Notre site vient de connaître plus de 12 jours de fermeture, et beaucoup d'usagers en ont été très déçus. Voici quelques détails sur cet incident.

Tout commence le 18 Décembre. A l'aube (comme d'habitude), le webmestre consulte le "logwatch" quotidien, c'est à dire le rapport sur le fonctionnement du serveur rédigé automatiquement chaque nuit à 04:00. Ce dernier logwatch fait état de près de 2000 tentatives d'intrusion lancées depuis un serveur appartenant à la société qui nous loue nos systèmes informatiques. Bien évidemment le webmestre voit rouge et, immédiatement (à 08:10), il contacte les services compétents de cette société pour que ceux-ci interviennent auprès du responsable des attaques. La plainte déposée comportait les extraits du logwatch permettant d'identifier l'auteur du délit, ainsi que toutes les solutions qu'il avait essayées pour parvenir à ses fins.

Moins de deux heures après avoir posté ses messages, le webmestre reçoit de la société en question deux messages l'informant de la mise hors service du serveur du G.G.G., mesure de précaution prise pour sécuriser le réseau. En effet, selon le service technique de la société, un pirate (ou si vous préférez, un hackeur) avait pris le contrôle de notre serveur. Par suite, celui-ci présentait un danger pour l'ensemble des installations et il avait été déconnecté. Ce serveur n'était désormais accessible que sous un mode très particulier autorisant seulement la récupération des données, après quoi il fallait envisager une réinstallation complète.

Nous avons donc contacté nos techniciens pour lancer ces opérations indispensables. Mais notre serveur abrite un volume important de données (près de 300 Giga-Octets... 300 milliards !) et le début du transfert se faisait à un débit qui laissait craindre de ne pas pouvoir terminer la récupération en moins d'une semaine, même en la menant 24 heures sur 24.

Un premier examen de quelques fichiers sensibles n'a pas permis de constater leur modification, mais les pirates sont malins et ils peuvent camoufler des vers ou autres virus susceptibles de déclencher leurs actions malfaisantes à des moments imprévisibles. Les Services Secrets de quelques grandes puissances ne s'en privent pas et l'actualité en fait parfois état ! Il ne fallait donc pas négliger ce risque, et le transfert de la totalité du site avant sa restauration a été décidé.

Commencé le 19 Décembre, la récupération complète des données s'est faite un peu plus rapidement que prévu, elle a heureusement pris fin le 24 Décembre vers 20 heures, mais trop tard pour commencer la restauration du serveur.

La pause de Noël a permis de prendre un peu de recul, et des doutes ont commencé à poindre.

Notre serveur avait été désactivé deux heures après la plainte du webmestre. Celui-ci n'en était pas à sa première démarche analogue car d'autres tentatives d'intrusions avaient déjà été détectées et après avoir été signalées elles avaient cessé, leurs auteurs ayant été sanctionnés. Or, une semaine après avoir été formulée, la dernière plainte était restée sans réponse de la part de ses destinataires, ce n'était pas normal. Il était probable que ces derniers avaient transmis le message à d'autres services qui, eux, avaient réagi brutalement. Et si, par hasard, il y avait eu une erreur d'interprétation entre ces différents services ?

Il fallait donc faire la lumière sur l'incident. Le logwatch du 18 Décembre faisait bien état de tentatives d'intrusion, mais pas d'une seule tentative suivie d'effet, les mesures de protection mises en place par nos informaticiens étant tout à fait solides et efficaces. Le webmestre a donc demandé poliment (mais avec fermeté) des éclaircissements aux différents services concernés et, tout particulièrement, des preuves irréfutables de la réalité de l'intrusion autres que le simple logwatch.

Lancée Vendredi 27 Décembre, l'enquête a fini par conclure à l'erreur humaine ! Quelqu'un (un stagiaire peut-être, nous ne le saurons jamais) a confondu piratage et tentative de piratage et, sans examiner préalablement la situation de façon sérieuse, a pris (seul ?) une décision trop hâtive ne tenant pas compte de la gêne qu'elle pouvait entraîner chez les usagers.

Le service responsable de la bévue n'a pas tardé à reconnaître les faits, il a présenté des excuses pour le désagrément occasionné, et a proposé une petite compensation financière... qui ne couvre pas les coûts d'intervention de nos informaticiens. Mais, ne voulant pas entamer une procédure contre les auteurs du préjudice causé, nous avons décidé d'accepter ce geste commercial et de tourner la page.

L'incident s'est ainsi terminé sans conséquence grave pour nos sites, et les généalogistes Gersois vont enfin pouvoir reprendre leurs recherches interrompues pendant 12 longues journées. Mais si vous constatez des problèmes nouveaux sur ces sites, n'hésitez pas à en faire part pour nous permettre de leur apporter remède.

Souhaitons enfin aux sites du G.G.G. une année 2014 calme et sereine, sans pirates ni hackeurs !