Mise à jour du 27 avril, 10 h 30 : l’audit effectué par Amazon sur notre compte confirme qu’une personne tierce a réussi à se connecter à notre compte, soit en utilisant nos informations de connexions ou nos informations bancaires, qui auraient potentiellement circulé sur le web. Cela nous confirme que les serveurs de nos sites sont sécuritaires, mais nous engage dans une veille de nos informations bancaires. C’est une bonne nouvelle pour nos installations informatiques, sans pour autant être une bonne nouvelle pour la situation générale.
Article original ci-bas.
Dans la nuit du 20 au 21 avril dernier, la Coméul a été victime d’une attaque informatique qui nous a fait perdre l’écrasante majorité des médias (photos, audio) qui étaient associés à nos sites web. Le présent article se veut un état de la situation par souci de transparence. Il sera mis à jour ponctuellement selon l’arrivée de nouvelles informations.
Que s’est-il passé ?
Mercredi le 21 avril, nous avons remarqué que les sites chyz.ca ainsi qu’impactcampus.ca avaient des problèmes d’affichage; principalement, les photos n’affichaient plus. L’hébergement de nos sites se fait, de manière simpliste, avec deux composantes principales : nos serveurs (qui font fonctionner les sites eux-mêmes), ainsi que l’hébergement des médias (sur Amazon S3).
Sachant que les sites fonctionnaient parfaitement, le problème était donc du côté de l’hébergement de nos médias. C’est en allant inspecter dans notre console AWS S3 que le choc est survenu : il n’y avait plus rien… Sauf un message contenu dans un fichier texte, en anglais, demandant une rançon de 0,02 BTC (une somme équivalente au moment d’écrire ses lignes à environ 1200 $ canadien), sous peine de quoi nos fichiers ne seraient pas restitués et qu’ils pourraient être coulés publiquement comme bon le semble à la personne réclamant la rançon (honnêtement, ça nous arrangerait un peu !).
La résultante est que nous avons perdu l’entièreté des médias que nous hébergions sur cette plateforme. Précisément, ce sont les images associées aux articles sur impactcampus.ca et chyz.ca, ainsi que l’entièreté des podcasts de CHYZ, et ce, depuis le début de l’utilisation de cette plateforme en 2014.
Il est important de noter qu’aucune information personnelle, de visiteurs ou de nos employés, n’a été volée, et la raison est fort simple : nous ne récoltons pas ce genre d’information sur nos sites.
Pourquoi en sommes-nous là ?
Difficile à dire pour l’instant. Nous avons fait un audit rapide de nos serveurs et nous ne trouvons aucune trace d’intrusion. Qui plus est, si nos serveurs avaient été compromis, il est fort à parier que la personne derrière le méfait ne se serait pas arrêtée à nos fichiers sur AWS S3, mais aurait aussi pris en otage nos bases de données. Celles-ci contiennent les articles de nos sites en eux-mêmes.
Notre attention se tourne donc vers notre compte AWS S3. Un audit spécifique à ce compte est en cours par une équipe chez Amazon. Nous n’avons pas plus de détails à ce sujet pour l’instant.
Qu’est-ce qui aurait pu être fait, et pourquoi ça ne l’a pas été ?
C’est la grande question.
Pour tenter d’y répondre, il est important de mettre en relief un point important : la Coméul est une organisation étudiante, gérant deux médias étudiants. Et si notre état de « médias étudiants » n’était pas suffisant pour expliquer notre manque de ressource, nous restons un média dans le contexte médiatique actuel que tous connaissent. La corporation survit, pour ainsi dire, sur de minces cotisations sur la facture de chacun des étudiant.es et des revenus publicitaires de plus en plus anémiques. Nous ne voulons faire pleurer personne, mais notre réalité d’opération en est une que nous pourrions qualifier de pauvreté corporative. Évidemment, ce manque de ressource monétaire n’excuse probablement rien, mais il explique tout de même un peu notre fâcheuse situation.
Nos sites web, et l’infrastructure qui les maintiennent en ligne, ont été créés et gérés dans les meilleures pratiques humainement possibles pour la corporation. Il nous est virtuellement impossible d’engager, à des conditions attrayantes, une ressource qui aurait les connaissances nécessaires afin de gérer l’entièreté du volet informatique de la corporation. Pour l’instant, c’est notre ancien directeur informatique qui continue de faire ce travail, au besoin et à bout de bras, bien qu’il ne soit plus officiellement employé la corporation depuis plusieurs années. N’ayant personne qui pourrait dévouer son attention à temps plein sur la question de nos données et la sécurité de ces dernières, en plus du reste de la tâche, est un des problèmes qui a mené à la situation actuelle.
