2 juin 2023 : date de l’attaque

Ça aurait pu être un vendredi comme les autres, un début de mois tranquille, mais aux alentours de 16h, je constate que le site ne répond plus. Ça arrive parfois et comme avec tout programme informatique, le premier réflexe quand ça ne va plus c’est de rebooter. Mais 30 minutes plus tard, le site ne répond toujours pas et je commence à m’inquiéter. Ce n’est que le soir vers 22h que j’ai pu me connecter à la machine et constater que tout était crypté.

Un fichier texte visible dans quasiment chaque dossier du disque dur indiquait que nous étions victimes d’un ransomware, avec l’ironie du hacker qui explique que l’argent ce n’est que du papier et que payer va nous faciliter la vie. C’est la première fois que je suis face à ce genre de situation. J’essaie de comprendre l’ampleur des dégâts, mais plus rien ne marche sur le serveur à part le minimum. Pas moyen de lancer un navigateur, impossible de se connecter par FTP et encore plus difficile de relancer le site. Bref, c’est la cata.

Malgré l’heure tardive, j’avertis le reste de l’équipe sur Discord en leur disant que ça risque de durer. Heureusement, Elfyr est connectée et connaît quelqu’un qui bosse dans la cybersécurité. S’ensuivent alors de longues minutes passées au téléphone à tenter d’expliquer la situation à base de captures d’écran depuis mon mobile. Je prête mes doigts à mon conseiller pour taper des commandes obscures afin de voir ce qui se passe sur le serveur. On comprend alors que le hacker est probablement connecté en même temps que nous et risque de tout détruire s’il voit qu’on tente de lui refuser l’accès à son gagne-pain. Du coup, on fait comme dans les films, on éteint la machine pour éviter d’empirer les choses. Il est alors 1h du matin et la nuit sera difficile.

Les jours suivants

La suite est un long chemin semé d’embûches et de doutes. Je fais un tour d’horizon de mes sources pour remettre en route le site. Autant du côté du code, tout va bien ; je peux assez vite publier une nouvelle version, mais le premier problème qui se pose est la base de données. Heureusement, j’avais une sauvegarde du 17 mai (environ 2 semaines avant) et elle fonctionne. Je peux relancer le site avec cette base. On aura perdu tout ce qui aura été rentré depuis, mais ça aurait vraiment pu être pire. Ce qui pose le plus de problème ce sont les énormes volumes d’images uploadées depuis des années pour illustrer nos fiches et nos articles. Je n’ai rien, aucune sauvegarde. Peut-être une vieille sauvegarde sur DVD, mais que je n’ai pas retrouvé. En résumé, je sais que le site pourra revenir en ligne, mais dans un état très incertain et dégradé. Et payer le hacker n’est pas une option.

La quête du Graal

Malgré les difficultés, je ne baisse pas les bras. J’ai 2 enfants et SFU est un peu comme mon troisième. Disparaître n’est pas une option. Du coup je commence ma quête pour la recherche d’un nouveau serveur. J’en ai essayé 3 avant de trouver la bonne configuration. Sur le premier, je ne pouvais pas installer la base de données trop volumineuse. Sur le deuxième, le site tournait pendant 30 secondes avant de faire planter la machine. Du coup, j’ai pris quelque chose de plus costaud pour le troisième et c’est grâce à lui que vous pouvez à nouveau nous lire.

Au passage, j’ai constaté que la base de données contenait près de 120 Go de logs inutiles qui devaient probablement ralentir le site. Une fois supprimés, l’installation s’est mieux passée. J’ai dû aussi (ré)apprendre à installer un serveur et à gérer les droits afin que tout fonctionne normalement. Cela n’était possible que le soir après 20h30, ce qui m’a fait passer pas mal de nuits courtes. Pendant ce temps, je réfléchissais au problème des images qui allait bientôt redevenir prioritaire : comment faire pour les récupérer ?

Se faire hacker ou comment devenir bien parano

J’avais toujours en tête d’aller voir si les images étaient récupérables sur le serveur hacké, mais comment l’allumer sans que le hacker s’en empare et efface tout ? Comment s’y connecter ? Et si c’était depuis mon ordinateur personnel que le hacker s’était introduit sur SFU ? Est-ce que mon antivirus aurait pu le laisser passer ? La parano monte vite dans ces cas-là et on n’a plus confiance en rien.

J’ai donc vérifié un par un tous les points d’entrée de mon PC puis du serveur. Sur mon PC, un de mes premiers réflexes a été de le déconnecter d’internet et de le scanner entièrement. J’ai ensuite changé d’antivirus et j’ai recommencé le scan. Ça a pris une journée et une nuit complète ! Une fois sûr que tout allait bien, j’ai vérifié les paramètres du pare-feu de ma freebox. J’ai découvert qu’il fallait activer une option pour interdire de voir mon IP interne de l’extérieur. J’ai aussi fixé les IP de chaque appareil connecté au réseau (et j’en ai bien une quarantaine) afin d’identifier les nouvelles connexions intruses. Je me suis fait une frayeur quand j’ai constaté qu’un ordinateur inconnu s’était connecté à mon wifi. En demandant à mon fils s’il connaissait cet ordi, il s’est avéré que c’était celui de son copain. Ouf, fausse alerte.

