|
Bonjour,
Suite à la corruption d’un des sites de Comité Local hébergé sur les serveurs gérés par Attac France ce jeudi 11/02/2021, une maintenance exceptionnelle a eu lieu depuis ce jour et a impacté jusqu’alors la sécurité de tous les sites de Comités Locaux. Pour cette même raison, la totalité des sites hébergé par Attac France ont également été inaccessibles pendant une partie de la journée et soirée de cette même journée du 11/02/2021.
Les raisons de cette corruption sont multiples mais peuvent être liées à de vieux sites plus maintenus ou complètement abandonnés par leurs webmestres, dont la version de son CMS[1] est dépréciée, dont les plugins ne sont plus à jour, ou dont le code présente des failles.
Les sites sont à ce jour sécurisés grâce à un cloisonnement des permissions de chaque site sur une partie du serveur plus moderne et mieux sécurisée. Cependant, certains d’entre eux ont été effacés car trop corrompus, ces sites ne sont donc plus accessibles, cela concerne une quinzaine de Comités Locaux.
Une archive de chacun de ces sites a été faite afin d’en garder son contenu hautement fort en mémoire politique et pourront être mis à disposition sur demande à attac.technique@attac.org en attendant une solution + concrète (voir plus bas).
Cette attaque réalisée automatiquement par des robots a corrompu un utilisateur et a permis l’injection de scripts PHP opérant plusieurs tâches malicieuses sur au moins une quinzaine de sites de Comités Locaux, pouvant aller de pages de phishing à des pages proposant diverses escroqueries bancaires (et oui, pour Attac, sacré comble !).
À cause de ces pages malicieuses accessibles sur nos serveurs, notre hébergeur[2] a bloqué l’adresse ip publique de notre serveur de gestion de cache HTTP « www-cache »[3], ce qui a causé l’inaccessibilité instantanée de tous les sites hébergés par Attac France ce jeudi 11/02/2021. L’accès à ces sites sera rétabli par l’hébergeur lorsque les sites malicieux auront été retirés dans la nuit du même jour.
Avec les mails, les listes électroniques et de nombreux autres services numériques auto-hébergés[4], Attac France gère l’hébergement, la maintenance et la sécurité de plus de 150 sites et services web (liste non-exhaustive) :
-
> Attac France ;
-
> Tous les sites de campagnes d’Attac France ;
-
> Tous les sites des CLs ;
-
> Tous les collectifs amis hébergés ;
-
> Tous les sites liés aux universités d’été d’Attac ;
-
> Tous les outils web hébergés sur les serveurs d’Attac (listes, webmail, pads, calc, wiki, gitea, etc[5]) ;
Du fait de l’héritage technique des serveurs d’Attac, lorsque www-cache tombe, c’est tous ces sites qui tombent en simultané jusqu’à ce qu’une solution soit trouvée pour supprimer les pages malicieuses.
Pour continuer de sécuriser le serveur des Comités Locaux, d’autres mises à jour sont prévues à partir du dimanche 21 février prochain. Ces opérations de maintenance mettront notamment à jour la version du système d’exploitation vers Debian Buster et vers PHP 7.3, qui n’est pas compatible avec tous les sites hébergés actuellement mais qui reste cependant aujourd’hui indispensable pour éviter de nouvelles failles et attaques.
Cependant, un système de vérification de compatibilité de version a été mis en place afin de permettre à tous les Comités Locaux de réaliser les tests nécessaires en amont de ces mises à jour.
Il vous suffit de changer l'adresse de votre site en rajoutant « -test » après « local » comme ce qui suit dans le cas ou il s'agit du Comité Local Attac 44:
https://local-test.attac.org/attac44/
Attac France est hébergeur des sites des Comités Locaux mais ne peut pas en l’état débugger, maintenir ou suivre les développements web de tous les sites des Comités Locaux en parallèle de tous les autres sites et services numériques. Ce sera au webmestre de votre Comité Local de réaliser ce travail de vérifications de compatibilités.
Du fait de l’historique d’hébergement militant datant du R@S[6] repris progressivement depuis 2009 par Attac France, de l’architecture serveur[7] et des conséquences d’un héritage technique[8] impliquant de nombreux besoins de corrections en maintenance et en sécurité de plus en plus nombreux et compliqués à gérer et pouvant impacter toute l’architecture serveur, Attac France n’est aujourd’hui plus en mesure d’accueillir de nouveaux sites de Comités Locaux.
Lors de la maintenance, certains sites de Comités Locaux moins impactés ont pu voir leurs identifiants et mots de passe FTP changés afin de réduire l’étendue des dégâts. Si vous n’arrivez plus à vous connecter, merci d’envoyer un mail à attac.technique@attac.org.
Enfin, histoire de finir sur une note positive, un groupe de travail composé de membres d’AtTactic[9], de webmestres de Comités Locaux et de membres de Vie-Asso/Vie-Interne[10], se dédie pleinement depuis plusieurs semaines à la question des sites des Comités Locaux et étudie différentes solutions pour (re)créer un système de publication sur internet plus accessible, indépendant, inter-connectable dans le réseau des Comités Locaux, personnalisable, durable et sécurisé. Selon les avancées du groupe, cette solution de nouveaux sites pourrait voir le jour fin du 2e trimestre 2021.
Dans cette optique, un questionnaire sera envoyé à tous les Comités Locaux en mars afin d’inclure tous les besoins de chacun·e, informaticien·ne ou pas.
Solidairement,
Valentin, salarié, pour Attac Technique et AtTactic
Éric Le Gall, salarié, membre Vie-Asso / Vie Interne
Olivier Tétard, pour Attac Technique, concepteur du Système d’Information d’Attac, désormais bénévole
Fergus, membre bénévole d’Attac Technique
[1] Spip, Drupal, Joomla, Wordpress, https://fr.wikipedia.org/wiki/Syst%C3%A8me_de_gestion_de_contenu
[2] https://fr.wikipedia.org/wiki/OVHcloud
[3] https://fr.wikipedia.org/wiki/Varnish
[4] https://vie-interne.attac.org/786#contexte
[5] https://wiki.attac.org/attac-technique/start#liste_outils_et_services_internalises_d_attac
[6] https://www.cairn.info/revue-le-temps-des-medias-2012-1-page-87.htm
[7] https://wiki.attac.org/attac-technique/interne/infra/architecture_serveur
[8] https://fr.wikipedia.org/wiki/Syst%C3%A8me_h%C3%A9rit%C3%A9
[9] https://vie-interne.attac.org/espaces-de-travail/attactic-l-espace-outil-des-outils/
[10] https://vie-interne.attac.org/espaces-de-travail/vie-associative/
|
