Je pense donc je grimpe.

dimanche 31 mars 2013

Pourquoi le magazine d’escalade et d’alpinisme Nospot.org a-t-il été la cible d’une attaque de hackers ?

Pendant plus de deux mois, le site http://www.nospot.org a été la cible de hackers. Pourquoi s’en prendre à Nospot ? Pas mal de grimpeurs se posent cette question. Pour en savoir un peu plus sur cette affaire, j’ai décidé d’interviewer le « grand (kan)gourou de la secte Nospotienne »; Brice Cornet. Mais avant d’entrer dans le vif de sujet, j’ai également décidé de lui poser quelques questions plus générales, afin de permettre aux internautes de mieux connaitre ce site internet.

Hello Brice, alors Nospot c’est quoi ? Et d’où vient ce nom ?

Bin, Nospot est un site web. (Rire) Et pour le nom, c'est tout bête! Nospot provient de la contraction de "Nos spots", donc nos spost d'escalade, nos bons plans de grimpe à partager entre amis.

Bien vu, ça ! Bon, je reformule : « Que propose le site web www.nospot.org ? ».

A la base, Nospot est une plateforme web qui offre un grand éventail de services axés autour de l’escalade et de l’alpinisme.

Dans ces grands axes, tu retrouves : la mise à disposition de ressources pédagogiques et la mise à disposition de médias vidéo – tv – images.

Ensuite, il existait, avant l’attaque des hackers, un espace communautaire où les grimpeurs pouvaient s’échanger des infos. C’était un mini Facebook, où chacun pouvait poster photos, vidéos et topo d’escalade.

Comment est né Nospot ?

En fait Nospot, à la base, était un projet pédagogique. Quand j’ai commencé à grimper, je galérais un peu avec les termes techniques, les nœuds, les « mouv’s », etc.

Tu sais quand tu débutes et que tu entends des conseils du genre : « No stress, délayes ! Tu vas pas zipper. Pose-toi avec une lolotte sur la gouttelette pour souffler puis relance en drapeau et enchaîne avec une adhérence juste après avoir clipsé. », bin tu comprends rien…


Du coup j’ai cherché sur le net mais je n’ai pas trouvé une approche structurée, un site qui parlait aux débutants en leur expliquant le vocabulaire, les règles de sécurité, les positions, les nœuds, etc.

Bref, en tant que débutant, j’ai dû faire ces recherches et je me suis dit que ce serait chouette de mettre tout ce savoir à disposition d’autres grimpeurs. J’en ai parlé à Cédric, la personne qui m’a fait goûter à la grimpe pour la première fois. Il bossait à cette époque dans un magasin de sport et était en charge de la formation des vendeurs du rayon escalade.

Il s’est proposé de retravailler son module de formation pour ses vendeurs afin d’en faire une « Bible de l’escalade ». Et voilà, Nospot était né.

Donc Nospot c’était juste la « Bible de l’escalade » à la base ?

Merci pour le juste ! (Rire)

Oui, il y avait ça, les nœuds et c’était tout. Ça, c’était en 2009, je crois. Puis en 2010, j’ai ressorti des cartons l’idée de mettre en ligne une copie de Facebook qui permettrait aux grimpeurs de partager vidéos, photos, et de discuter autour de topos afin d’organiser des sorties en falaise. C’est comme ça que la version communautaire du site est née.

C’était quand ?

Mai 2010.

Et puis, tout-à-coup, une guerre cybernétique s’est déclenchée ? Que s’est-il passé ?

Au mois de mai 2012, on a vu que 4 ou 5 hackers tentaient de pénétrer le site via l’injection de requête SQL. Cela n’a rien donné car le site était bien sécurisé.

Face à cet échec, ils ont mis en place une attaque DOS.

 Message à destination des hackers...

Heu… DOS… c’est-à-dire ?

Une attaque DENIAL OF SERVICE.

Toutes les 30 secondes, ils demandaient au serveur web d’afficher une page qui n’existait pas. Du coup, le serveur web répond : « Cette page n’existe pas ».

