lundi 8 mai - par Philippe Huysmans

Sale temps pour la liberté de presse

En l'espace de deux mois, deux sites parmi les plus populaires de la presse alternative ont été violemment attaqués dans le but de les détruire. Malheureusement, l'un d'entre eux est, pour l'instant, resté sur le carreau.

Dans cet article, je décrirai brièvement les attaques dont ont été victimes d'abord Arrêt Sur Info de Silvia Cattori, puis Investig'Action de Michel Collon. Ensuite je présenterai des moyens que chaque éditeur de presse alternative peut assez facilement mettre en place pour s'en prémunir de manière efficace.

Quelle que soit l'opinion que l'on a sur tel ou tel site d'information, et je conçois qu'on puisse être radicalement opposé aux idées, j'estime qu'il est parfaitement inacceptable en démocratie de s'en prendre aux voix dissidentes pour les faire taire. Au reste quand on connaît les cibles, il n'est pas très difficile de remonter aux responsables. Faut-il préciser que même au cas où on parviendrait à remonter jusqu'à la véritable adresse IP des attaquants, vous ne trouveriez pas un inspecteur de police ou un procureur pour recevoir votre plainte, ou bien celle-ci serait rapidement classée sans suite.

Les attaques

Arrêt Sur info : Le premier a avoir subi des attaques a été Arrêt Sur Info. Dans la mesure où le site était déjà abrité derrière CloudFlare, celles-ci ont pris la forme de requêtes multiples et répétées sur l'ensemble des archives, via le port 80. De simples requêtes comme celles que l'on fait lorsqu'on navigue sur le site, à la différence qu'elles étaient très nombreuses et ont mis le serveur sur les rotules. Une fois les pages en cache dans CloudFlare (après la première demande, donc), celles-ci sont ultérieurement servies par lui sans plus transmettre la demande au serveur qu'il protège.

Investig'Action : Les attaques, d'une rare violence, ont duré plus d'une semaine et étaient multiformes. En plus de la technique exposées ci-dessous, les attaquants ont fait appel au DDOS, une attaque en déni de service distribué. En pratique, un ou plusieurs serveurs envoient des requêtes UDP sur la machine pour en saturer le stack, la mettant dans l'impossibilité de répondre aux demandes ultérieures. Le serveur est totalement bloqué. Cependant, l'ampleur somme toute limitée de l'attaque DDOS et le fait qu'ils aient du combiner avec une saturation de requêtes HTTP simples semble indiquer que ce n'était pas une attaque massive, via des dizaines de serveurs, mais plutôt l'initiative d'une ou deux personnes, en faisant appel à des services gratuits que l'on trouve ça et là sur le web. En fait, il s'agit d'utiliser des soi-disant outils de stress-test comme outils de production pour faire tomber un serveur. Les attaques plus massives quant à elles nécessitent plus de ressources, ce qui s'avère souvent coûteux.

Conséquences

Dans le cas d'Arrêt sur Info, les conséquences ont été dramatiques. La WebMaster, qui est aussi rédac-chef du média a décidé, jusqu'à plus ample informé, de laisser le site en jachère, découragée par les attaques répétées, et devant les difficultés qui se posent pour sécuriser mieux son serveur. Résultat, plus aucun nouvel article publié, les auteurs sont dépités, les lecteurs aussi.

Pour InvestigAction, qui est un collectif, la situation a pu être rétablie après une semaine complète de blocage quasi-permanent, mais on imagine que cela leur aura causé un double préjudice. D'une part, un manque à gagner pour une organisation qui ne vit que de dons et de la vente de ses livres ; et d'autre part, les frais liés à la remise en service et la protection de leur hébergement.

Faut-il craindre d'autres attaques ?

