2.5 - Sauvegarde et sécurité du site
2.5 - Sauvegarde et
sécurité du site
Comme tout document informatique, votre site est fragile. Bien sûr, celui-ci existe, dans une version complète et à jour, sur la machine sur laquelle vous en assurez le suivi. Et il se trouve installé sur la machine serveur, celle de votre fournisseur d'hébergement. Chez vous, pensez à en maintenir une sauvegarde complète sur un autre disque que l'ordinateur de travail, en cas de plantage de celui-ci. Et peut-être une dernière copie à jour chez un autre militant ? Et, bien sûr, mettez à jour vos anti-virus (33)
Il peut arriver que votre site, parce que votre association traite de sujets sensibles, soit victime d'attaques de pirates. Celles-ci sont de plusieurs types :
- les "mail-bombings" (bombardement par courrier électronique, en anglais) consistent à bloquer votre boîte à lettre électronique par un afflux de messages sans intérêt. Soit on vous envoie 900 fois la même phrase, si possible injurieuse. Soit, et c'est plus subtil, on réussit à se faire passer pour vous et à vous inscrire, à votre insu, à un grand nombre de liste de diffusions à fort trafic. Ce fut le cas pour notre site, quelques jours après son lancement. Notre boîte à lettres fut alors paralysée par l'arrivée quotidienne de près d'un millier de messages provenant de listes s'intéressant... aux animaux. Imaginez le temps qu'il nous aurait fallu pour trier les vrais messages qui nous étaient adressés de ceux qui concernaient les poissons rouges ou l'élevage des chinchillas !
- le "defacing" (défigurer, en anglais) consiste en remplacer votre page d'accueil par une image dégradante pour votre site. Il m'est arrivé de visiter un site culturel qui venait d'être victime d'une telle attaque : l'effet obtenu par le niveau des images et des textes remplaçant l'original était particulièrement choquant, même s'il provenait, dans ce cas, de toute évidence d'un pirate lycéen dont les préoccupations se situaient au niveau de la ceinture. Le defacing est particulièrement utilisé en politique : site du ministère de la Justice des Etats-Unis défiguré par des néo-nazis, site du gouvernement indonésien défiguré par des indépendantistes timorais, etc.
Tout d'abord guérir ! Discutez avec votre fournisseur d'hébergement, dès la rédaction du contrat, de ses capacités à mettre un terme à ces attaques lorsqu'elles ont eu lieu. C'est lui qui est responsable de l'intégrité de votre site et de la gestion de votre boîte aux lettres électronique. Il doit maîtriser les techniques possibles pour soigner les dégâts.
Puis pensez à l'opportunité de riposter ! Je suis personnellement contre l'utilisation des techniques de piratage, selon le principe que les méthodes de mon ennemi sont forcément mauvaises. Vous pouvez par contre lancer votre propre enquête pour tâcher d'établir l'auteur de l'attaque. Votre fournisseur d'hébergement possède dans ses machines ce qu'on appelle les "journaux", qui retracent le parcours de chacun de vos lecteurs : entre autre information, ils donnent l'adresse de la machine qui a formulé la requête, permettant de la définir sans erreur possible. Mais déterminer une machine ne signifie pas que l'on sache quel humain a utilisé son clavier ! La dernière attaque en date sur notre site, un mail-bombing bas de gamme, provenait, après recherche, d'une machine... en libre service dans une université ! Bien évidemment, le responsable des machines n'a pas pu nous aider à retrouver l'auteur du piratage.
Lorsque vous (votre fournisseur d'hébergement) avez déterminé la machine responsable, écrivez au fournisseur d'accès de celle-ci. Il est de mauvais goût de penser le mettre en cause. (34) Mais vous pouvez lui écrire de la manière suivante (merci à Samuel Tardieu pour son analyse et sa plume) : "Je vous informe que j'ai été victime à telle date, telle heure, d'un piratage provenant de telle adresse IP [l'adresse - unique - délivrée à chaque machine connectée à l'internet] qui vous est attribuée. J'examine actuellement la possibilité d'ester en justice pour obtenir réparation. Je vous demanderai donc de bien vouloir vous assurer que vous conserverez les informations dont vous disposez concernant l'utilisation de cette adresse IP afin de pouvoir les fournir aux services concernés sur présentation d'une commission rogatoire si une enquête devait avoir lieu."
Notes
(33) Pour une bonne introduction aux (vrais et faux) virus, voir le site "Au loup !" (en français) :
http://sqplv.eu.org/loup/
(34) En France, le thème de la responsabilité des fournisseurs d'accès à Internet (FAI) a longuement fait naviguer, entre Sénat et Assemblée nationale, et mobilisant jusqu'au Conseil constitutionnel, la loi 86-1067 du 30 septembre 1986 relative à la liberté de communication. Le résultat, après des débuts prometteurs (je parlais des amendements du député socialiste Bloche dans la version précédente de cet ouvrage) en est resté désolant, dans le sens où la loi prévoit d'éventuelles poursuites judiciaires contre le FAI, " - si, ayant été saisies par une autorité judiciaire, elles [les personnes physiques ou morales] n'ont pas agi promptement pour empêcher l'accès à ce contenu ; " - ou si, ayant eu connaissance du caractère illicite ou préjudiciable à un tiers d'un contenu dont elles assurent l'hébergement, elles n'ont pas accompli les diligences appropriées. " (article 43-6-2).
La loi transforme ainsi des sociétés privées (les FAI) en censeurs de ce qui est "publiable" ou pas, avec une possible dérive vers la "censure par précaution". Elle remet également en cause (article 43-6-3) le droit fondamental à l'anonymat, en imposant l'identification des internautes lorsqu'ils participent à un groupe de news ou publient leurs pages web. Ce résumé succint vous incitera certainement à consulter les dossiers suivants :
- celuid'IRIS (Imaginons un Réseau Internet Solidaire) :
http://www.iris.sgdg.org/actions/loi-comm/bilan.html
- ou le dossier législatif complet sur le site du Sénat :
http://www.senat.fr/dossierleg/audiovisuel.html