Quand ça arrive un peu, ça va… mais au final, on a eu jusqu’à 412 attaques simultanées, soit 821 attaques DOS par minutes ! Donc, à la longue, c’est comme si je te posais la même question en boucle toute les 30 secondes : tu vas fatiguer, saturer et t’écrouler. Un site web c’est pareil : le CPU monte à 100%, il n’y a plus de ressource pour la base de données MySQL et le site plante.

Mais quel est le but ? Qui en veut à Nospot ?

Je ne pense pas que quelqu’un en veuille à Nospot. Il y a bien des « confrères » jaloux qui ont tenté à plusieurs reprises de nous faire taire car le gratuit ne plait pas à tout le monde, mais je ne crois pas du tout à la théorie du complot car c’est en moyenne 320 hackers qui nous attaquaient chaque jour.

Ma théorie est que Nospot était hébergé sur un serveur dédié et que cela intéressait les pirates.

Sur un quoi ?

On avait notre propre serveur. Si tu prends le contrôle de ce type de serveur, tu peux ensuite l’utiliser pour faire du spam, lancer des attaques pour voler des numéros de carte de crédits, etc. Je pense donc que le but de l’attaque DOS était de faire planter le serveur pour en prendre ensuite le contrôle. Je pense aussi qu’il ne s’agit pas d’une attaque réalisée par des êtres humains, mais une attaque réalisée par un réseau zombie : autrement dit un ensemble d’ordinateurs de gens anonymes comme toi et moi, qui sont infectés par un virus spécial, virus dont le rôle est de gérer des attaques DOS.

Ok, je comprends un peu mieux. Donc en fait Nospot a juste été attaqué parce qu’il avait son propre serveur pour ensuite utiliser Nospot pour mener des actions cybers criminelles.

Tu as tout compris… enfin c’est juste une théorie.

Et que fait la police ?

(Rire)

Pas grand-chose ;-)

Une plainte a été déposée mais bon, la Russie c’est loin.

Et donc maintenant cette attaque est terminée.

Pas du tout, elle continue ! Nous sommes constamment attaqués mais simplement, nous sommes maintenant hébergés gratuitement auprès d’une multinationale qui va s’occuper du sort de ces hackers.

C’est-à-dire ?

Désolé c’est secret défense. (Rire)

Quoi ?

Non, je plaisante, simplement, je ne suis pas autorisé à communiquer là-dessus car des accords et des procédures judiciaires en dehors de la Belgique vont être lancées.

Ok… Bon, sur le site, tu dis avoir une dette de 8246,42 € ! Et tu proposes aux Nospoteurs de te payer une bière virtuelle en te faisant une donation afin de t’aider à rembourser. Comment as-tu pu en arriver là ?

(Rire)
Je me pose aussi la même question.

Non en fait c’est très simple. Suite à l’attaque, le data center où était hébergé notre serveur nous a dit qu’ils ne pouvaient plus nous garder car on saturait une partie de leur réseau.

On a donc dû déménager le serveur. Le hic c’est que moi j’étais en montagne. J’ai donc dû payer ce déménagement. Deux ingénieurs à 75 € HTVA ; tu les fais bosser 3 jours et tu es déjà à 1800 € HTVA.

Ensuite, l’attaque a été de plus en plus virulente. J’ai essayé de résoudre le problème par moi-même mais je ne voyais pas de solution. Le site web était inaccessible presque tous le temps, une vraie galère, puis en parallèle, il fallait aussi que je travaille « dans la vraie vie ». 

Du coup, j’ai engagé une boite qui a fait un chouette boulot, trouvé des solutions, mais quand tu es sous le feu de missiles, tu as besoins d’un bunker et moi j’avais à peine un bouclier. On aurait pu se battre et les avoir, mais il aurait fallu plus de moyens financiers. Au bout de 20 jours de travail, j’avais une dette énorme. La boite que j’avais engagée à fait un geste immense : -50% sur la facture, mais au final Nospot était toujours boiteux.