Objectivement, je crois qu'il est tout à fait concevable que d'autres sites de médias alternatifs aient aussi à faire face à des attaques dans les prochaines semaines ou les prochains mois. Vous aurez vu comme moi que les cibles ne sont pas anodines, et qu'elles indiquent assez clairement d'où pourraient provenir les attaques. Des petits Kévin autoproclamés justiciers, ou plus exactement exécuteurs des basses oeuvres à l'encontre de ceux qui osent s'exprimer en dehors des chemins balisés par la pensée unique.

Que peut-on faire pour se protéger ?

Les mesures qui peuvent être prises dépendront avant tout de votre hébergement et du CMS que vous utilisez pour gérer le contenu de votre site. En gros, il y a deux types d'hébergements : mutualisé ou dédié. Et pour les CMS, il y en a deux qui sont très largement utilisés : Drupal et WordPress. Il y a bien encore ça et là des CMS Spip en production, parce qu'ils avaient la cote, à une époque, parmi les sites de d'info alternative, mais il ne sera pas abordé ici.

Hébergement mutualisé

C'est l'entrée de gamme de l'hébergement. De nos jours on en trouve à moins de deux euros par mois chez divers fournisseurs. Qui dit mutualisé dit partage des ressources. En gros, on parle d'un serveur sur lequel peuvent être installés des dizaines de sites différents correspondant à des clients différents. En général ces hébergements viennent avec de solides limitations en termes de bande passante, de quotas, du nombre de sous-domaines ou de bases de données que l'on peut créer. Plus grave dans le cas qui nous occupe, le client n'a de visibilité que sur sa propre zone d'hébergement, et nullement sur les paramètres du serveur. Il ne peut ni le stopper, ni le redémarrer, ni modifier des paramètres de la configuration du serveur. De plus, ces hébergements offrent rarement une protection contre les attaques telles des détecteurs d'intrusion ou des firewalls.

Mesures de protection spécifiques

  • Abriter le serveur derrière un proxy inversé, comme CloudFlare par exemple (gratuit)
  • Configurer des règles spécifiques dans le firewall d'infrastructure et s'il n'y en a pas en installer un en front du serveur. Faire un discard des paquets ICMP et UDP. Limiter strictement les ports ouverts à ce qui est indispensable. Exiger une clé cryptographique avant toute identification SSH.
  • Empêcher l'accès au serveur web par son IP, ce qui permettrait à un attaquant de scanner des pans entiers d'un hébergeur à la recherche de sa cible

Serveur dédié

Il s'agit d'une machine (physique) entièrement réservée au seul usage du client qui la configure entièrement selon ses propres besoins. Il a donc les droits nécessaires à l'installation de tous les logiciels qu'il estimera utile. De plus ces plans d'hébergement s'accompagnent souvent de connexions rapides et illimitées, voire même la protection d'un firewall d'infrastructure configurable par le client. Ce type d'hébergement commence aux alentours de 50 EUR/mois, soit tout de même 20 fois plus cher qu'un hébergement mutualisé. 

On pourrait aussi parler du modèle hybride : une machine virtuelle sur un serveur mutualisé. Les avantages de la machine dédiée au point de vue de la configuration, mais les inconvénients de l'hébergement mutualisé en termes de restrictions, de quotas et de robustesse.

Mesures de protection spécifiques

  • Abriter le serveur derrière un proxy inversé, comme CloudFlare par exemple (gratuit)

Qu'est-ce que CloudFlare ?

C'est un proxy inversé. Il se place entre les clients et votre propre serveur. Faisant cela il masque aux clients la véritable adresse IP de votre serveur qui ne peut donc plus être attaqué directement pour peu que cette adresse n'était pas connue. Malheureusement, certains se sont mis en tête qu'en fait CloudFlare servait principalement à masquer l'identité de truands qui se livrent à des activités illicites sur internet (trafic, spam, arnaques, ...). Et certains ont créé des applications qui scannent inlassablement le net en notant scrupuleusement l'adresse IP véritable des serveurs correspondant aux noms de domaines. Il est donc judicieux, après avoir abrité son serveur derrière CloudFlare de vérifier si ces applications sont capables de retrouver l'adresse IP de votre serveur. Et si cette adresse reste accessible, de demander à votre fournisseur de déplacer votre site sur une autre machine.

