Framablog brisé ! Framablog martyrisé ! Mais Framablog libéré !

Classé dans : Libr'en Vrac | 21
image_pdfimage_print

Chers lecteurs du Framablog,

Vous avez été nombreux mercredi soir, 15 janvier 2014, à nous signaler — par mail ou par twitter — une alerte de sécurité concernant le Framablog. En effet, dès 22h, Firefox a commencé à signaler le Framablog comme « site malveillant », suivi une demi-heure plus tard par Chrome.

Malheureusement, ceci n’était pas un exercice. Plusieurs fichiers javascript avaient été touchés et nous avons retrouvé le fichier php infectieux à l’origine du problème.

Drapeau du pirate Henry Every

Un grand merci à FramaSky et JosephK qui ont passé leur nuit sur le problème pour que le blog revienne au plus vite à la normale et garantir votre sécurité, fût-ce au mépris de leur sommeil — et d’un épisode de Sherlock pourtant redoutablement tentant. À tous ceux qui hésitent entre un coup fumeux de la NSA, une revanche de Mountain View quant à notre campagne « moins de Google, plus de libre » ou un happening des Connards Professionnels, nous répondons que nous ne pensons pas être si importants que ça.

Une nouvelle attaque a eu lieu dès le lendemain jeudi vers 17h, redirigeant les visiteurs vers un site bien évidemment douteux. Aussitôt alertés, nous avons placé le Framablog en maintenance afin d’éviter d’exposer nos lecteurs et pour nous permettre d’examiner le problème plus sereinement. Échaudés par la première attaque, nous savions déjà quoi chercher pour nettoyer le site, et Pyg a trouvé puis comblé la faille dans notre système. Le blog a été remis en ligne dans la soirée, sans tambours ni trompettes, tout fatigués que nous étions.

Par ailleurs, on nous a signalé ce vendredi que des commentaires avaient disparu de certains billets. Comme quelques uns de ces commentaires étaient critiques vis-à-vis des billets concernés, il aurait été facile de penser à de la censure. Sachez qu’il n’en est rien : cette attaque a visiblement eu des conséquences que nous n’avions pas repérées de prime abord. Nous remercions les commentateurs concernés, car ceux-ci ont très rapidement fait le rapport avec nos problèmes.

Cet incident nous a confortés dans le constat que nous avions déjà fait : la plateforme qui accueille le Framablog est vétuste, elle héberge d’autres sites et des expérimentations non supprimées après abandon, qui sont potentiellement autant de failles de sécurité. De plus, le moteur du blog est bardé de plug-ins collectionnés au fil des années et des collaborateurs. Il devient difficile de garantir la sécurité du blog de manière satisfaisante. Nous allons donc entériner et accelérer le choix — évoqué lors de l’Assemblée générale qui s’est tenue début janvier — d’abandonner la forme actuelle du Framablog, de ne le conserver « que » comme mémoire des anciens articles et repartir à zéro pour un Framablog tout beau tout propre que nous installerons sur une machine virtuelle tout neuve. Pour l’instant, nos choix se porteraient sur un wordpress flambant neuf avec un des thèmes natifs légèrement remanié — ou une solution qui soit techniquement simple et qui ne pose pas de problème de maintenance — tout en optant pour une politique minimaliste en ce qui concerne l’ajout d’extensions sous le regard inquisiteur de FramaSky.

Ce changement sera effectué en ayant à cœur de respecter votre confort, votre sécurité et vos données (en instaurant par exemple un partage en deux clics comme c’est actuellement testé sur www.connard.pro)

Bien entendu, une migration se fait rarement sans heurts. Il se peut donc, au cours des prochaines semaines, que quelques perturbations adviennent lorsque vous naviguerez sur le Framablog. Nous promettons de faire de notre mieux pour qu’elles soient réduites au minimum.

Nous espérons que vous prendrez toujours autant de plaisir à lire et à participer à cet outil d’information du Libre francophone.

L’équipe du Framablog

Crédit image couverture : Drapeau du pirate Henry Every… (CC-0 par “Eugene Zelenko”)

Debianeux convaincu, Perliste fou, administrateur système de métier, je passe mon temps à mettre les machines de Framasoft à jour ou à coder.

21 Responses

  1. vvillenave

    L’épisode de Sherlock -> téléchargé de façon parfaitement légale, rassurez-nous ?