Bref, la migration et ces 20 jours m’ont mis dans une situation très inconfortable. Du coup, je n’ai pas d’autre alternatives que de demander à la communauté de la grimpe un coup de pouce, ou plutôt une bière virtuelle.

Comment est financé Nospot ? C’est ton métier ?

Non, Nospot n’est pas mon métier. J’ai un vrai boulot sérieux. (Rire)

Nospot est financé par la vente de t-shirts, sauf que cela ne nous rapportait même pas de quoi payer l’hébergement. Ensuite, des contrats pubs, mais cela couvre en gros 50% des frais de fonctionnement annuel. Le reste est tout simplement pris de mon compte en banque perso. Mais là, la dette est trop lourde à gérer, je n’ai pas les moyens de payer.

Et si la communauté ne te suit pas, que se passera-t-il ?

Hum… je préfère ne pas y penser… Bah… soit je vends un rein, soit je vais aller nettoyer des bureaux de nuit ! (Rire)

Comment vois-tu l’avenir de Nospot ?

On ne peut plus assumer le rôle de communauté et hébergeur de photos et vidéos, car l’impact financier est trop important.

De même, on ne va plus assurer un service d’actualité comme auparavant. On avait 10.000 articles d’actualités et j’ai décidé de les abandonner car j’ai dû retaper tous les articles à la main, ce qui est un travail de dingue.

Donc on va se recentrer sur notre mission première : l’éducation.

Il reste encore beaucoup de chose à écrire en matière de prévention, sécurité et en matière d’alpinisme.

Ensuite, il y aura plus de test de matériel de grimpe et plus d’interview.

A propos d’interview, on a déjà pu lire quelques interviews sympas avec des pointures comme Alain Robert. Comment fais-tu pour interviewer ces personnes ?

Bin je prends mon téléphone et je les appelle ou alors on se fait une bouffe et je prends des notes.
(Rire)

Non, allez sérieux !

Mais je suis sérieux ! La planète grimpe c’est tout petit tu sais ! Alors bon, entre les festivals, les falaises et les montagnes… Tu finis par croiser plein de gens… Après, suffit de demander et vu que les grimpeurs et les grimpeuses sont vraiment tous des chouettes gens, c’est jamais très compliqué… Et puis, vu que Nospot sponsorise pas mal d’évènements grimpe, ça permet de rencontrer du monde.

Qu’est-ce que tu offres comme sponsoring et à qui ?

C’est pas moi, c’est Nospot qui offre. On offre ce que l’on a à offrir, c'est-à-dire une couverture médiatique. On fait un article avant l’event et un article après. On tweet, on Facebook et on informe via la newsletter.

On pourrait aussi offrir cela à des grimpeurs qui voudraient faire connaître leur travail.

Alors t’es un super grimpeur qui côtoie les grandes stars de la grimpe ?

Oulà non, pas du tout ! Si les gens connaissaient mon niveau d’escalade, ils ne liraient plus mes articles ! (Rire).

Mais bon, c’est aussi ce qui fait le succès de Nospot ; c’est un grimpeur « normal » qui parle à des grimpeurs « normaux », ce qui représente quand même la majorité de la planète grimpe. En fait, c’était aussi une des motivations profondes de Nospot… Quand je lisais des magazines spécialisés en escalade, je ne m’y reconnaissais pas. Tu vois, les articles du genre : « Tel super grimpeur a grimpé un machin impossible coté à 9 milliards d’années lumières de ton niveau de grimpeur de salle... », franchement… je m’en fous… Ça me gave… Un peu ça va, c’est cool de voir ces extraterrestres faire des trucs de dingue mais à la longue… Ça m’emmerde…

Par contre, qu’un mec qui a mon niveau me parle d’un petit spot sympa pas trop fréquenté, ou qu’un mec un peu plus fort que moi, prenne le temps de m’expliquer des trucs de grimpe, en ayant conscience que pour moi c’est compliqué, là, ça m’intéresse !

Avec Nospot, j’avais un peu envie de créer un média gratuit qui recrée l’ambiance de fraternité et d’échange qui existe entre grimpeurs.

