header

SITE IFA France : EVOLUTIONS – 2015/07/10

icone bricolage

SITE IFA France : EVOLUTIONS – 2015/07/10


Historique

 

Suite à différentes tentatives de publication d’un site web IFAFrance, nous avons décidé, Gilles Henaff et par la suite, moi-même, de développer une version « à notre main » avec NVU,  outil rustique mais qui nous a donné satisfaction 4 ans durant. Le site était d’abord hébergé sur le compte perso Free de Gilles (!), puis, lorsque j’ai pris définitivement la main sur le sujet, chez un hébergeur, CELEONET ainsi que chez moi, sur mon NAS,  pour une version « provisoire et/ou de secours » (néanmoins accessible 24h/24).
Courant 2012, l’idée d’exploiter un nouveau site utilisant un CMS (Content Management System : en clair, outil de création de site web …) plus moderne et plus performant a fait son chemin, Patrick Huynh s’est porté volontaire pour se charger du travail et courant 2013, vous aviez sous vos yeux cette nouvelle version, développée avec Joomla! Version 2.5. Les pages de l’ancienne version, mémoires de tous les évènements, années par années, ont toutefois été conservées et restent accessibles depuis certaines rubriques (actualités/archives, régates/archives, légende et nostalgie). Vous avez pu mesurer à sa juste valeur le travail effectué par Patrick qui, depuis l’été 2014, a pris du recul et s’est retiré du projet.
Joomla est  un outil en open source, gratuit, créé par une équipe internationale de développeurs récompensée à maintes reprises. Cette équipe doit son rayonnement à une communauté d’informaticiens internationale très structurée, la cohérence d’ensemble et la diffusion des travaux étant assurée, comme dans le monde scientifique, via publications, congrès et séminaires. Il peut être complété par des extensions spécifiques de besoins particuliers et de plugins (il en existe des milliers !). Ces extensions sont produites et distribuées par des développeurs indépendants (mais agrées par la « Communauté Joomla » et autres instances garantes de leur intégrité), gratuits pour la plupart dans les versions de base, payants pour des versions plus élaborées ou disposant d’un « service après-vente ».
Nous en utilisons plus d’une dizaine pour notre site. Par exemple, pour n’en citer que deux : AllEvents qui est utilisée pour notre calendrier de régates, Adsmanager pour ce qui concerne les annonces …

 

Problèmes récents


Depuis le début de l'année, trois « cyber attaques » ont perturbé le fonctionnement de notre site ! (alors qu'en huit ans, avec l'ancienne version, je n'avais pas eu le moindre souci ... mais je ne tire aucune conclusion là-dessus, bien sûr !) … Est-ce une conséquence du rayonnement de notre site sur le Net et d’être référencé en très bonne place par les moteurs de recherche ? Toujours est-il que :

 

  • en janvier, après les évènements "Je suis Charlie", une redirection vers une page d'info d'un groupe musulman revendiquant le fait que la vraie religion musulmane n'avait rien avoir avec la barbarie. Techniquement, pas bien méchant, le moyen utilisé étant loin de ceux utilisés pour des attaques sérieuses (seulement quelques fichiers « index » modifiées). Dans la matinée, tout été revenu dans l’ordre.
  • en avril, même chose, et là redirection vers un site émanant d’une minorité ethnique arméniène défendant son intégrité culturelle et politique. Moyen utilisé : idem précédemment. Expérience aidant, en moins d’une 1/2 heure tout était revenu dans l’ordre.
  • début mai, CELEONET, notre hébergeur, m'informe que notre site a servi de base pour l'envoi massif de spam et me demande de pallier l’existence de failles de sécurité présentes dans les scripts de notre site et de sécuriser l’ensemble par la mise en place de moyens appropriés (ils sont compréhensifs, mais si ce dernier incident se reproduit et présente une nuisance pouvant perturber le fonctionnement de leurs serveurs (nous sommes en option "serveurs mutualisés" et non en serveur dédié), ils pourraient être amenés à bloquer notre compte).

Là, c’est une autre histoire, l’attaque et les moyens utilisés sont bien plus sophistiqués. Nous allons y revenir.


Sécurisation du site

 

Première étape


Dans un premier temps, il a fallu parer au plus pressé : nettoyage du site et mise en place d’une protection adaptée efficace. Pour ce faire, le sujet pouvant vite devenir une affaire de spécialiste de la protection informatique, j’ai fait appel à un informaticien de la communauté Joomla, spécialiste des aspects « sécurisation des sites web », développeur de AeSecure, dernièrement présenté lors d’un Congrès Joomla à Cannes en mai dernier (c’est également lui qui avait développé les premières versions de l’extension AllEvents).
Le travail a été assez long vu la taille et la complexité de notre site liées à l’utilisation de nombreuses extensions et au volume des infos stockées (et oui !). Effectivement, au moins 2 failles de sécurité avaient été exploitées (l’une via l’extension Foxcontact l’autre directement via le CMS Joomla), de nombreux fichiers corrompus et des virus « trojan » bien cachés çà et là …
Dans le même temps, on a limité au maximum les sources potentielles d’intrusion :

 

  • suppression des pages utilisant les formulaires générés par l’application Foxcontact, en particulier :
    • la page de formulaire d'inscription (login et mot de passe) pour que nos adhérents puissent mettre eux même leurs annonces (vente de bateaux et matériels)
    • les pages permettant de se logger pour effectuer des modifs ou des créations en ligne d'articles du site selon les droits attribués, sans avoir à se connecter sur la console d'administration.
  • suppression de  tous les comptes « enregistré ».
  • désactivation de tout ce qui faisait appel à la fonction mail.
  • enfin, mise à jour des versions d'une majorité d'extensions, de modules et autres plug-in ...


