Bandol et la bandaison… inattendu !!!

Ce n’est pas la première fois que le site de Bandol est piraté, mais là c’est comment dire… fortiche!!

L’article sur les pointus a été précédé (et son titre remplacé) d’un paragraphe à la gloire d’un célèbre médicament utilisé notamment pour ce qu’un spot à la télé appelle « la vie des hommes ». Je sais bien que le nom de « capians » est une référence au phallus, et que la moyenne d’âge bandolaise nous place en « coeur de cible » marketing, mais quand même…

Merci à Gilbert RAHIER pour ce signalement, qu’on va prendre à l’amusement. Mais ça commence à faire souvent que ce site a des soucis de sécurisation. Va falloir voir avec l’hébergeur ou le prestataire… La solution technique retenue ne serait-elle pas un peu vulnérable (parce que là c’est quand même un joli coup que d’aller altérer à ce point une page web) ?

F.M. – www.bandolais.fr





21 Commentaires

  • Je n’ai été que le relais d’une information que j’ai reçue …. mais effectivement comme le dit Fred il faudrait se soucier de la sécurisation du site de la mairie. Je n’ai pas encore cherché mais si ça se trouve d’autres pages sont contaminées !!!!

  • Patrick Durville

    Nous sommes en fait attaqués de plus en plus depuis quelques mois sur le site de Bandol, qui n’est d’ailleurs pas la seule ville attaquée par des hackers aux motivations qui restent à determiner.
    Suite à ces attaques, nous avons entrepris depuis la migration vers les dernières versions de logiciels de gestion de site, migration qui devrait se terminer au cours de cette semaine.
    Bien que plus sécurisée, la nouvelle plateforme ne nous mettra jamais à l’abri de pirates qui veulent rentrer.
    Les YAKA et FOCON habituels qui voudraient faire croire qu’il suffirait de ci ou de ça pour être tranquille sont soit des menteurs qui souhaitent par là nous faire du tort, soit des gens qui ne connaissent rien au monde du piratage.
    Ceux qui pensent être compétents sont les bienvenus, dans une guerre où les combattants sont invisibles et les dégâts occasionnés parfois graves, tous les avis autorisés sont encore une fois bienvenus.
    Pour rappel, les sites les mieux protégés n’ont jamais empêché les pirates de pénétrer, que ce soit celui du président des USA, de l’Elysée, de la CIA et bien d’autres qui ont pourtant des moyens sans commune mesure avec ceux d’une petite commune de 9000 habitants.

  • Pour une fois que je n’avais rien dit… mais, juste pour rigoler, quelques recherches sur google:
    joomla « cialis pas cher » : >18 Millions de résultats
    drupal « cialis pas cher » : 12 Millions de résultats
    wordpress « cialis pas cher » : 3 Millions de résultats

    Bref.

    M. Durville : Ca n’a pas la forme d’un individu contre le site de Bandol comme le sont ceux contre les grandes agences que vous citez, désolé pour votre égo… c’est, et j’en mets ma main a couper (remarque, ceux qui me connaissent ont déjà vu l’état de mon poignet droit 😉 ), c’est simplement un robot spammeur qui a exploité une faille de joomla

  • Et que font les élus ? Plutôt que de passer leur temps à des apéros, inaugurations et invitations de toute sorte, ils feraient mieux de passer un peu de leur temps à un travail de vigilance et surveillance du site qui est la vitrine de notre ville.
    Ce n’est pas à monsieur Durville qui est simple employé municipal de passer 24/24 h à surveiller le site de la Mairie. Le rôle des élus et de vérifier que tout fonctionne bien et que le site de la mairie diffuse les bonnes informations.

    Pourquoi des mesures de sécurisation n’ont pas été prises AVANT vu que ce n’est pas la première fois que le site a été piraté. Déjà sur ce blog, les « spécialistes » avaient signalé que la plateforme utilisée était dépassée et fragile.

    Comment la société d’hébergement a-t-elle été choisie ? Qui (élu) a choisi cette société d’hébergement ? Quelles sont les closes du contrat ? Quel est le coût pour le contribuable bandolais ?

    Le Maire n’avait-il pas déclaré en CM qui tout fonctionnait normalement lors de la dernière attaque …. Ce n’est pas lui qui nous avait fait comprendre « circulez, il n’y a rien à voir ….. » !!!

  • Mon petit doigt me dit que ce serait plus simple et peu coûteux d’effacer ces « tags » plutôt que de s’épuiser vainement à se protéger par d’innombrables, coûteuses, peu fiables barrières par à-priori., en ouvrant la voie à plenty of $pécialistes qui ne feront pas mieux qu’un enfant de 5 ans avec un chiffon et une bouteille de white spirit. (au figuré je précise, on ne sait jamais) mais qui ne manqueront pas de nous vider les poches une fois de plus.