Sur le site, on a parfois des articles carrément littéraires comme tes récits de voyages et des tests de matériel qui sont plutôt orientés trek que grimpe. Pourquoi de telles digressions ?

Parce que pour moi cela fait partie de la grimpe. Dans mon esprit, la vraie grimpe, c’est partir avec son matos, sur son vélo, avec sa tente et son sac de couchage.

La vraie grimpe, ce n’est pas juste grimper ; c’est la nature, les paysages, se dépasser, rire, douter, boire une bière avec les potes.

J’ai donc envie d’élargir un peu le débat et d’élever un rien le niveau intellectuel aussi.

Bon, je pense que l’on a fait le tour non ?

Je pense surtout que personne ne lira un article aussi long. (Rire)

Bah… on verra !

Oui, on verra…

22 commentaires :

  1. Anonyme15:41

    Moi je l'ai lu jusqu'au bout ;)
    Merci NoSpot !

    RépondreSupprimer
  2. Anonyme17:17

    pareil..

    Bonne merde pour les hackers, et merci pour le boulot derriere le site :)

    RépondreSupprimer
  3. Anonyme20:28

    Gueule ! \o/

    RépondreSupprimer
  4. Anonyme11:19

    bravo mec, et bonne chance !

    RépondreSupprimer
  5. Anonyme13:32

    Tout lu, et fidèle lecteur en plus. Bonne continuation.

    RépondreSupprimer
  6. Bonne merde ! Article presque tout lu ! Amitiés Joël G.

    RépondreSupprimer
  7. Et moi donc ! Super !

    RépondreSupprimer
  8. Quelques informations sur les dégats que provoquent les attaquent DOS des hackers: http://www.zataz.com/news/22352/exon_-hebergeur_-attaque.html

    RépondreSupprimer
  9. Z'ai tout fini ! Tu fais un super boulot ^^ Ce site dédié aux grimpeurs "normaux", comme tu le dis, est totalement adapté à la communauté de grimpeur ! J'y ai appris beaucoup =) Merci.
    Toi qui gère un site comme ça, tu dois avoir un sacré carnet de contact, non ? Tu n'as personne, doté d'un talent inné pour la rédaction, prêt à te filer un coup de pouce pour tes articles ??
    Bon courage pour l'Avenir ;)

    RépondreSupprimer
    Réponses
    1. Disons qu'il n'est pas toujours facile de trouver des âmes de bonne volonté ;)

      Supprimer
    2. Anonyme14:10

      J'économise pour la bière.
      Sauf que je bois pas de bières !

      Supprimer
    3. C'est bon pour la santé pourtant ;-)

      Supprimer
  10. Excusez moi, mais il y a certaines choses que je ne comprend pas.

    Si le but des hackers étaient de prendre le contrôle de votre serveur perso... ils n'auraient jamais fait une attaque DOS.
    C'est pas discret, le seul but est de rendre inaccessible le serveur.
    Et par réaction, quand celui ci reviendra en ligne, il sera mieux protéger, donc moins facilement contrôlable.
    Le but de prendre le contrôle d'un serveur et de l'utiliser pour un usage frauduleux, la prise de contrôle doit donc rester invisible... et l'utilisation frauduleuse aussi.

    Ensuite, quand vous êtes passé sur un serveur privé, les attaques auraient due cesser si le but était la prise de contrôle de votre serveur.

    Bref, on vous attaque vous, le site et rien d'autre.
    Et avec ces infos, qu'auraient du vu communiquer vos 2 ingénieurspuis la boite que vous avez engagé... vous auriez due être au courant de ceci.

    Note: il n'y pas eut "320 hackers" vous attaquant en moyenne par jour... certainement un seul, c’est juste qu'il avait plusieurs centaines de pc zombie sous son contrôle.

    RépondreSupprimer
  11. Anonyme21:37

    merci je découvre le site ainsi que l'escalade excellent!!!gardez la flamme

    RépondreSupprimer
  12. Anonyme22:04

    Je viens de découvrir votre site merci de proposer du contenu de qualité en escalade gratuit, c'est bien rare !
    Bonne chance pour la suite !