Maintenant c’est réglé, le site a été nettoyé et les sécurités mises en place. Pour info, le fichier «log» de AeSecure trace quasi journellement des tentatives (bloquées, heureusement !) d’intrusion ! Je ne saurais expliquer en détail les méthodes diverses et plus ou moins complexes d’intrusion sur les serveurs hébergeant les sites web, à commencer par le « captage » des login et mots de passe des utilisateurs par surveillance du trafic de leur connexion au réseau du Net. Il faut savoir que les pirates du Net sont, pour beaucoup, de sacré spécialistes en ce domaine !

 

Deuxième étape


Un autre problème est, cette année, venu s’ajouter à nos déboires de piratage. La version du CMS Joomla sur lequel tourne notre site (la 2.5) n’est plus « maintenue » depuis fin 2014. Rester sur la V2.5, c’est, entre autres inconvénients :

 

  • Se trouver confronté à certains bugs qui ne seront pas éliminés
  • Vivre avec des failles de sécurité non traitées (!!!)
  • Utiliser des extensions qui ne seront-elles-même plus maintenues
  • Vouloir utiliser des extensions récentes et subir des problèmes de compatibilité


Force est donc de passer sur la version actuelle, la V3. Mais cette migration des sites existants n’est pas un travail anodin, ce n’est pas une « mise à jour » réalisée de façon rapide, automatique et transparente mais carrément un changement majeur de version. Des problèmes de compatibilité des scripts, applications, extensions et plugins utilisés se posent alors.  Nous avions au moins 2 extensions majeures qui n’étaient pas compatibles de Joomla V3 et certainement d’autres qui à terme nous auraient posé problème.
Donc un très gros travail avec beaucoup de problèmes potentiels à craindre dont certains auraient dépassé mes compétences ou tout au moins m’auraient fait plonger direct dans le bas de la fameuse « courbe en Vé » que subit (plus ou moins !) tout retraité les premières années de sa nouvelle vie … Après concertation, Marc et moi avons décidé de sous-traiter une partie de cette tâche, tout comme la précédente, à un pro en la matière, appartenant à la "communauté Joomla".
Pour limiter les frais, nous sommes convenus de limiter le contrat à la mise en place du noyau de la nouvelle version Joomla3, des principales extensions utilisées et au transfert des données. Les mises à jour des différentes versions d'extensions et le paramétrage de celles-ci restant à notre charge. De même, l'ajustement des paramètres du nouveau template (responsive)  et des feuilles de style restaient de notre ressort. Par contre, une assistance technique par e-mail, téléphone et éventuellement "contrôle à distance" de mon PC  est prévue ... et utilisée sans restriction ! Le gros du travail est achevé, restent quelques points à finaliser, … ce sera fait d’ici fin août.
Entre autres soucis, l’extension AllEvents (le calendrier). Un nouveau développeur a pris la suite de celui qui avait créé cette application (celui qui se consacre maintenant à la sécurisation des sites web). La version actuelle n’étant pas compatible de JoomlaV3, nous avons acheté la dernière version proposée, compatible, elle, de Joomla3 : mais celle-ci ne comporte plus le mode d’affichage qui nous convenait si bien … (au prétexte que ce mode n’était quasiment pas utilisé !!!). J’ai donc pris contact avec cette personne qui est en train de nous re-écrire (gracieusement) un mode d’affichage « selon notre cahier des charges » (c’est aussi un des avantages lorsqu’on ne prend pas les versions « free »).

Voilà donc où nous en sommes. Actuellement vous avez donc accès à la version V2.5. Je mène les mises à jour des infos sur les deux versions en parallèle pour ne pas me retrouver avec une montagne de mises à jour lors de la bascule sur la V3. Vous ne verrez quasiment pas de changements, j’ai tenu à conserver la physionomie générale du site. Par contre, l’affichage sur tablette et surtout sur mobile sera amélioré, les templates (modes d’affichage) proposés dans la V3 étant « responsive » (auto adaptatif à la résolution de l’écran de la machine utilisée).


Bien amicalement à tous, je vous souhaite de bonnes fin de régate  et un super Open pour ceux qui y participeront !


Alain Michaud FRA46 (hé oui, à sa demande, j’ai pris le n° d’Henri Roumaillac)

Please publish modules in offcanvas position.