    J’entend qu’on rejette la faute sur le maire . . . chacun appréciera : le maire aux 200 000 métiers. 2014 approche mais est-il besoin de sombrer dans le ridicule ?

    Pour ce qui est de Monsieur Durville je parie que la population attend qu’il fasse un travaille d’animation du site, de réactivité sur les événements, de tambour public, de publications officielles, avec une bibliothèque d’événement bien sympathiques, course à pied, course de vélo qu’on aura plaisir à retrouver d’une année sur l’autre, etc . . . mais pas qu’il se transforme en zorro anti hacker ce qui est de toutes façon mission impossible.

  • Tempête dans un verre d eau…

  • En effet, même si l’histoire est plutôt amusante malgré qu’elle fasse preuve d’un manque de sérieux pour tous ceux qui viendraient consulter un site institutionnel, il faut surtout se poser la question de la sécurisation des bases de données. Le serveur piraté n’héberge t-il pas la base des locations saisonnières ? Quelles sont les autres informations qui sont stockées sur le serveur ?
    Qu’en est-il de la base de données (votants) des administrés de la commune ? Est-elle sur le même serveur ? Est-elle sécurisée de la même manière ?

  • Autant être rassurant tout de suite Gilbert,

    Une vraie attaque ciblée, avec un humain derrière, non-automatique, n’aurait pas mis en ligne une article sur le Cialis, si ce dernier voulait laisser une trace, ça eut été plus fin… Les robots qui font ce genre d’exploit ne siphonnent que très rarement les bases touchées (quoique, ça évolue avec le temps) mais je ne trouve pas la centrale de réservation pour voir si c’est la même bécane qui l’héberge

  • Merci JaXX pour ces explications …. je reste toutefois très inquiet qu’un simple « robot » soit capable de pirater un site institutionnel…. heureusement qu’il n’y avait pas une personne physique derrière avec une intelligence supérieure à une machine car on peut imaginer ce qu’il aurait pu faire !!!!!!

    Pour ce qui est d’un accès aux disponibilités ça se trouve là : http://bandol.fr/index.php?option=com_wrapper&view=wrapper&Itemid=1461

    Si la base n’est pas protégée, on peut bien imaginer un robot qui récupère les données pour en faire je ne sais quoi …. spammer par exemple !!!!!!

  • Ah…
    Bon, c’est bien ce que je pensais, pas le même site, la page embarque/enrobe dans un cadre une page provenant d’un autre site (en l’occurrence, http://dev.agence-digitale.com/bandol/ ) par contre, de fortes chances que ce soit la même machine (même ip, potentiellement un serveur frontal qui transmets la requête ailleurs, mais je doute que ce soit dans leurs cordes) …en somme les œufs dans le même panier, et la même ‘techno’ en plus… bref, j’insiste pas, faut rester vigilants.

    Oui, récupérer des listes nominatives qualifiés (propriétaires de biens en location dans une zone ciblé), ça peut se monnayer je pense 🙂

  • @ Mazia :
    je ne suis pas expert du partage des rôles au sein d’une municipalité, mais si vous imaginez une seconde que c’est le rôle des élus de surveiller un site comme celui-ci, vous êtes complètement (100%) à côté de la plaque.
    Ne serait-ce que parce que c’est techniquement impossible de faire faire ça par des humains sur des sites avec autant de pages. Sans parler de leur compétence…
    Les élus choisissent entre des solutions proposées par des hommes de l’art, soit en interne (employés par la mairie) ou par des prestataires externes, tant à la création des choses que pour la résolution des problèmes… Et je pense qu’on ne parle pas ici que d’informatique.

    Pour le reste je réponds plutôt à Patrick…

    @ Patrick DURVILLE :
    sans avoir les qualifications de Julien, ni être certain de ce qu’il voulait passer comme message dans son premier commentaire, je crois lire (et le connaissant un peu) qu’il signale que :
    – tous les sites ont des vulnérabilités.
    – certains en ont beaucoup plus que d’autres.

    Il faudrait comparer le nombre de sites utilisant chacun des « CMS » évoqués (Joomla, Drupal, WordPress), mais je crois pouvoir affirmer que le troisième est le plus répandu (et serait moins victime que les autres de ces attaques si on en croit les sources de Julien). Les chiffres sont peut-être différents si on regarde le nombre de pages gérées (plutôt que le nombre de sites) sous chacun de ces systèmes : Drupal ou Joomla sont souvent utilisés pour gérer des sites énormes.
    Mais connaissant les préférences de Julien, je crains qu’il ne pointe un choix d’outil pas forcément pertinent pour une commune de 9000 habitants : ambitieux mais trop vulnérable? Il confirmera peut-être…