    RépondreSupprimer
  13. Anonyme14:28

    Bonjour, je suis informaticien et 20 jours de boulots, franchement, je ne comprend pas.

    Si une configuration de firewall avec module de détection d'attaque et ban d'IP ne fonctionne pas (1/2 journée de boulot), il faut lâcher l'affaire et passer chez un hébergeur comme OVH qui dispose de matériel hors de prix dédié à la prévention de ce type d'attaque (un site web c'est 1/2 journée à 1 journée de migration en fonction de la qualité du code source du site)

    RépondreSupprimer
    Réponses
    1. Vous ne comprenez pas car par chance vous n'avez jamais subut ce type d'attaque. Nous avons placé le site dans une soc spécialisée dans les transferts d'argent pour tester; ils n'avaient jamais vu une attaque aussi massive!

      De toute façon le passé est le passé... cette version de Nospot est morte malheureusement.

      Pour ce qui est de migrer en 1/2 journée... impossible... de mémoire le site fleurait dans les 100 giga niveau taille...

      Supprimer
    2. Anonyme10:55

      100 giga d'images et vidéos, je suppose (le code source et les bases de données ont généralement des tailles relativement négligeables puisqu'il s'agit de texte) , ça se transfère en 12-13h avec une bonne connexion ADSL et ce n'est pas grave si tout le contenu n'est pas disponible tout de suite pour la remise en route du site

      Dans tous les cas, ma démarche n'est pas de critiquer gratuitement, c'est juste à titre d'information pour ceux qui se retrouveraient dans la même situation : inutile de se battre seul contre un tsunami, hébergez-vous simplement chez un hébergeur ayant les reins suffisamment solides (je mentionne OVH parce qu'ils sont les plus transparents sur leur architecture, mais il me semble qu'en France, Online se défend également assez bien)
      Une société spécialisée dans les transferts d'argent ça peut inspirer confiance, mais ils ne sont pas forcements confrontés aux problèmes des hébergeurs, ce sont des métiers différents (et leur grilles de tarifs sont probablement plus adaptées aux moyens des banques que des particuliers et PME).

      En vous souhaitant une bonne continuation...

      Supprimer
    3. Anonyme10:56

      Aucun société n'est plus exposé aux attaques DDOS que les hébergeurs Web, les plus gros, comme OVH, sont obligés de déployer des solutions pharaoniques pour protéger leurs réseaux :

      https://www.ovh.com/fr/anti-ddos/reseau-excedentaire.xml
      https://twitter.com/olesovhcom/status/437679405209382913
      https://twitter.com/search?q=ddos%20from%3Aolesovhcom&src=typd

      Les techniques d'attaques DDOS étant de plus en plus évoluées et violentes (et simple a mettre en oeuvre en louant des réseaux de PC zombies), Il est effectivement illusoire de penser pouvoir s'en sortir sans bénéficier de ce genre d'architecture que seul les plus gros acteurs "réseaux" peuvent se payer.

      100 giga d'images et vidéos, je suppose (le code source et les bases de données ont généralement des tailles relativement négligeables puisqu'il s'agit de texte) , ça se transfère en 12-13h avec une bonne connexion ADSL et ce n'est pas grave si tout le contenu n'est pas disponible tout de suite pour la remise en route du site

      Dans tous les cas, ma démarche n'est pas de critiquer gratuitement, c'est juste à titre d'information pour ceux qui se retrouveraient dans la même situation : inutile de se battre seul contre un tsunami, hébergez-vous simplement chez un hébergeur ayant les reins suffisamment solides (je mentionne OVH parce qu'ils sont les plus transparents sur leur architecture, mais il me semble qu'en France, Online se défend également assez bien)
      Une société spécialisée dans les transferts d'argent ça peut inspirer confiance, mais ils ne sont pas forcements confrontés aux problèmes des hébergeurs, ce sont des métiers différents.

      Supprimer