CloudFlare agit également comme cache. C'est-à-dire qu'il stockera localement une copie des pages que les utilisateurs ont déjà demandées. Et au cas où cette page est ultérieurement redemandée, il ira la chercher directement dans son infrastructure sans que votre serveur soit mis à contribution. C'est ce qu'on appelle le cache-hit, le nombre de pages qui ont été servies par lui, économisant autant de précieuses ressources sur votre serveur.

Se plaçant entre les clients qui peuvent s'avérer animés de mauvaises intentions et votre propre serveur, en cas d'attaque, ce sont les serveurs de CloudFlare qui prendront les coups, et non pas votre précieux serveur web.

Une autre fonctionnalité intéressante est la possibilité d'ajouter, pour une adresse IP, pour une groupe d'adresses IP, voire même un pays entier la nécessité pour l'utilisateur de prouver qu'il n'est pas un robot. Vous avez tous déjà probablement vu ceci :

Parmi les autres options, on peut aussi choisir le « javascript challenge », toujours pour s'assurer qu'on a bien affaire à un internaute et pas à un robot qui comme dans le cas d'Arrêt Sur Info était hostile et dont l'objectif était de mettre le serveur par terre en le submergeant de requêtes simultanées.

Au niveau du CMS (Drupal, WordPress, Spip...)

Il est absolument impératif de disposer d'un gestionnaire de cache aussi au niveau du CMS, ne serait-ce qu'au cas où pour l'une ou l'autre raison CloudFlare repasserait subitement en mode transparent et répercuterait toutes les demandes sur le serveur « origine » (le vôtre).

Dans Drupal, c'est prévu, il suffit de l'activer au niveau du panneau de configuration :

Pour ceux d'entre vous qui utilisent WordPress, il faut installer un plugin comme par exemple Super_Cache. Pour les autres CMS aussi, c'est indispensable, et s'ils ne le permettent pas, fuyez, pauvres fous ! Par les temps qui courent, vu la sophistication des CMS qui nécessitent tant et plus de cycles processeur pour afficher une simple page web, l'absence d'un gestionnaire d'antémémoire est un no-go. C'est tout simplement suicidaire.

Pour terminer

À moins que vous ne soyez particulièrement débrouillard, la configuration de CloudFlare, sans parler de l'installation d'un serveur dédié sont des tâches qui nécessitent des compétences techniques spécifiques. Le minimum étant de pouvoir modifier chez votre « registrar » les serveurs de domaines à utiliser (qui devront être ceux de CloudFlare).

La question à poser ici étant : pouvez-vous risquer de vous faire réduire au silence pendant des jours voire plusieurs semaines, ou à jamais ? Il faut donc mettre en balance les frais éventuels qu'exigeraient l'intervention planifiée d'un technicien pour quelques heures de boulot avec les frais qu'occasionneraient la même intervention dans l'urgence qui s'ajouteraient à un éventuel manque à gagner.

Si vous aussi vous êtes responsable d'un site de presse alternative, si vous pensez que vous pourriez être un jour la cible d'attaques pour la seule raison de vos écrits, et si vous avez une question spécifique, vous pouvez me la poser via mon formulaire de contact, j'y répondrai dans toute la mesure du possible, au mieux de mes capacités.

Références : CloudFlare
 

Article original sur LeVilainPetitCanard
Page Facebook


26 réactions


  • leypanou 8 mai 09:49

    Des petits Kévin autoproclamés justiciers, ou plus exactement exécuteurs des basses oeuvres à l’encontre de ceux qui osent s’exprimer en dehors des chemins balisés par la pensée unique : pas seulement de la pensée unique.