    Et de fait, se réfugier derrière l’argument du piratage inévitable en donnant des exemples de sites qui ont subi des attaques ciblées ne correspond pas à la réalité de ce que nous constatons ici : une attaque robotisée dont les motivations semblent assez claire. Il s’agit d’augmenter le parc client potentiel d’un remède miracle aux problèmes de bandaison, un peu cher et pour lequel certains pigeons tenteront de se tourner vers les alternatives de vente en ligne et sans ordonnance (par des escrocs) de ce produit ou d’une quelconque imitation placebo, fabriquée en Inde Russie Chine ou Mexique et payable dans un paradis fiscal… On est ici face à quelque chose qui s’apparente à du spam, pas à l’attaque du Pentagone.
    Julien a probablement raison de pointer un faille du logiciel de gestion du site, et si beaucoup de mairies se font cibler sur ce genre de choses, c’est peut-être parce qu’elles ont opté ou qu’on leur a vendu un outil puissant (jusqu’à quel point nécessaire?) mais aussi très ciblé par les auteurs de détournement en raison de failles connues, et/ou justement parce que ces outils sont la signature de sites à fort trafic de visites (au-delà de ce que peut connaître Bandol.fr )…

    Donc, les questions de Mazia ont quand même du sens :
    – comment ont été choisis prestataire et solution technique, et quelles alternatives étaient envisageables et dans quelles conditions économiques?
    On rejoint alors le champ politique, et là oui, le rôle des élus dans la décision finale, selon ce qui leur aura été présenté et permis leur compréhension des choix.
    C’est là où un peu de transparence démocratique permettrait de se faire une idée de la qualité du travail en amont, avec des avis d’experts parmi les citoyens ou résidents, sur la pertinence des choix techniques. Le CMS retenu est-il plus ou moins vulnérable que les autres? Pour des problèmes mineurs comme celui constaté, ou plus grave ? Et quelle est sa valeur ajoutée relative par rapport aux problèmes de sécurité qu’il connaît, justifiant ou non la prise de risque plus ou moins importante (ici on est d’accord que c’est bénin).

    Tu as raison, aucun outil n’est parfait. Et je suis content de lire que notre site municipal est engagé dans une migration vers un outil plus sécurisé…

  • @ Fred. On voit que tu as une idée assez pointue sur le sujet, mais ce n’est pas ce qui à le plus retenu mon attention. C’est la phrase « et je pense qu’on ne parle pas ici que d’informatique  » dans @ Mazia.
    Une fois de plus la preuve est faite que les matheux sont de bien meilleurs philosophes que les « philosophes ». Plus précisément on voit ici la différence entre un philosophe ésotérique et un philosophe utile.

  • post scriptum : merci Alice.

  • Patrick Durville

    Il est évident que lors de leur première tentative, les hackers tentent et parviennent parfois à exploiter une vulnérabilité d’une extension Joomla (et généralement pas de Joomla lui-même). Mais c’est justement lorsque l’on parvient à les contrer qu’ils déchaînent leur agressivité, par défi certainement, en employant d’autres méthodes, que mêmes certaines institutions éprouvées ont du mal à endiguer : ipflooding, attaque DoS, force brute…
    Pour information, pour l’instant nous avons pu identifier que l’attaque provenait de Russie, pas encore par quel moyen. Les éléments dont nous disposons actuellement (connexions à partir d’une adresse IP unique, espacement des connexions à une échelle humaine) indiquent clairement qu’il s’agit d’une attaque « manuelle » et ciblée. Il est important de préciser que de manière générale, les attaques de robots suffisent rarement à hacker un site, tout au plus permettent-elles de détecter un environnement potentiellement vulnérable; il faut toujours une intervention humaine pour exploiter véritablement les éventuelles failles d’un système.
    Encore une fois, Joomla n’est pas le seul concerné, des milliers de sites sont actuellement visés, voir cet article : http://www.itespresso.fr/piratage-force-brute-frappe-wordpress-joomla-63844.html.
    Concernant le choix de Joomla, il est certain que sa popularité et son caractère open source le rendent sinon plus vulnérable, du moins plus « attractif » pour les hackers. Par ailleurs une comparaison avec WordPress n’est pas pertinente dans la mesure où les fonctionnalités de ce CMS sont bien trop limitées pour un site de l’envergure de bandol.fr (et pour un site de collectivité en général). D’ailleurs, la principale « faiblesse » de WordPress par rapport à Joomla, outre le fait que ce n’est qu’un outil de publication et non pas un véritable « framework », réside justement dans le peu d’extensions disponibles, comparativement à Joomla, ce qui le rend forcément moins vulnérable. Enfin, pour en revenir aux requêtes qui ont été citées, l’association de n’importe quel mot-clé incluant « Cialis » ou « Viagra » génère des millions de résultats dans Google…
    En ce qui concerne le choix de la solution technique, il est évident que le choix d’un prestataire proposant une solution propriétaire aurait limité les risques d’attaques liés à un système dont le code est connu, mais que cela n’aurait pas été sans conséquence sur le budget attribué au site internet et forcément au détriment de la flexibilité du système et de l’autonomie octroyée à ses administrateurs et rédacteurs.
    Pour information, le site bandol.fr est surveillé en temps quasi réel (toutes les 10 minutes) pour détecter notamment l’intrusion de fichiers malveillants, cependant cette surveillance est tributaire des connaissances des failles du système et des pratiques des hackers à un instant T. Elle ne peut anticiper toutes les types d’attaques possibles avant qu’ils ne soient connus. Ceux qui ont eu leur ordinateur infesté par des programmes malveillants, alors qu’ils se croyaient protégés par le « meilleur antivirus », le comprendront aisément.
    Par ailleurs, notre prestataire a pu réagir en temps réel aux attaques, et ce même le week-end, ce que peu de prestataires sont en mesure de proposer. A titre de comparaison, je me permets de signaler que certains sites d’autres collectivités du département (une bonne dizaine en tout) sont restés fermés parfois pendant plus d’une semaine car également victimes de ces groupes de hackers.

