Outre donc l'aspect physique et matériel des corps et biens, l'Interweb est un environnement virtuellement hostile à tout système informatique qui y est connecté en gros — les ordinateurs. De plus en plus d'enquêtes mettent en lumière des organisations criminelles fraudant désormais autant sur le net qu'IRL, et même sans ça il ne faut pas sortir de St-Cyr pour comprendre que si on nous rebat les oreilles avec des anti{spam,virus,spyware,*ware} c'est qu'il existe un certain risque.

Chez Phantoom comme pour nos confrères sysadmins du Monde Entier®© confrontés en permanence à ces risques, qui dans notre coeur de métier prennent la forme de scans automatisés de ports/vulnérabilités applicatives ou encore de tentatives de connexion SSH type login bruteforce[1] voire d'attaques directes contre notre infrastructure — parmi lesquelles on retrouve les attaques individuelles plus ou moins discrètes visant à prendre la main sur un serveur ou les attaques à la hussarde visant uniquement à paralyser l'infrastructure.

Ainsi dans les fichiers de log que nous analysons scrupuleusement tous les matins, nous constatons tous les jours avec dépit des rapports de tentatives d'intrusion et de scans de vulnérabilités web. Il ne s'agit jamais des mêmes machines, ces actions étant menées par des botnets constitués de dizaines voire des centaines de milliers de zombies, des ordinateurs infestés de malware. Contre cela il n'y a rien à faire, si ce n'est se défendre du mieux que l'on peut et en tenant ses applicatifs à jours et ses comptes d'administration bien verrouillés.

Cependant certains jours — au moins une fois par semaine, à mon grand désespoir — certains zombies sont des serveurs Dedibox. Dedibox, mon premier bac à sable et ma foi prestataire à la qualité de service irréprochable en ce qui la qualité du matériel et la connectivité réseau pour les prix pratiqués. À l'instar de Free pour la connectivité Internet au grand public, ils auront été les premiers à pulvériser les prix, forçant les blockbusters de l'hébergement dédié tels OVH et autres 1&1 à s'aligner douloureusement sur leurs tarifs.

Trêve de digression, mes griefs ne s'adressent pas à Dedibox directement, mais à leurs clients. Pratiquement tous les jours disais-je donc, nous nous faisons scanner et "bruteforcer" par des serveurs loués chez Dedibox. Ayant du mal à concevoir qu'on puisse louer un de leurs serveurs exclusivement pour s'adonner à ces activités illégales, j'en conclus que ce sont des serveurs légitimes qui se sont fait "pirater" et dont les méchants spammeurs terroristes pédophiles nazis se servent pour rebondir vers d'autres machines, mais surtout les inscrire dans leur(s) botnet(s) pour scanner/bruteforcer d'autres ordinateurs afin de s'étendre davantage.
Lorsque je m'aperçois qu'une dedibox nous a scanné, je fais quelque chose qui fait doucement marrer mes collègues Jop et SantX : j'ouvre un ticket d'abus chez Dedibox. À partir de ce formulaire, il est possible à tout individu dont le(s) système(s) informatique aurai(en)t subi un préjudice virtuel de se plaindre non pas au service client de Dedibox, mais au locataire du serveur Dedibox incriminé.

Démarche quelque peu naïve voire totalement vaine, elle n'en est pas moins pour moi une tentative de remettre un peu d'ordre dans ce merdier qu'est l'internet actuel : patiemment, j'ouvre un abuse notifiant le locataire de la Dedibox que nous avons détecté dans nos logs des tentatives de connexion login bruteforce SSH blah blah blah... si tu continues jte trouve et jte nique ta race maudite blah blah blah... Bien cordialement, l'équipe technique de phantoom.net.
L'usager dispose contractuellement de 48h pour traiter l'abuse, délai au bout duquel son serveur est déconnecté du réseau. Voici un florilège de réponses reçues en justification d'abuse case :

Un qui a l'air de savoir de quoi il parle, mais pas trop non plus sinon il ne se serait pas fait ouner de la sorte :

Bonjour. Nous avons ?t? victime d'une intrusion par modification du LD_PRELOAD via telnet puis ssh. Nous avons fait les maj de sécurité necessaires, changé les ports standars, detruit le compte exploité, et fait le ménage. Tout est rentré dans l'ordre. Nos excuses.

Un qui se fout un peu de nous :

Désolé pour la gêne.

Un qui se fout carrément de nous...

pas de probleme dans les log

...et qui continue après avoir ré-ouvert un abuse, peu satisfait de la conclusion précédente :

.. faut pas avoir la grosse tête ...

Un grand classique :

Ma dédibox a été victime d'un piratage, le nécessaire a été effectué

Et enfin mon préféré, reçu pas plus tard qu'hier matin :

Bonjour,

Je viens de voir vos alertes d'abus qui me sont totalement inconnu. Effectivement j'ai eu une attaque brute force sur mes deux serveurs. Voici les mises a jour effectués pour blocker la personne qui a voulu hacker et faire tomber mes serveurs.

-Ajout de fail2ban ,
-Mise a jour des regles iptables,
-Mise a jour de package obsolete de phpmyadmin,
-Suppression du authorized_keys de ssh que le hacker a deposer sur mes serveurs,
-Mise en place des balcklist d'ip.

Quelqu'un s'est introduit par brute force ssh,botnet, connexion http multiple sur mes serveurs et se servait de mon serveur +? mon absence pour se connecter sur d'autres serveurs (irc, ou même d'autre machine etc...).

Du coup je vois mon ip blacklister sur beaucoup de serveur. Pensez vous que je peux faire autre chose pour limiter ces degats?

Je mettrai à jour également ma version de Debian etch très rapidement.

J'aime cette réponse et en même temps elle m'agace profondément. Je l'aime parce que le type qui a reçu notre plainte fait preuve d'un intérêt manifeste et d'une volonté de résoudre définitivement le problème — mouahahahaha, s'il savait ! — et d'un autre coté il nous démontre avec classe qu'il ne comprend pas ce qu'il fait, et encore moins ce qui lui arrive.
Pourquoi suis-je si dur avec lui, m'interpelleriez-vous. Tout d'abord parce que ce que techniquement les mesures prises, bien que salutaires, n'ont probablement pas résolu le problème à savoir qu'il y a 99% de chances que l'attaquant soit entré grâce à une faille applicative web et non pas système, ce qui signifie que si le type a réussi à entrer une fois, il y a fort à parier qu'il saura à nouveau retrouver son chemin... et si ce n'était pas [que] via une faille de PhpMyAdmin ? PHPbb, Joomla, Wordpress, Drupal etc. Et pourquoi Debian Etch, alors qu'on en est à Lenny depuis des mois ? Non, la meilleure des choses à faire, et même les techniciens de chez Dedibox le disent : réinstaller complètement le serveur.

On en revient toujours à ce problème de fond, qui est que puisqu'il n'est pas possible de faire de mal physiquement sur Internet les gens se sentent dispensé de toute responsabilité envers les autres au travers de leur petite parcelle de web. Vivement le permis d'utiliser Internet, bis repetita.

Notes

[1] Des robots tentent (vainement ou pas) de se connecter au serveur en utilisant une liste (finie ou pas) de logins et de mots de passe type ou en essayant de le deviner, tel un jeu de Mastermind aux possibilités quasi infinies.