Journal DLFP hacké

Posté par  (site web personnel) . Licence CC By‑SA.
11
3
juin
2018

Pendant plusieurs heures ce matin le certificat TLS de linuxfr.org s'est trouvé invalide. Moult moules ont fait fi de l'avertissement de sécurité de leur navigateur et ont malgré tout accédé au site soit en utilisant un protocole insécurisé soit en acceptant le certificat obsolète. Bien évidemment cela a mis en péril la vie privée de nombre d'utilisateurs de ce site.

Cette situation insoutenable exige des administrateurs du site un compte rendu détaillé des événements qui ont conduit à une telle catastrophe ainsi qu'une liste d'actions correctives. La plus évidente étant bien sûr d'arrêter le temps de manière globale le weekend.

  • # renouvellement de certificat

    Posté par  . Évalué à 10. Dernière modification le 03 juin 2018 à 11:50.

    Mais non, c'est seulement le certificat SSL qui avait expiré. Il a été renouvelé en urgence en IPOT mais à cause des orages, le décalage temporel a un peu foiré.

    "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay

  • # Bravo / pas bravo

    Posté par  . Évalué à 10.

    Alors, d’un côté : bravo à l’administrateur qui se lève le dimanche matin, constate le problème, et fait immédiatement le nécessaire.

    D’un autre côté : pas bravo pour avoir laissé le certificat expirer en premier lieu. C’est pas sérieux, si ça se reproduit je donnerai mes 0 € d’abonnement à un autre site.

    Bon, et du coup, le passage d’un certificat Gandi à un certificat Let’s Encrypt, c’était ce qui était prévu ou c’est juste que c’était plus facile d’obtenir un certificat en urgence auprès de Let’s Encrypt ? :D

    • [^] # Re: Bravo / pas bravo

      Posté par  (site web personnel) . Évalué à 5. Dernière modification le 03 juin 2018 à 22:02.

      Au boulot, j'utilise le greffon nagios check_https qui lève une alerte 1 semaine (ou 2 je ne sais plus) avant la fin de la validité du certificat. Bien pratique en pratique…

      • [^] # Re: Bravo / pas bravo

        Posté par  (site web personnel) . Évalué à 3. Dernière modification le 04 juin 2018 à 09:58.

        J'ai eu le même problème dans la mairie ou je travaille. Suite à une perte d'accès, je ne sais plus comment, avec le passage à la v5 da Gandi, et l’impossibilité de me connecter, il s'est avéré finalement plus rapide de créer un certificat wildcard let's encrypt que de renouveler le certificat via Gandi (même si le problème de connexion avait été résolu, avec les paiement par mandats administratifs on était hors délai).

    • [^] # Re: Bravo / pas bravo

      Posté par  . Évalué à 10.

      Bah, Linuxfr a bien tourné pendant des années avec un certificat reconnu par personne ;-)

      BeOS le faisait il y a 20 ans !

  • # Début du compte rendu

    Posté par  (site web personnel, Mastodon) . Évalué à 10. Dernière modification le 03 juin 2018 à 11:59.

    Avant de râler sur linuxfr dans un journal bien senti à l'encontre des administrateurs pour dire ce que j'en pense, j'ai pris la peine dans le courant de la matinée, dans la seconde après avoir découvert cette insupportable situation d'insécurité, d'avertir les administrateurs par Twitter. (chose que personne à priori n'avait fait :-/ ).

    Bien m'en a pris, puisque notre cher président m'a répondu et a pris le problème très au sérieux en "likant" mon tweet dans les minutes qui ont suivi, puis a répondu quelques dizaines de minutes après, le temps d'investiguer je suppose, qu'ils étaient sur le coup.

    Environ deux heures après, dixit notre cher admin sys, le problème était résolu, en plus, d'une heureuse manière : ce bon vieux certificat acheté à prix d'or chez Gandi, a été remplacé par un certificat let's encrypt gratuit, qui sera renouvelé périodiquement automatiquement. Le problème ne devrait donc plus réapparaitre !

    Du coup, je n'ai plus envie de râler dans un journal, mais plutôt faire un bisou à nos sauveurs, qui n'hésitent pas à mouiller la chemise même par un beau dimanche ensoleillé :-)

    • [^] # Re: Début du compte rendu

      Posté par  . Évalué à 9.