    Je me permets enfin d’indiquer que le choix d’un hébergement partagé entre les différents services de la ville a été fait d’une part pour mutualiser les moyens et d’autre part pour favoriser le partage de certaines ressources. Il nous a semblé disproportionné de demander aux administrés de financer la location de plusieurs serveurs dédiés pour chacune des entités concernées.

    Pour finir, il est bon de rappeler que les serveurs de la mairie ne sont aucunement connectés à internet et donc à l’abri de toute attaque de ce genre.

  • Encore aujourd’hui, dimanche 30 juin 2013, le site de la Ville de Bandol est toujours aussi peu protégé …. et depuis que les internautes ont signalé le dernier piratage de la page des pointus d’autres pages renvoient encore vers la promotion de petites pilules bleues.

    http://bandol.fr/index.php?option=com_content&view=article&id=19&Itemid=1022

    Un truc vraiment rigolo à faire …. allez sur le moteur de recherche http://www.google.fr et faîtes une recherche en tapant les mots clés « Bandol » et « Viagra » …. toutes les recherches renvoient sur le site Officiel de la Ville de Bandol !!!!!!!!! Pas très sérieux me direz-vous !!!

    Récemment, les commerçants ont reçu un courrier pour leur signaler que Bandol était une destination privilégiée (http://www.bandol-blog.com/?p=52455) …. on a peut être oublié de préciser dans ce courrier que Bandol était une commune varoise très appréciée pour ses petites pilules bleues dont la publicité est faite sur le site internet de la commune 🙂 🙂 🙂

    Il est vraiment temps de faire quelque chose pour arrêter ce piratage excessif du site de la commune. Il faut un peu se bouger car c’est l’image de notre commune qui est en salie et l’argent du contribuable bandolais qui sert à entretenir le site de la commune.

  • Il faut aller sur http://www.google.fr, taper les mots clés « Bandol » et « Viagra » et cliquer sur les liens proposés qui commencent par http://www.bandol.fr/…….. on va vous renvoyer sur quelques publicités d’achat de petites pilules bleues …..

  • Merci Portal!
    J’ai passé un super moment! Ça fait du bien de sourire!

    http://www.forum.exionnaire.com/probleme-bandolaison-4152

  • ben moi je suis allé directement à la pharmacie 🙂

  • Il s’agit peut être d’une stratégie pour payer la campagne qui s’annonce ???? 🙂 🙂

  • effectivement, MDR, tu vas sur Google et tu tapes ‘Bandol’ et ‘Viagra’ …. il ensuite tu cliques sur la troisième réponse … qui est sensée te renvoyer vers le site de la ville de Bandol …. et là surprise …. tu tombes sur la pharmacie privée de la ville 🙂 🙂 où on te propose des réductions….

  • J’ai supprimé le commentaire du dénommé « Martin » qui faisait la pub de son blog spécialisé en sécurité (message semi-automatique posté sous tous les blogs correspondant à certains critères).
    Pour ceux qui avaient compris de quoi on parlait, mon conseiller technique assume le choix de version de WordPress qui est celui utilisé, pour des raisons de compatibilité (message personnel : « et c’est lui qui devra réparer si mon blog se fait pirater »).

    Et Martin a induit en erreur un commentateur qui pensait que le message critiquait les choix de la mairie alors que c’était Bandolais.fr qui était visé. Et en rajoutait sur la critique de la mairie… (relire les précédents commentaires : la mairie n’utilise pas WordPress pour ses sites).