problème de piratage peuvent également être utiles en cas de perte plus « naturelles » de son blog (fermeture ou évolution technique importante de la plateforme ou de l’hébergeur par exemple).

1. Ne comptez pas sur l’hébergeur

A moins que vous vous aperceviez du problème dans les 24h, il est peu probable que votre hébergeur ou votre plateforme puisse quoique ce soit pour vous. Et ce n’est pas leur faute. Ils gèrent des centaines ou des milliers de sites. S’ils devaient sauvegarder tout cela périodiquement et le stocker en permanence, cela représenterait plusieurs millions de Go de sauvegardes. Aussi, la plupart des hébergeurs ont une sauvegarde quotidienne mais unique. Elle sert lorsqu’une fausse manipulation a été faite et peut être corrigée immédiatement.

Il est cependant toujours utile de prévenir son hébergeur lorsqu’il s’agit d’un piratage. La faille est peut être généralisée sur leur serveur. Ou bien votre site piraté consomme anormalement des ressources serveur. Si cela les touche directement, ils seront alors plus enclins à vous aider. Mais encore une fois, il est peu probable qu’ils puissent faire revenir votre site à son état antérieur exact.

2. Pas de précipitation

Vous constatez un piratage ou vous venez de faire une grosse erreur sur votre site. Ne vous précipitez pas. Sauf si vous avez des millions de lecteurs ou que vous êtes un acteur politique ou économique important, le problème ne sera pas aussi visible que vous le pensez. Réfléchissez d’abord au nombre de visiteur que vous recevez à partir de maintenant. 30 personnes vont voir dans les deux heures que vous avez un problème ? Ce n’est pas le plus grave. Ne commencez pas à faire des manipulations que vous ne maîtrisez pas. La panique renforce vos chances d’aggraver le problème. Analysez le problème, vérifiez vos possibilités et cherchez des solutions (et des alternatives) avant de toucher à quoique ce soit.

3. Avoir une sauvegarde

C’est la solution la plus évidente. Mais il y a deux sauvegardes. Celle qui concerne le contenant (le code), et celle qui concerne le contenu (vos articles).

Une fois que le site est conçu et lancé, la sauvegarde des fichiers de code n’a besoin de se faire que lorsque vous faites des modifications sur ces fichiers (ajout d’un plugin, modification de feuille de style…) et de temps en temps pour récupérer les images et fichiers attachés à vos articles qui sont dans un répertoire spécifique du serveur (plus vous avez de fichiers attachés ou d’images, plus cette sauvegarde doit être régulière). Cette sauvegarde se fait par FTP pour faire une copie locale de vos fichiers. Si vous avez un serveur local (EasyPhp ou autre) vous avez déjà la copie sur votre ordinateur.

Pour le contenu (la base de données qui met en lien les différents éléments de votre blog), la sauvegarde est variable selon les outils. Avec SPIP, c’est très simple, il y a un bouton « sauvegarder la base » dans le menu « maintenance ». SPIP fait une copie de la base, qu’il est possible (et souhaitable) de télécharger en local par un simple clic. Et il y a même un plugin de sauvegarde automatique. Sur d’autres systèmes (comme Wordpress) la procédure est légèrement différente, parfois avec la possibilité d’ajouter des plugins dédiés. Une recherche sur Google « sauvegarde mon blog NOMDELOUTIL » vous renverra à des tutoriels spécifiquesgénéralement très bien faits (en remplaçant NOMDELOUTIL par Wordpress, Blogger ou autre). Cette sauvegarde de contenu devrait se faire soit à chaque nouveau contenu lorsqu’on publie peu, soit régulièrement (une fois par semaine par exemple) lorsqu’on publie plus. Vous acceptez de perdre tout ce qui n’est pas sauvegardé entre deux sauvegardes.

La sauvegarde est une évidence mais on ne la pratique pas assez souvent. La preuve, j’ai perdu deux ans d’articles.
(A ma décharge, pour des raisons techniques de poids d’une table, je ne pouvais pas faire de sauvegarde sans grosse intervention sur la base elle-même : ce que j’aurais dû faire).

4. L’écriture directe en ligne vs l’écriture locale

Les Systèmes de Gestion de Contenu (CMS) comme SPIP, Wordpress ou Blogger permettent d’écrire directement sur le web, sans passer par un brouillon local. C’est un confort fantastique et un gain de temps certain. Avec deux limites cependant. L’une est la prolifération des textes écrits à la volée, non relus, truffés de fautes d’orthographe ou de phrases incompréhensibles. L’autre est que si ce texte disparaît en ligne, vous n’avez pas de copie locale. Donc pour les textes pensés, qui nécessitent plus de temps d’écriture ou sont plus importants, les écrire (et les corriger) d’abord sur un traitement de texte de votre machine et les stocker dans un répertoire en local n’est pas une mauvaise idée.

5. Transformer son blog en pdf

Il existe des moyens pour transformer son blog en document word, pdf ou epub. Outre que ce peut être utile pour diffuser son contenu, cela présente un intérêt en termes de sauvegarde possible. Bien sûr, il ne s’agit pas de le faire à chaque article, mais si une fois par an, on crée le ebook de son année de blog, on garde trace de ce que l’on a fait. Et qui sait, cela peut faire un cadeau à diffuser. Un outil (parmi d’autres) pour cela : blogbooker et une explication de son fonctionnement. Cela ne fonctionne pas pour toutes les plateformes de CMS, mais pour un grand nombre quand même.

6. La machine à remonter le temps

Lorsque tout ce qui précède n’existe pas, il reste encore un espoir. La Wayback Machine(machine à remonter le temps) est la plus grande bibliothèque mondiale de contenu numérique. On peut ainsi voir l’état d’un site web à des dates passées. Votre blog peut donc y être indexé (ou pas). Vous ne retrouverez sans doute pas la mise en forme, et pas forcément tout le contenu, mais cela vaut la peine d’être tenté en désespoir de cause.

Inversement, vous pouvez utiliser des outils en ligne pour archiver volontairement vos pages web pour leur sauvegarde (voir par exemple archive.is).

Dans tous les cas, n’oubliez jamais que votre blog est éphémère et qu’il est faux de dire que sur le net rien ne disparaît. Si vous voulez des traces que vous pourrez utiliser plus tard, c’est à vous de les créer et les archiver.

Naviguer

Partager des fichiers en ligne : les formats possibles Haïti : des ministères 2.0 ?

Partager