  2. WordPress c’est très bien mais si le but est d’éviter les failles de sécurité, allez-y mollo sur les plugins et les thèmes. Je dis ça au vu du nombre d’alertes remontées :
    http://vigilance.fr/?langue=1

    Quoi qu’il en soit, merci à tous pour votre boulot et votre investissement dans le libre.

  3. @Adminrezo

    Moi aussi, j’ai tout de suite pensé à WordPress quand j’ai vu la mention de plugins, mais en fait, il semble que le Framablog fonctionne avec Dotclear (voir pied de page « Le Framablog est propulsé par Dotclear », plus le code HTML des pages qui ne me semble pas être généré par WordPress). Ça reste un détail, ceci dit.

    Sinon, bon courage pour cette migration, et également merci pour tous vos articles 😉

  4. marlobrondon

    un serveur bien configuré, un wordpress avec theme et plugins bien codés, une bonne gestion des caches et ça tourne merveilleusement bien.

    Spip est très bien aussi sinon !

  5. Thomas Savary

    Merci pour ces éclaircissements. Je suis admiratif et reconnaissant envers l’équipe de Framasoft pour le travail accompli. Lorsque mes ressources me le permettront (j’y travaille), outre acheter des albums, je commencerai à mettre la main au portemonnaie pour vous soutenir. Bonne chance pour la migration du blogue!

  6. Grazyna

    Un SPIP ou un Dotclear upToDate sont des solutions nettement plus sécures qu’un WodPress. Mais bon chacun ses choix 🙂

    En attendant Bonne Année à la formidable équipe des Frama*

  7. Pourquoi donner par défaut le nom du moteur utilisé ? Ça donne un indice facile à celui qui voudrait attaquer le site. Et je suis de l’avis des commentateurs précédents : faites attention avec WP.

  8. Pourquoi pas un Jekyll/Pelican/Octopress ?

    Peut-être légèrement hardcore comme solution, je dois l’avouer.

  9. @jerrywham,

    j’imagine que tout hacker un minimum sérieux a des outils de fingerprinting pour déterminer les moteurs, quels qu’ils soient (blog, CMS, forge, forum, etc) et quelque soit le langage sous-jacent (php, java, asp, etc). Se baser sur le footer c’est pour les script kiddies 😉 (je pense même qu’il doit exister des outils qui essaient de déterminer la version précise et remontent toutes les failles connues potentiellement exploitables, pour quelques centaines de $).


    @Framateam,

    j’imagine que pour diverses raisons un blog classique reste plus adapté à votre besoin, mais avez-vous tout de même envisagé un modèle collaboratif du genre DLFP ? Ils ont un moteur tout nouveau tout beau. Bon après, il est très lié à leur besoin, peut-être pas très adaptable. Juste une idée comme ça qui me passait par la tête.

  10. Avez-vous fait analysé le code suspect? Avez-vous trouvé l’IP impliquée?

  11. En même temps votre moteur de blog n’a pas l’air d’être à jour depuis 2009…

  12. @vvillenave : oui, bien sûr 🙂

    @Adminrezo : c’est bien pour ça qu’on prendra un thème classique en le modifiant pour le faire coller à notre identité graphique. Pour les plugins, tout plugin sera soumis à avis de l’adminSys : moi #BOFH

    @Eliot : Merci 🙂

    @marlobrondon : je confirme qu’avec un bon système de cache, ça poutre. Spip… bof, vaut mieux qu’on prenne un truc sur lequel on a des compétences

    @jerrywham : parce que ça se verra de toute façon, et qu’il est bon de faire de la pub pour les projets qu’on utilise

    @Lancelot : oui, hardcore. Et il faudra former les auteurs — pas forcément techniques — à cet outil. Et il faudra le lier avec un truc pour les commentaires… bref, beaucoup de boulot :s

    @Ginko : tout le monde peut nous proposer un article de son cru ! Ok, c’est peut-être marqué nul part, mais on est ouvert à toute proposition (http://contact.framasoft.org). Le moteur de DLFP, oui, j’y ai songé… mais ça se rapproche quand même beaucoup plus d’un forum que d’une plateforme d’actualité comme un blog.

    @Pat : sans rentrer dans les détails, oui, on sait par où il est passé, et on a son IP.
    Quant à voir si on fait quelque chose avec son IP (porter plainte ou que sais-je), on a beaucoup de boulot pour l’année 2014, donc d’autres lolcats à fouetter. Je poserai toutefois la question au reste de l’asso.

