En attendant que la peinture sèche sur ce nouveau site, je préfère annoncer la couleur : ce site se fera pirater. Pourquoi une telle certitude ? Parce que c’est comme cela qu’un responsable de la sécurité informatique fonctionne : il sait que le pire arrivera, il doit s’y préparer et arrêter de vendre à ces patrons un rêve impossible : une sécurité absolue.
Ce site se fera pirater parce que j’ai choisi, pour l’instant, d’en administrer une partie moi-même. J’avais choisi Blogger en 2006 parce que je suis profondément fainéant : j’avais envie de publier des billets de blog, pas d’en gérer la tuyauterie. Quand le premier blog s’est fait pirater, j’ai eu besoin de l’équipe sécurité de Google pour le remettre sur pied (et je les remercie encore pour leur rapidité). Une fois nettoyé, ils ont remonté une sauvegarde que j’ai ensuite pu comparer avec mes propres sauvegardes.
Alors pourquoi quitter ces terres confortables pour un territoire incertain ?
Passer du poste de DSI multicartes à celui de RSSI m’a donné le goût du risque, mais aussi la certitude qu’il n’existe pas de situation de sécurité absolue : une faille de sécurité peut être découverte par une personne malveillante avant tout le monde, et surtout avant l’éditeur du logiciel : c’est ce que l’on appelle une faille 0day. Tant que la faille n’est pas repérée par un « gentil » elle sera exploitée par un « méchant » (je caricature un peu, mais vous voyez l’idée). Et quand le « gentil » aura repéré la faille, il faudra que l’éditeur du logiciel la corrige, vérifie que la correction ne génère pas de nouvelle faille, puis la diffuse aux utilisateurs du logiciel sous la forme d’une rustine (patch). Il faut ensuite que l’utilisateur fasse la mise à jour. Pendant tout le temps qui s’écoule entre la découverte de la faille et l’application de la mise à jour, le site est vulnérable. Et être responsable de la sécurité informatique n’implique pas d’être capable de passer son temps à chercher des failles, à les faire corriger en alertant. Certains le sont, pas moi.
Mais s’occuper de sécurité informatique, cela nécessite aussi de mettre un peu les mains dans le cambouis, ne serait-ce que pour comprendre et mieux appréhender les risques informatiques.
Bloguer est pour moi un passe-temps, une thérapie, un amusement, un partage, une expérience, et une tentative de laisser à mes enfants une trace de mon passage. Ce n’est pas une vitrine de mon savoir-faire, surtout en matière de sécurité. J’en connais un peu plus que certains, mais bien moins que beaucoup : l’idée est de faire progresser ceux qui ont envie, même si cela fait rire les connaisseurs.
J’ai choisi WordPress. OMG ! Les raisons : parce que c’est joli. C’est aussi le CMS le plus utilisé, donc celui qui a la plus grande communauté d’utilisateurs. C’est du coup aussi le CMS le plus ciblé par des attaquants. C’est donc un bon terrain d’expérimentations pour moi. Quand ce site aura été piraté, que je serai rouge de confusion, il sera alors temps de le réparer, de parfaire sa sécurité et de le réinstaller à partir des sauvegardes. La honte sera passagère. J’aurai appris parce que je serai tombé.
Pour rassurer certains lecteurs inquiets, je n’ai pas baissé les bras à peine le site en place. J’ai installé le minimum de plugins, mis en place des fichiers .htaccess contraint et forcé puisque je n’ai pas accès à la conf du serveur Apache sur mon serveur mutualisé. J’ai configuré un certificat pour le https, en priant pour qu’il se mette correctement à jour le moment venu. Bref, je retrouve le boulot d’admin que je faisais il y a 20 ans, mais en beaucoup plus compliqué.
Et surtout, je continue à faire des sauvegardes, que je teste régulièrement. Si vous voyez que le site est en rade, c’est soit qu’il a été piraté, soit que mon test de restauration s’est mal passé, soit une configuration DNS hasardeuse, soit un test de protection quelconque qui s’avère inefficace, soit ma bascule vers mon Yunohost de secours qui s’est mal passée, soit qu’une mise à jour importante de sécurité a eu lieu pendant que j’étais loin du clavier, par exemple en vacances, soit que j’ai oublié de payer l’hébergement.
Il ne faut pas avoir honte de s’être fait pirater. Ceux qui pensent ne pas s’être fait pirater, ce sont juste ceux qui ne s’en sont pas encore rendu compte.
