Voici quelques explications sur les mesures mises en œuvre pour contrer les attaques toujours virulentes envers le site web de l’hebdomadaire Charlie Hebdo. Depuis le piratage début novembre, le site Charlie Hebdo a été déplacé sur un serveur haute sécurité NBS System (société spécialisée dans la sécurité informatique, l’hébergement Magento et E-commerce), partenaire de Bluevision.
Le site de Charlie est désormais placé dans une architecture articulée en quatre serveurs différents pour empêcher une intrusion malveillante sur le système. Ainsi, un serveur spécifique fait désormais office de firewall qui agit en tant que filtre en limitant les connections autorisées au site, leur type et leur fréquence. Les requêtes sont filtrées afin d’éviter les attaques DOS notamment et de bruteforce. Un deuxième serveur sert à garder les traces de toutes les actions illicites menées envers le site. Les logs sont ainsi stockés et peuvent être à tout moment parcourues et analysées en vue d’identifier l’origine des menaces ou utilisés ultérieurement pour appuyer une démarche judiciaire.
En seulement quelques jours, ce sont plus d’un giga de logs qui ont été générées sur l’activité du site pour près de 80 000 visites licites sur CharlieHebdo.fr et des centaines de tentatives de piratage. Un système nommé NAXSI effectue une protection contre les XSS, injection SQL, file upload, etc. directement sur un serveur Reverse Proxy Nginx. Naxsi est un WAF (Web Application Firewall) opensource et gratuit pour Linux, développé par NBS System.
Finalement, le noyau linux des serveurs est sécurisé de manière optimale avec GRsec, PAX, NSA Linux et Armor App pour empêcher ce type d’intrusion, tous ces serveurs étant redondant (doublés, sur deux datacenter distincts).
Pendant toute la période cruciale, l’équipe de NBS avait trois personnes d’astreinte de manière permanente au cas où une attaque sérieuse requerrait une intervention humaine immédiate. Ce nombre a pu être réduit à une personne, mais l’équipe reste toujours attentive. La provenance des attaques est difficile à identifier suite au masquage d’une partie de celles-ci ainsi qu’à l’utilisation de proxy, mais également au nombre très élevé des tentatives de piratage. Ainsi, NBS a dénombré plus de 32 000 requêtes illégitimes venant d’environ 200 personnes uniques. La majorité des attaques restaient relativement basiques (XSS, SQLinjection, file upload etc.), toutefois NBS a également bloqué certaines attaques plus sérieuses comme des tentatives d’obtention de shell ou des tentatives d’overflow sur les services apaches et php.
Bluevision travaille de son coté à la sécurisation du code source du CMS utilisé, afin de palier à la faille qui avait été exploité par des pirates lors de la compromission initiale. Il est à noter que le rythme des tentatives de hacking reste encore très soutenu à l’heure actuelle et la vigilance reste plus que jamais de mise chez Bluevision et NBS.
Bluevision