    @Goshu : ça c’est dû à un manque de politique de sécurité sérieuse ainsi qu’à une mamaille sur du code, ce qui a fait peur aux admins au niveau des mises à jour. Mais je suis là maintenant avec mon fouet d’adminsys tyrannique ! 🙂

    @tout le monde : merci pour votre compréhension, vos messages de soutien et vos conseils !

  13. Bravo pour votre blog.
    Chapeau bas pour la gestion des attaques que vos avez essuyés.
    Pour mon site, j’utilise concrete5. Je trouve que c’est un bon outil pour faire du blog et du site internet.

    Bien et vous et félicitations

  14. @Framasky,

    le moteur de DLFP, c’est clairement un hybride entre le blog et le forum.

    L’aspect que j’aime bien c’est qu’il reprend la force du forum : hyper participatif, tout en possédant la force d’un blog : une ligne éditorial maitrisée grâce au système dépêche / journal. Et la killer feature : la rédaction / modération collaborative (bon OK, un framapad fait presque pareil, en beaucoup plus rapide). En plus les commentaires threadés avec tracking des nouveaux messages, ça roxx (sans oublier le tableau de bord).

    Bon, la contrepartie c’est évidemment un effort de modération conséquent (et j’imagine que ça doit être un critère bloquant, ce que je comprends fort bien) et sans doute un effort conséquent pour le sysadmin, mais ça c’est à toi d’en juger 😉 (sans doute moins « industrialisé » que les solutions classiques).

    PS : pour l’avoir pratiqué une fois en milieu semi-pro, spip c’est… particulier…

  15. Bon courage pour la migration et longue vie au Framablog !

  16. Anéfé, il vaut mieux se méfier de nombreux plugins de WordPress. Et surtout du JetPack de Matt. Il y a plein de trucs Google ou Facebook dedans.
    Le gros problème, c’est l’anti-spam: ou c’est un truc avec Google (voir le plugin utilisé par WordPress.org sur leur site) ou c’est Akismet. Les autres plugins sont nettement moins efficaces et la blacklist à remplir n’est pas toujours suffisante pour de gros sites. Nous, on se contente de SI Captcha et des paramètres de WP mais on est minuscules. Pour le moment, il n’y a que qqs crétins avec la même IP qui envoient des spams, donc c’est facile.

    Pour le code, j’ai l’impression que Drupal serait mieux fait. Mais le problème de l’anti-spam reste un peu le même: ou c’est Molloy (qui doit être l’équivalent d’Akismet) ou un HoneyPot qui n’est pas mal mais sans doute pas suffisant, à moins de modérer les commentaires.

  17. @libre fan

    > Et surtout du JetPack de Matt.

    Carrément ! Mais il est hors de question que j’autorise son installation sur le nouveau blog 🙂

    Pour l’antispam, j’ai bien une petite idée, faut voir si je peux mettre ça en place facilement.

  18. @Framasky : et quid du support SSL, actuellement c’est niet… je pense notamment à l’adresse email requise (pour ajouter un commentaire) et qui dans mon cas est bidon (je fais confiance aux auteurs du Framablog, pas aux intermédiaires).

  19. Je suis d’accord avec le commentaire de Grazyna : Dotclear est une bonne solution de blog, mise à jour régulièrement.

    Pour suivre la mailing list de développement, je sais que les problèmes de sécurité y sont traités avec beaucoup de sérieux, et qui plus est par une communauté francophone super cool 🙂

    En espérant que vous trouviez une bonne solution pour éviter ces problèmes à l’avenir !

  20. libre fan

    > et quid du support SSL, actuellement c’est niet

    Dans notre nouveau WordPress chez Tuxfamily, on s’est retrouvé en HTTPS plutôt par hasard. J’ai mis https dans la barre de l’url pour la connexion au backoffice et j’ai ensuite trouvé du HTTPS partout sur le site, dans les liens que WP fait automatiquement au moins: menu, titres des billets sur la page d’accueil, colonne latérale. Je ne sais pas du tout comment ça s’est fait mais voilà. C’est peut-être dépendant du serveur de TuxFamily.

    > Et surtout du JetPack de Matt.
    Ce qui est vraiment dommage, c’est qu’il y a le carousel qui est chic mais on ne peut pas choisir un plugin dans le lot: c’est comme de la vente forcée 🙂 sauf que je me demande si qq’un n’est pas en train de faire un plugin pour séparer le jetpack. Ça finit par faire une usine à gaz…

  21. Tips. Fortunate me personally I came across your internet site by chance, and i am shocked why that coincidence didn’t came to exist sooner! I actually book-marked the item.