    La formulation correcte aurait été à mon avis « de la part d’autoproclamés justiciers contre ceux qu’ils déclarent déviants ou dangereux, sans autre preuve que leurs convictions personnelles ». Ainsi, vous pouvez mettre n’importe qui comme agresseur et n’importe qui comme agressé.

    Mais dans le cas qui nous intéresse, i.e investig’action et arrêt sur info, chacun a son idée de qui a intérêt à ce que ces sites ferment.


    • captain beefheart 8 mai 10:39

      @leypanou
      En effet.Moi,j’ai mon petit idée que ce sont les services de l’OTAN qui nous préparent l’attaque d’un état indépendant,la Syrie.Si c’est le cas,j’espère on aboutira à l’anéantissement de l’Europe de l’Ouest,à commencer avec Berlin et Paris,les français décidément étant trop cons pour comprendre ce que les riches feront avec leurs suffrages.Plutôt fin rapide qu’agonie lente !On se retrouvera au paradis.......


  • xana 8 mai 12:50

    Merci Philippe Huysmans.

    La liberté d’expression, la vraie, est menacée par ces manoeuvres sournoises et déloyales. Effectivement il n’est pas difficile de deviner à qui profite le blocage des sites d’information non-mainstream.

    Vos suggestions intéresseront certainement les gestionnaires de tous les sites visés par « les décodeurs », contre lesquels la guerre est déjà déclarée.

    Dommage que ce soit un sujet trop technique pour la plupart d’entre nous.

    Bonne continuation et bon courage !

    Jean Xana


  • captain beefheart 8 mai 13:35

    Les jihadistes de l’OTAN enchaînent sur l’élection de président français :

    http://www.lexpress.fr/actualite/politique/elections/bana-la-fillette-syrienne-qui-tweete-son-quotidien-adresse-un-message-a-macron_1906050.html

    La petite demande Macron de faire quelque chose pour les enfants du monde,mignonne,hein ?

    A coups de bombardements.


  • Ruut Ruut 8 mai 15:16

    La guerre du net est donc lancée....
    Intéressant......


    • Philippe Huysmans Philippe Huysmans 8 mai 15:25

      @Ruut

      Oui, et ce que je dis c’est qu’on peut aussi construire des citadelles imprenables, en fait bien plus solides que les sites de presse mainstream qui eux, sont bien mal protégés.

      Il faut obliger l’ennemi à tomber le masque et à décreter l’interdiction de la presse alternative (s’ils en ont le courage), montrant ainsi aux gens dans quel monde ils vivent.


  • appoline appoline 8 mai 17:41

    Il suffit de voir la censure qui règne dans les médias, ils effacent les commentaires sur les réseaux sociaux et vous bannissent comme le figaro et c news qui touchent pourtant de belles subventions de l’état. I


    • eau-du-robinet eau-du-robinet 8 mai 18:05

      Bonjour appoline,
      .
      Dans ma région, le Sud Ouest de la France, c’est le journal ’’Sud Quest’’ qui exerce une censure féroce ! On se croit d’être en Turquie !
      .
      A qui appartient le journal ’’Sud Ouest’’ voire les autres journaux qui censurent ?
      http://www.acrimed.org/IMG/png/6_-_medias_francais_v6.png


    • Philippe Huysmans Philippe Huysmans 8 mai 18:32

      @appoline

      Oui ça a commencé comme ça il y a déjà plus de dix ans, c’est probablement la raison qui m’a poussé à mettre en place mon propre site, et je suis (très) farouchement attaché à mon indépendance éditoriale.

      Ce qui ne m’empêche pas de publier aussi des articles d’autres auteurs (que je ne place pas ici, forcément), lorsque je les trouve bien écrits.

      Il y a une autre raison à cela : les sites « entonnoirs » comme Facebook finiront par tomber aussi sous le couperet de la censure, et tout ce qui nous restera ce seront les sites réellement indépendants.

      Et pour moi, peu importe qu’ils soient sionistes, antisionistes, système ou anti-système, je suppose qu’il en faut pour tous les goûts. Ce qui m’insupporte c’est la violence exercée dans le but de réduire au silence. 


