Ce matin, vers 6h50, un petit malin utilisant une adresse IP Turque (rien ne dit qu'il soit physiquement là-bas) a lancé une attaque de type "injection de code SQL" sur un de nos scripts, celui qui permet à nos utilisateurs de demander une recherche manuelle de leurs codes dans nos fichiers clients.
Nous n'utilisons pas SQL sur notre site, donc cette attaque n'avait aucune chance de réussir. Mais à chaque essai d'intrusion, un e-mail a été envoyé par le script à Sylvie, qui s'occupe de traiter les demandes.
Résultat : en 4 minutes, 1600 e-mails sont arrivés sur sa boîte, menaçant de la saturer.
Nous avons pu déterminer l'outil qui avait été utilisé pour cette attaque. Il s'agit d'un "scanneur de vulnérabilité", destiné à l'"usage exclusif des webmasters". Bien sûr. Nous avons donc inclus un niveau de protection supplémentaire sur l'ensemble de notre site, qui empêche tout accès depuis des outils que nous considérons comme douteux.
Nous avons contacté la société qui édite cet outil, en leur expliquant que si, honnêtement, ils ne voulaient pas que les hackers utilisent leur produit, il suffisait d'un système opt-in (par exemple un fichier présent à la racine du site) qui prouve que l'utilisateur possède bien le site testé. Ils ont répondu quasi instantanément, ce qui nous a surpris. Ils ont invoqué le fait que les scanneurs concurrents n'avaient rien mis en place de tel ; un tapage en touche qui, lui, nous a beaucoup moins surpris  |
|
|
| by Olivier Guillion |  |
| |
|
Tout a commencé il y a quelques jours, lorsque nous avons reçu à tort des e-mails provenant du robot de Galerie, notre logiciel sur Mac qui permet de créer des galeries de photos sur le Web.
En plus des galeries de photos, ce logiciel peut ajouter aux pages web un système de commentaires, qui est géré sur nos serveurs. Le fonctionnement, que nous ne détaillerons pas ici en profondeur, en est assez complexe. La chose importante est que ce système de commentaire, installé sur les pages de l'utilisateur, génère du Javascript, qui utilise la valeur document.location.href pour savoir sur quelle page il est, et donc à quelle galerie de photos se rapporte le commentaire.
Et là, nous avons commencé à recevoir des avis de tentatives d'accès à ces commentaires depuis des pages yahoo, tripadvisor, des forums japonais, etc. Tout et n'importe quoi, en masse.
Des tas de pages qui ne contenaient ni galerie de photos, ni champ de commentaires géré par nous, dans des langues diverses.
Tout laissait à penser qu'un programme ou un navigateur lisait une page contenant une galerie de photos, mais qu'au moment d'exécuter les scripts présents sur cette page, ne fournissait pas la bonne valeur lorsque ces derniers demandaient document.location.href
Nous avons donc examiné de plus près l'origine de ces accès, et avons extrait les données suivantes:
Adresse IP: 40.77.167.41
Navigateur: Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)
Il s'agit donc d'un gros problème dans les robots d'exploration de Bing, le moteur de recherche de Microsoft, qui se mélange les pinceaux entre les pages qu'il examine, et nous indique l'adresse des autres pages qu'il est en train d'explorer au même moment. Un sacré problème de cloisonnement ! Espérons qu'ils l'ont mieux géré dans les parties sécurisées de leurs programmes (Microsoft live, etc). Cela me gênerait un peu que quelqu'un d'autre puisse accéder à mes données personnelles s'il se connecte en même temps que moi
Pour notre part, nous allons donc bannir de Galerie tous les navigateurs qui se signalent comme "bingbot", et tout devrait rentrer dans l'ordre.
À noter que nous avions déjà détecté une grosse irrégularité (pas encore corrigée à ce jour) dans la manière dont les robots de Bing explorent les sites Web.
Une de plus, donc... |
|
|
| by Olivier Guillion | |
| |
|
Afin de faciliter les opérations de règlement des licences, nous sommes en train de mettre en place quelques améliorations dans notre système de paiement sécurisé par carte bancaire.
Elles ne sont pour l'instant pas visibles sur le site, car il faut tester ce type de modifications un peu plus sérieusement que n'importe quel autre. Rien de pire, sur un site, que d'avoir un problème, une page inconnue ou une déconnexion juste après avoir entré son numéro de carte
Donc, la procédure est :
- modifications
- tests en local
- mise en place temporaire sur une page cachée du site global et test de bout en bout d'une opération de paiement, suivi du remboursement de l'opération de test
- enfin, mise en place sur les pages publiques, et re-test d'opération
- surveillance approfondie des premiers achats qui suivent |
|
|
| by Olivier Guillion | |
| |
|
|
