Pour cette expérience
Nous avons étudié
en profondeur
À travers toute la France
une année de monitoring
lignes de logs
Plus de 350 heures de filtrage de données
Pourquoi une telle analyse
En tant que webmaster, le hacking ne doit pas vous être inconnu. La sécurité des données que vos clients vous confient, y compris les informations sensibles de leurs propres clients, est d’une importance capitale. Il est essentiel d’avoir une vision globale des flux de données entrants et sortants de vos serveurs, qu’ils soient partagés ou dédiés. Dans cet article, nous allons explorer la réalité des serveurs mutualisés et les risques associés, ainsi que les mesures que vous pouvez prendre pour protéger vos données et celles de vos clients.
Les Serveurs Mutualisés : Comprendre les Risques
La plupart des sites WordPress sont hébergés sur des serveurs mutualisés. Cela signifie que de nombreux sites, parfois des milliers, partagent la même machine serveur. Et, surtout la même adresse IP. Imaginez-vous être l’un des 80 000 sites web locataire de la même machine. Bien que cela semble économique, cela comporte des risques importants. Les actions d’un site voisin pourraient affecter la performance, la réputation ou la sécurité de votre site web. En quelques minutes, vous voilà dans l’impossibilité d’envoyer vos newsletters sans qu’elles arrivent directement en Pourriels chez vos abonnées.
Une Surveillance Essentielle
Face à cette réalité, vous devez avoir un contrôle sur ce qui se passe autour de votre serveur. Les attaques et les tentatives d’intrusion sont des menaces constantes, on peut le lire sur énormément de forum. Notamment lorsque vous explorez les forums du dark web. C’est pourquoi il est judicieux de surveiller attentivement les journaux d’accès de votre emplacement pour détecter toute activité suspecte. Si dans le cas d’un serveur mutualisé, vous ne pourrez sans doute pas voir ce qui se passe chez vos colocataires, vous avez le devoir de regarder vos logs d’accès le plus souvent possible.
Utilisation de l’Échelle OSSEC
L’échelle OSSEC, allant de 00 à 15, est un moyen efficace de classer les alertes en fonction de leur gravité. Cela permet de se concentrer sur les incidents les plus préoccupants. Les alertes de niveau 05 à 16 signalent des problèmes sérieux, des tentatives d’intrusion ou des activités suspectes.
La Décision de Surveillance
Pour garantir la sécurité de mes propres serveurs, j’ai pris la décision de collecter et d’analyser les journaux d’accès de sept serveurs basés en France sur une période d’un an. Cela représente plus de 160 Go de données à analyser. Je désirais comprendre quelles machines tentaient d’attaquer ou d’accéder de manière malveillante à nos serveurs. Pour vous donner quelques statistiques afin de vous confronter à la réalité, un serveur d’hébergement tombe entre de mauvaises mains toutes les 12 secondes dans le monde.
En France nous avons passé le cap des 3 millions de serveurs d’hébergements web en 2022.
Le Top 100 des Serveurs Malveillants
Après une analyse méticuleuse, voici le top 100 des serveurs envoyant des informations inappropriées ou tentant des attaques. Depuis un an en arrière et depuis la France uniquement. Ces attaques provenant de serveurs placés sur notre propre territoire soulignent l’importance cruciale de la sécurité, surtout lorsque vous partagez un environnement avec d’autres sites web.
Listes de paramètres considérés comme crucial pour cette enquète :
- Serveurs infecté déjà basé en France.(+1)
- Nombre de fois où une attaque a eu lieu.(+1 à chaque fois). Effectivement, certaines machines, ont effectué jusqu’à huit tentatives en une minute, à chaque fois une attaque différente.
- Protocole d’attaque supérieur à simple énumération de fichiers. (pour dégager les bots de référencement un peu trop zélé). Échèle OSSEC 5 minimum.
- Uniquement, des serveurs d’hébergement web (+1)
parce que attaquer un serveur est une chose, mais se maintenir dedans sans éveiller les soupçons est une autre paire de manches. Transporter, envoyer ou stocker un ransomware peut se montrer un vrai casse-tête parfois. C’est pourquoi les serveurs d’hébergement web déjà dans le pays attaqué est un plus lorsque le hacker à trouver une cible.