    • Fifi Brind_acier Fifi Brind_acier 9 mai 19:09

      @Tulipe
      Et vos « bons sites », vous pouvez les donner ?


  • eau-du-robinet eau-du-robinet 8 mai 17:59

    Bonjour Philippe,
    .
    Merci pour cet article.
    .
    Les attaques DDOS sur des sites d’informations alternatives à la presse contrôle par l’oligarchie financière sont certainement les résultat du DECODEX (journal le monde).
    .
    1. Recensement et publication des sites web à abattre (journal le Monde)
    2. Organiser en cachette le financement d’un groupe de hacker et leur donner les moyens financiers (location des Botnets) pour mener des attaques massives pour saturer le serveur cible.
    .
    N’oublions pas qui est le véritable ennemie de la Démocratie, le monde de la finance.
    .
    Voici le Oli-Decodex
    http://www.acrimed.org/IMG/png/6_-_medias_francais_v6.png
    .


    • eau-du-robinet eau-du-robinet 9 mai 14:42

      Bonjour porcinet,
      .
      Une fois que l’image Oli-Deocdex c’est affiché à l’écran vous devez cliquer sur cette image pour avoir un agrandissement (zoom) à 200%  smiley


  • JBL1960 JBL1960 8 mai 18:52

    Très intéressantes infos techniques utiles même pour des blogs minuscules comme le mien et il y a peu, mon blog a été mis en censure automatique par mon FAI. Alors je n’ai pas de preuves flagrantes à proposer. Mais un faisceau de preuves concordantes tout de même. J’étais en cours de rédaction de ce billet, et expliquant pourquoi, seul mon FAI pouvait avoir donné mon N° de tél fixe à Macaron, comme à 6 millions de français, entre le 19 et 21/04. J’étais entrain d’en avertir d’autres blogs et j’ai appelé mon FAI pour leur demandé comment c’était possible, et en ai profité pour changer de N° de tél fixe, puisque c’était gratuit. Et quand j’ai publié mon article, bim, mon blog a été censuré. J’ai contacté WP qui m’a donné les explications de la mise en censure automatique, certifié que ce n’était pas lui, s’est excusé et à fait le nécessaire, m’indiquant la manip à suivre pour débloquer de mon côté le truc.
    Alors je précise tout de suite, que je ne figure nullement sur le fumeux DECODEX, mais je source absolument toutes mes infos. Même lorsque j’ai mis en lien le programme du Fion. Et donc, c’est vrai qu’on peut tout à fait remonter jusqu’à mon blog, ça marche dans les 2 sens et en tant qu’administrateur on le voit, et je l’ai vu... Et si je n’ai pas l’importance des sites cités, il n’en reste pas moins, que mes sujets sont tous « non politiquement corrects ». Alors oui nous sommes la cible, et ils nous éteignent quand ils veulent, la preuve. Raison de plus pour devenir tous des lanceurs d’alertes et des chercheurs de vérité, ça leur sera difficile de tous nous mettre au zonzon. Et complètement désintéressée, perso, je fais tout gratis ! Alors c’est pas parfait, y’a des coquilles, des fautes d’orthographes, mais j’essaie de dire le moins de conneries possibles...


    • Philippe Huysmans Philippe Huysmans 8 mai 19:20

      @JBL1960

      Il y a belle lurette que les telcos fournissent contre paiement les coordonnées de leurs abonnés à l’exception de ceux qui paient la sauce pour avoir un numéro privé.

      Le hic avec un blog WordPress hébergé chez WordPress c’est que vous êtes à leur pogne. Même pas un locataire, non, un invité. Du coup, difficile de faire un esclandre à la maîtresse de maison...

      Le mieux si vous voulez avoir *votre* voix c’est d’avoir dans un premier temps au moins un nom de domaine bien à vous qui vous permettra le cas échéant de vous barrer **avec** vos lecteurs le jour venu...