Il n’existe pas de réelle sauvegarde des données perdues. L’hébergement même des médias de la Coméul coûte quelques milliers de dollars annuellement et maintenir une infrastructure de sauvegarde en parallèle à l’hébergement en lui-même est monétairement difficile à supporter pour notre organisation. La situation des dernières années (l’unique sauvegarde délocalisée par infonuagique) était en soi une énorme amélioration à celle qui prévalait avant (la sauvegarde sur un ordinateur poussiéreux non accessible pour consultation sur le site web) et il apparaît évident qu’il faudra la faire évoluer à nouveau dans le moyen terme. Est-ce qu’une stratégie de sauvegarde, qui n’implique pas de garder l’entièreté de nos archives aurait pu être mise en place ? Assurément. Mais encore une fois, d’avoir et maintenir une telle stratégie demande des connaissances, du temps, et de l’argent, qui sont hors de portée de nos moyens organisationnels. Et c’est sans parler du roulement de personnel, à tous les niveaux de l’organisation, qui rend la tâche très difficile.
Comme nous le disions plus haut, rien n’excuse la situation et la perte de ces données. Il y a toujours quelque chose qui aurait pu être fait pour au minimum, mitiger ce genre de situation… Nous prenons donc ainsi le blâme, tout en apportant des nuances qui, nous espérons, vous consolent un peu. Parce que de notre côté, la peine est réelle et immense.
Qu’est-il possible de faire maintenant ?
Les seules traces que nous avons de l’attaque sont les traces qu’a laissées par cette personne malveillante (que nous détestons de plus en plus à chaque paragraphe!) en tentant de cacher les traces de son méfait. Nous avons donc une adresse IP, liée à une compagnie polonaise (ayant des serveurs en Estonie !), qui ne semble même pas avoir de site web qui nous permettrait de les contacter afin de rapporter les méfaits. Il y a fort à parier que notre belligérant a utilisé cette compagnie et ces serveurs pour couvrir sa réelle identité. Tenter de retrouver la personne avec cette information relèverait de l’aiguille dans une botte de foin.
Ne sachant toujours pas le résultat de l’audit d’AWS, nous ne pouvons même pas être certains que le pirate des hautes mers informatique ait fait une copie des fichiers effacés. Notre honnête opinion est que nous ne croyons pas qu’il l’ait fait. La personne ayant fait l’attaque devrait avoir transféré et héberger, le temps de l’expiration de sa rançon, plus de 1 TB de données (simplement pour les podcasts), ce qui rendrait quasiment caduc le profit qu’il ou elle pourrait obtenir de la rançon.
Il serait tout de même possible de payer la rançon et d’espérer pour le mieux. Mais les chances de récupérer nos données sont minces, et celles de se faire soutirer par la suite encore plus d’argent bien grandes.
Sur un point plus positif, l’équipe technique de CHYZ et l’équipe de rédaction d’Impact Campus travaille d’arrache-pied afin de remettre les données récentes des deux sites. Pour CHYZ, c’est une question d’accès au matériel : les enregistrements en notre possession sont récents et ne remontent que très peu dans le passé ; pour Impact Campus, les archives photographiques ne mentionnent pas quelles photos étaient liées à quel article et de le faire relève d’une tâche pharaonique. Mais il y a un travail qui se fait pour récupérer ce que nous pouvons, et nous remercions chaleureusement nos équipes pour le travail d’urgence qu’ils font.
En dehors de tout ça, dans les circonstances et les moyens dont nous disposons, il vaut mieux commencer un processus de deuil de ces données perdues.
Et pour la suite ?
Nous avons effectué la rotation des clés d’accès et des mots de passe de nos comptes ; nos employés ont été informés de faire de même, par précaution ; nous continuons de collaborer avec nos fournisseurs afin d’identifier les failles qui auraient mené à la présente situation et nous attendons le résultat de l’audit de notre compte AWS avant de poursuivre notre démarche. S’il advenait que nous avions un espoir fondé que la personne aurait, dans un excès de bonté, effectivement transféré nos données avant de les faire disparaître, nous pourrions peut-être considérer payer la rançon, c’est à voir. Il faut aussi comprendre qu’il ne nous a même pas laissé un moyen de le contacter, alors comment réellement en être certain ?
Autre point d’intérêt, la Coméul avait préalablement, et indépendamment des événements, enclenché un processus d’actualisation de ses sites web qui devrait aboutir dans les prochains mois, et les événements des derniers jours feront assurément partie prenante de nos réflexions dans ce projet.
Il est cependant hors de question pour nous de reculer devant les défis technologiques de l’organisation. La survie des médias, qu’ils soient étudiants, indépendants ou de masse, passe assurément par la numérisation de leurs activités. De ralentir nos ambitions par peur des risques nous conduirait certainement à une disparition. Nous préférons toujours rêver grand, malgré nos moyens limités.
D’ici là, nous mettrons à jour cet article au fur et à mesure que nous obtiendrons des détails.