Sans plus attendre la liste
188.165.198.202 ovh.net
188.165.198.202 ovh.net
176.144.199.158 bouyguestelecom.fr
82.66.21.186 proxad.net
88.168.61.98 proxad.net
82.66.143.74 proxad.net
88.121.9.222 proxad.net
51.159.54.22 online.net
51.159.54.22 online.net
54.36.98.63 ovh.net
54.36.98.63 ovh.net
51.75.23.93 ovh.net
51.75.23.93 ovh.net
51.75.23.93 ovh.net
51.254.101.166 ovh.net
51.254.101.166 ovh.net
212.83.144.11 online.net
212.83.144.11 online.net
212.83.144.11 online.net
82.66.143.175 proxad.net
51.75.123.107 ovh.net
51.75.123.107 ovh.net
51.75.123.107 ovh.net
62.210.222.102 online.net
62.210.222.102 online.net
62.210.222.102 online.net
57.128.114.101 ovh.net
57.128.114.101 ovh.net
82.65.17.52 proxad.net
82.65.17.52 proxad.net
82.65.17.52 proxad.net
51.68.121.240 ovh.net
51.68.121.240 ovh.net
54.37.205.209 ovh.net
54.37.205.209 ovh.net
152.228.218.35 ovh.net
152.228.218.35 ovh.net
212.83.131.115 online.net
212.83.131.115 online.net
51.195.97.127 ovh.net
51.195.97.127 ovh.net
152.228.133.238 ovh.net
152.228.133.238 ovh.net
51.15.56.154 online.net
51.15.56.154 online.net
193.187.174.158 cloudbackbone.net
193.187.174.158 cloudbackbone.net
51.15.171.97 online.net
51.75.123.107 ovh.net
51.75.123.107 ovh.net
51.75.123.107 ovh.net
51.254.105.113 ovh.net
51.254.105.113 ovh.net
51.75.142.157 ovh.net
152.228.171.144 ovh.net
152.228.171.144 ovh.net
93.15.114.151 gaoland.net
46.218.81.20 completel.fr
82.65.23.62 proxad.net
82.65.23.62 proxad.net
164.177.31.66 bouyguestelecom.fr
164.177.31.66 bouyguestelecom.fr
77.206.164.56 gaoland.net
51.38.46.250 ovh.net
51.38.46.250 ovh.net
82.65.17.52 proxad.net
82.65.17.52 proxad.net
217.117.146.52 equinix.com
147.135.176.227 ovh.net
147.135.176.227 ovh.net
147.135.176.227 ovh.net
185.59.42.201 dvmr.fr
79.137.24.1 ovh.net
79.137.24.1 ovh.net
79.137.24.1 ovh.net
79.137.24.1 ovh.net
79.137.24.1 ovh.net
79.137.24.1 ovh.net
51.178.142.35 ovh.net
51.178.142.35 ovh.net
51.178.142.35 ovh.net
130.93.145.48 init-sys.com
51.159.54.22 online.net
51.159.54.22 online.net
51.159.54.22 online.net
82.64.251.50 proxad.net
51.254.114.229 ovh.net
51.254.114.229 ovh.net
51.254.114.229 ovh.net
85.69.178.104 numericable.fr
46.105.30.81 ovh.net
46.105.30.81 ovh.net
46.105.30.81 ovh.net
77.206.164.56 gaoland.net
51.255.167.42 ovh.net
51.255.167.42 ovh.net
54.37.177.169 ovh.net
54.37.177.169 ovh.net
92.222.171.6 ovh.net
80.14.224.194 orange.com
Explications
Lorsque vous pouvez lire plusieurs fois la même adresse IP, c’est que la même machine à tenter plusieurs attaques différentes à la suite l’une de l’autre.
*Pourquoi plusieurs fois la même ip ? Parce que ce serveur a été repris par les hackers, parfois à peine quelques jours plus tard et que les attaques ont repris de plus belle.
- De la première à la 10ᵉ place, nous avons les attaques portant directement atteinte à la prise de contrôle du serveur attaqué.
- De la 11ᵉ à la 29ᵉ place, nous avons les tentatives d’installation de rootkits
- De la 30ème à la 50e place, elles incluent plusieurs mots de passe incorrects, plusieurs échecs de connexion sur des protocoles SSH ou MX
- de la 51e à la 79e place, nous avons les tentatives de connexion en tant qu’utilisateur inconnu.
- 80 à la 100ᵉ place, nous rencontrons les attaques de faible pertinence, ils indiquent un ver ou un virus qui ne possède aucun effet sur le système.
- Pour information : proxad.net est le FAI free. online.net est la société scaleway sas. Goaland.net, completel.fr et numéricable sont connus sous le nom de SFR.
- Si votre site wordpress présente des signes d’infection, il est fort à parier qu’il sert déjà à attaquer d’autres sites web ailleurs.
- OVH possède plus d’un demi-million de serveurs physique en France, il est normal qu’il représente 57 % des attaques sur le territoire.
conclusions
Le constat est imposant. Une véritable guerre du numérique est depuis longtemps déclaré, ceci a tous les niveaux. Le retard pris par la France n’est malheureusement pas rattrapable.
En plus de vingt années sur internet, c’est la première fois que je me penche sur des serveurs basés en France. En qualifiant cela comme une vraie possibilité d’invasion.
Si jusqu’à présent, je bannissais systématiquement des pays comme Singapour, Hong Kong, la Chine et le Japon, le Bangladesh, la Russie, la Pologne, l’Ukraine et j’en passe. J’ajouterais des IP de serveur français à mes pare-feu.