Une fois que j’ai sécurisé mon réseau et mon ordinateur, j’ai pu le rebrancher sur la toile. Avec l’aide de mon hébergeur, j’ai isolé le serveur éteint en restreignant les accès. J’ai pu alors le rallumer et constater l’ampleur des dégâts.

Le temps de la reconstruction

Une des premières choses que j’ai faites a été de noter le message du hacker, c’est le moment de constituer des preuves pour la police. Un service de cybersécurité de la région m’accompagne pour les démarches et le dépôt de plainte. J’ai donc plus de détails sur l’attaque, ainsi que l’heure exacte à laquelle les fichiers ont été cryptés. En naviguant dans les fichiers, je constate que tout a été verrouillé. Je vais voir le dossier des images, je vois le message du cryptage et me dis que c’est mort. En vérifiant les sous-dossiers, je découvre avec étonnement que certains sont intacts. Je vais vérifier les fichiers un par un pour m’assurer qu’il n’y avait pas d’infection. C’était inespéré ! Peut-être que j’avais configuré ce dossier d’une manière suffisamment bizarre pour que le script du hacker ne s’y intéresse pas ? En tout cas, c’est une bonne nouvelle.

Le problème va être de savoir comment rapatrier ces images, sachant que plus rien ne fonctionne sur la machine. Je me renseigne pour uploader Google Chrome à partir de la ligne de commande et cela fonctionne. Je lance 7zip pour faire des lots d’images pour chaque dossier. Je me suis inscrit à un service de type Dropbox pour y transférer les images et les récupérer sur mon logiciel local. J’ai ainsi pu tester toutes les archives avec l’antivirus et m’assurer que tout était bon. Finalement, j’ai pu récupérer ces images sans problème.

Tout semble proche de la résolution du problème, mais cela a encore pris au moins 10 jours avant le retour de SciFi-Universe en ligne. Qu’est-ce qui s’est passé ?

Le déménagement de l’enfer

Déménager un site, c’est aussi long et compliqué que le déménagement physique. Recopier les fichiers ne suffit pas. Une fois le code source, la base de données et les images réunies, il a fallu tout faire fonctionner à nouveau ensemble. Pour cela, j’ai dû acheter un nouveau nom de domaine pour tester, tout reconfigurer tout en ajoutant plus de sécurité. Après trois jours, j’ai réussi à afficher une première page.

Mais j’ai rapidement compris que le site était trop gourmand en ressources, et il fallait l’optimiser. L’ancien serveur était plus puissant et j’en avais pris un autre pour tester. Mon premier succès m’a laissé penser que le site pourrait tenir, mais j’ai commencé à optimiser les pages pour les rendre plus légères.

J’ai donc décidé de pointer le nom de domaine sur ce nouveau serveur pour lutter contre les effets ravageurs du temps. Malheureusement, le site est resté majoritairement indisponible, sauf pour quelques pages. En travaillant d’arrache-pied, j’ai réussi à créer une sorte de sauvegarde fonctionnelle, mais très lente.

Il me fallait changer de serveur pour en trouver un plus performant, car c’était urgent.

La taille compte après tout ! (Godzilla nous avait prévenu)

Me voilà donc à réinstaller mon site sur un autre serveur. Je commençais à bien connaître les offres et la procédure. Je me suis appliqué à bien configurer et à lancer le site. Je le teste et après quelques essais, ça marche !

Jeudi 22 juin au soir, j’ai lancé les installations en mangeant et en couchant les enfants. Ça a duré environ 2 heures, ce qui est plutôt court. Pas de problèmes de vitesse, c’est même mieux qu’avant grâce aux optimisations. J’ai ensuite lancé un crawler pour vérifier toutes les pages. Bien que certaines fassent des erreurs, cela ne gênait pas le reste du site.

Finalement, j’ai pu me reconnecter à notre administration en ligne pour gérer les articles, et le site semble prêt à repartir. J’ai alors redirigé le domaine vers ce serveur, et aujourd’hui, le staff et moi pouvons à nouveau créer des articles pour vous !

Cette grosse mésaventure aura été une véritable épreuve. Nous avons perdu quelques articles, mais le site revient plus fort qu’avant, plus rapide et sécurisé. J’ai compris l’importance des sauvegardes et que ma motivation pour que SciFi-Universe existe reste intacte.

Merci à vous, fidèles lecteurs, pour votre soutien et longue vie à la science-fiction.

FAQ

Qu’est-ce qui a causé l’interruption du site SciFi-Universe ?

Le site a été victime d’une attaque par ransomware le 2 juin 2023, entraînant un cryptage des fichiers.

Combien de temps a-t-il fallu pour restaurer le site ?

La restauration a pris environ 20 jours en raison de la complexité de la situation et de la récupération des données.

Les données des utilisateurs ont-elles été compromises ?

Les informations des utilisateurs n’ont pas été compromises, mais le site a perdu certains articles et contenus récents.

Quels ont été les principaux défis rencontrés lors de la récupération ?

La plus grande difficulté a été la récupération des images uploadées au fil des ans, car aucune sauvegarde n’était disponible.

Quelles mesures de sécurité ont été prises après le hack ?

Des mesures de sécurité renforcées ont été mises en place, notamment l’isolement des serveurs et des contrôles d’accès rigoureux.