      Et dans un second temps, prendre un petit hébergement, il y en a à moins de deux roros.

      Ou alors publier sur Avox, pourquooooa pas ?


  • Lugsama Lugsama 8 mai 18:59

    Encore un coup du cabinet noir.


  • Alexis Toulet Alexis Toulet 8 mai 19:21

    Merci à l’auteur qui a ici fait oeuvre de salubrité publique !


  • L'enfoiré L’enfoiré 8 mai 20:54

    Bon billet explicatif dans la détection et la correction du problème.

    Les cookies font aussi partie de l’arsenal de ralentissement de la bécane.
    Les cyberattaques ne sont pas récentes, mais elles s’introduisent dans les pubs.

     


  • Paul Leleu 9 mai 23:35

    internet est un média participatif, mais pas un média libre.

    non seulement nous sommes tous surveillés et fichés (à moins d’être des cracks), mais en plus on peut se faire pirater ou saturer par le premier venu.

    mais le pire, c’est que les réseaux et les serveurs sont des entités physiques et geolocalisées , que peuvent contrôler en 24 h les états militaires.


    • Philippe Huysmans Philippe Huysmans 9 mai 23:45

      @Paul Leleu

      Vous avez raison. D’ailleurs, les États (surtout les dictatures) ont tous le contrôle de véritables coupe-circuits, notamment au niveau des dorsales et des routeurs de coeur leur permettant d’isoler le territoire en quelques minutes si nécessaire.

      L’anonymat est en effet de plus en plus difficile à obtenir, mais pas impossible. L’erreur à ne pas commettre étant d’utiliser des soi-disant applications de sécurité pour y arriver.

      En fait internet est à l’image du monde, un microcosme virtuel si l’on veut.

      Mais il garde ceci de précieux : chacun peut y faire entendre sa voix en dehors des médias traditionnels, dits « mainstream ».


  • TSS 10 mai 09:47

    Si Michel Collon est un pro-sioniste c’est qu’ils sont maso avec

     ce qu’il leur met dans les dents ... !!


  • Ce qui me sidère le plus c’est l’attitude arrogante « des veaux et des génisses » qui peuplent ce monde occidental....... 

    Les génisses, au début de leur vie (16-18 a), ont une obsession maladive à avoir un gamin...
    Les veaux, au début de leur vie (16-18 a), ont une obsession maladive à monter le plus de génisse.
    Le reste est secondaire voir plus que secondaire ......

    Liberté ou pas, surveillé ou pas la quasi totalité sont esclaves de leurs obsessions reptiliennes .....
     
    Cela devient facile pour un groupe de dirigeants de les assujettir, de les endormir, de les ignorer.....  


  • UnLorrain 14 mai 21:33

    Je suis scioniste modere. Je suis capitaliste modere.

    L auteur doit connaitre ce site : assiste.com il doit avoir largement dix ans de vie,defense de l internaute. Je me souviens y lire ce terme technique,qui n apparait pas dans le billet ci. L adresse MAC, seule numero qui ne change jamais car physique,sur n importe quel PC sur la planete ( peut on en deduire qu’un FAI est potentiellement une balance,denoncant votre identification par IP changeante ?)

    Il y a peu je revisitais le site susnomme, dans leur moteur de recherche je tapais smartphone,et trouvais cette info rigolote..que Google,peut savoir si vous chiez liquide ou normalement,etonnante prophylaxie,vous recevrez de la reclame idoine sur votre mini becane hihihi


    • Philippe Huysmans Philippe Huysmans 15 mai 09:25

      @UnLorrain

      Bonjour,

      L’adresse MAC est liée au hardware (la carte réseau) ;, et en effet figure dans tous les paquets IP, seulement peu de programmes exploitent ce niveau des communications (bas), et de plus contrairement à ce qu’on laisse entendre, la MAC peut aisément être changée sur n’importe quelle machine.


Réagir