Framablog brisé ! Framablog martyrisé ! Mais Framablog libéré !
Chers lecteurs du Framablog,
Vous avez été nombreux mercredi soir, 15 janvier 2014, à nous signaler — par mail ou par twitter — une alerte de sécurité concernant le Framablog. En effet, dès 22h, Firefox a commencé à signaler le Framablog comme « site malveillant », suivi une demi-heure plus tard par Chrome.
Malheureusement, ceci n’était pas un exercice. Plusieurs fichiers javascript avaient été touchés et nous avons retrouvé le fichier php infectieux à l’origine du problème.
Un grand merci à FramaSky et JosephK qui ont passé leur nuit sur le problème pour que le blog revienne au plus vite à la normale et garantir votre sécurité, fût-ce au mépris de leur sommeil — et d’un épisode de Sherlock pourtant redoutablement tentant. À tous ceux qui hésitent entre un coup fumeux de la NSA, une revanche de Mountain View quant à notre campagne « moins de Google, plus de libre » ou un happening des Connards Professionnels, nous répondons que nous ne pensons pas être si importants que ça.
Une nouvelle attaque a eu lieu dès le lendemain jeudi vers 17h, redirigeant les visiteurs vers un site bien évidemment douteux. Aussitôt alertés, nous avons placé le Framablog en maintenance afin d’éviter d’exposer nos lecteurs et pour nous permettre d’examiner le problème plus sereinement. Échaudés par la première attaque, nous savions déjà quoi chercher pour nettoyer le site, et Pyg a trouvé puis comblé la faille dans notre système. Le blog a été remis en ligne dans la soirée, sans tambours ni trompettes, tout fatigués que nous étions.
Par ailleurs, on nous a signalé ce vendredi que des commentaires avaient disparu de certains billets. Comme quelques uns de ces commentaires étaient critiques vis-à-vis des billets concernés, il aurait été facile de penser à de la censure. Sachez qu’il n’en est rien : cette attaque a visiblement eu des conséquences que nous n’avions pas repérées de prime abord. Nous remercions les commentateurs concernés, car ceux-ci ont très rapidement fait le rapport avec nos problèmes.
Cet incident nous a confortés dans le constat que nous avions déjà fait : la plateforme qui accueille le Framablog est vétuste, elle héberge d’autres sites et des expérimentations non supprimées après abandon, qui sont potentiellement autant de failles de sécurité. De plus, le moteur du blog est bardé de plug-ins collectionnés au fil des années et des collaborateurs. Il devient difficile de garantir la sécurité du blog de manière satisfaisante. Nous allons donc entériner et accelérer le choix — évoqué lors de l’Assemblée générale qui s’est tenue début janvier — d’abandonner la forme actuelle du Framablog, de ne le conserver « que » comme mémoire des anciens articles et repartir à zéro pour un Framablog tout beau tout propre que nous installerons sur une machine virtuelle tout neuve. Pour l’instant, nos choix se porteraient sur un wordpress flambant neuf avec un des thèmes natifs légèrement remanié — ou une solution qui soit techniquement simple et qui ne pose pas de problème de maintenance — tout en optant pour une politique minimaliste en ce qui concerne l’ajout d’extensions sous le regard inquisiteur de FramaSky.
Ce changement sera effectué en ayant à cœur de respecter votre confort, votre sécurité et vos données (en instaurant par exemple un partage en deux clics comme c’est actuellement testé sur www.connard.pro)
Bien entendu, une migration se fait rarement sans heurts. Il se peut donc, au cours des prochaines semaines, que quelques perturbations adviennent lorsque vous naviguerez sur le Framablog. Nous promettons de faire de notre mieux pour qu’elles soient réduites au minimum.
Nous espérons que vous prendrez toujours autant de plaisir à lire et à participer à cet outil d’information du Libre francophone.
L’équipe du Framablog
Crédit image couverture : Drapeau du pirate Henry Every… (CC-0 par “Eugene Zelenko”)