Pour des raisons d’anonymat, je cite uniquement les hébergeurs et non les locataires. En effet, certaines de ces entreprises sont des entreprises reconnues comme étant des sommités dans leurs domaines et ont une réputation à défendre.
Rappel sur la Non-Responsabilité des Hébergeurs et Prestataires en Cas de Cyberattaques
Il est essentiel de comprendre que les hébergeurs et prestataires de services en ligne ne sont généralement pas tenus responsables des conséquences des cyberattaques, ni des activités malveillantes menées par des tiers sur les sites web ou systèmes qu’ils hébergent. Cette non-responsabilité est soutenue par la loi, en particulier par la directive européenne 2000/31/CE, également connue sous le nom de la « Directive sur le commerce électronique ».
Directive 2000/31/CE – Article 14 : Responsabilité des Hébergeurs
L’article 14 de la directive énonce explicitement que les hébergeurs ne sont pas responsables des données stockées à la demande de leurs clients, à condition qu’ils n’aient pas connaissance de leur caractère illégal. En d’autres termes, si un hébergeur n’a pas conscience que des activités illicites se déroulent sur un site qu’il héberge, il ne peut pas être tenu responsable de ces activités.
Article 6-I-2 de la Loi pour la Confiance dans l’Économie Numérique (LCEN)
Dans le contexte français, la Loi pour la Confiance dans l’Économie Numérique (LCEN) précise aussi la non-responsabilité des hébergeurs dans son article 6-I-2. Il établit que les hébergeurs ne sont pas responsables des informations stockées à la demande de tiers s’ils n’ont pas une connaissance effective de leur caractère illicite et s’ils agissent promptement pour retirer ces informations dès qu’ils en prennent conscience.
La Responsabilité de l’Auteur du Contenu
Il est important de noter que la responsabilité de toute activité illicite en ligne incombe principalement à l’auteur du contenu ou à l’entité qui mène l’attaque. Les hébergeurs et prestataires de services en ligne sont seulement des facilitateurs techniques, et leur responsabilité est limitée à des mesures raisonnables pour prévenir et supprimer du contenu illicite.
En résumé, les hébergeurs et prestataires de services en ligne ne sont généralement pas responsables des conséquences des cyberattaques, conformément à la législation en vigueur. Cependant, ils doivent agir de manière proactive pour retirer tout contenu illicite dès qu’ils en ont connaissance.
Comment avertir un hébergeur d'une activité suspecte
Identifiez l’Hébergeur : Assurez-vous de connaître l’hébergeur du site ou du serveur en question. Cette information est généralement accessible via des outils de recherche WHOIS ou en consultant les informations de votre contrat d’hébergement.
Collectez des Preuves : Avant de contacter l’hébergeur, rassemblez autant de preuves que possible de l’activité suspecte ou de la violation de sécurité. Cela peut inclure des journaux de serveur, des captures d’écran, des fichiers compromis, ou tout autre élément qui peut aider à comprendre le problème.
Identifiez l’Adresse de Contact : Recherchez sur le site web de l’hébergeur ou dans votre contrat d’hébergement l’adresse e-mail ou le numéro de téléphone à utiliser pour les contacter en cas d’urgence ou de problèmes de sécurité. Certaines entreprises ont des équipes de support spécialement dédiées à la sécurité.
Composez un Message Clair et Concis : Rédigez un message qui explique clairement la nature du problème. Soyez précis dans la description de l’activité suspecte ou de la violation de sécurité. Incluez toutes les preuves que vous avez collectées.
Indiquez l’Urgence : Si le problème nécessite une intervention immédiate, assurez-vous de le mentionner explicitement. Indiquez également si l’activité suspecte met en danger la sécurité des données ou du site.
Envoyez le Message : Envoyez le message à l’adresse de contact de l’hébergeur ( en général abuse@machin truc.net ou.com). Assurez-vous que le sujet du message est clair et indique l’urgence de la situation, par exemple : « Urgent : Violation de sécurité sur le site web. »
Suivez le Processus de l’Hébergeur : L’hébergeur devrait répondre (entre quelques minutes et quelques semaines) à votre demande, en particulier s’il s’agit d’une urgence de sécurité. Suivez leur processus, répondez à leurs questions et fournissez toute information supplémentaire requise.
Collaborez avec l’Hébergeur : Une fois que l’hébergeur a pris en charge le problème, collaborez avec eux pour résoudre la situation. Ils peuvent avoir besoin de votre assistance pour comprendre la nature de l’incident et mettre en place des mesures correctives.
Préparez-vous à Informer les Autorités : Si l’incident implique une activité criminelle, soyez prêt à collaborer avec les autorités chargées de l’application de la loi. La sécurité en ligne est une préoccupation sérieuse, et la coopération est essentielle pour lutter contre la cybercriminalité.
PS : je souligne ici que ce ne sont pas les plus gros hébergeurs les meilleurs. Depuis plus de 10 ans, je suis partenaire ionos et je ne reviendrai pas de sitôt vers la France pour me fournir un serveur dédié de qualité supérieur.