      Ce sont les limites du bénévolat… Benoît en a parlé sur la chaîne télé des modérateurs le 24 mai, mais personne ne s'est décidé avant juin. Merci d'avoir joint les admins.

      "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay

    • [^] # Pertinent

      Posté par  . Évalué à 1.

      pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

    • [^] # Re: Début du compte rendu

      Posté par  (site web personnel, Mastodon) . Évalué à 10.

      Salut Laurent,

      Merci pour tes signalements et ta bienveillance :-)

      Les éléments ci-dessous sont largement extraits d'un e-mail envoyé par Nils sur nos listes internes après que la situation a été rétablie.

      Effectivement, on a eu un petit souci ce matin au réveil, les certificats SSL pour LinuxFr.org (prod, alpha et probablement le reste) avaient expiré ! Pour plein de bonnes et de mauvaises raisons, nous avons laissé passé la date : disponibilité, procrastination, e-mails de rappels en spam, etc.
      Nos utilisateurs attentifs nous ont pingués sur nos ML et sur Twitter. À cela on ajoute que certains admins étaient aux Geek Faeries et donc peu disponibles.

      Pour mémoire, nous utilisions depuis 2015 un certificat wildcard fourni gracieusement par Gandi. Un grand merci à eux d'ailleurs pour leur soutien et leur générosité. Ils n'ont pas hésité une seconde à l'époque.

      Une fois au courant, nous avons accusé réception, vérifié le souci et travaillé sur deux solutions en parallèle pour être sûr de pouvoir rétablir la connexion sécurisé au plus tôt :

      1. Renouvellement du certificat chez Gandi en sortant la CB ;
      2. Mise en place de Let's Encrypt.

      La seconde solution a fonctionné, pas besoin de sortir la CB : les sites web linuxfr.org, img.linuxfr.org, alpha.linuxfr.org et img.alpha.linuxfr.org utilisent maintenant un certificat Let's Encrypt, au moins pour une durée de 90 jours. Le renouvellement ne devrait pas être difficile, mais nous en discuterons en interne avant de définir la stratégie sur le long terme.

      Côté technique, et comme certbot n'est pas forcément disponible sur toutes les machines (selon les distributions et les versions), Nils a opté pour dehydrated, qui a le mérite d'être léger en dépendances et installable facilement. Accessoirement il l'avait déjà empaqueté pour pkgsrc/NetBSD, donc ça aide.

      La modification a d'abord été réalisée et testée sur alpha avant d'être reproduite en prod.

      Certains fichiers de configuration de nginx ont été modifiés un peu à l'arrache et directement sur les machines (alors que nous disposons de dépôts git pour ça), donc il y aura encore un peu de travail de consolidation dans les jours qui viennent à ce niveau.

      Encore merci à

      • tous ceux qui nous ont alertés
      • à Nils qui a sacrifié son programme matinal pour que vous puissiez continuer à naviguer sur LinuxFr.org en toute sécurité ce dimanche !
      • et à Gandi qui nous a soutenu.
    • [^] # Re: Début du compte rendu

      Posté par  (site web personnel) . Évalué à 6.

      Non non, tu n’est pas le seul à avoir remonté l’info… j’ai juste préféré le mail.

  • # Bon et bience lundi 4 juin : rebelotte !!

    Posté par  . Évalué à 1.

    J'ai du passer outre l'avertissement : à nouveau certificat expiré !
    Ca ne dure pas plus de 24 heures un certificat ?
    Bon ben bonne journée à tous ;-)

  • # vers une généralisation des titres racoleurs ?

    Posté par  . Évalué à 5. Dernière modification le 05 juin 2018 à 12:42.

    Le certificat est expiré, ce qui arrive tout le temps (chez mes clients en tout cas, leur processus de renouvellement étant infiniment et inutilement compliqué), et tu parles de hack ?
    Souvent, l'erreur explique bien mieux les choses que le complot.

  • # post mortem

    Posté par  (site web personnel) . Évalué à 5.

    https://linuxfr.org/news/post-mortem-de-l-incident-du-3-juin-2018

    pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.