Une attaque sur Elementor menace des millions de sites WordPress

Publié le 24 mars 2021 dans Création de sites web
 

Des chercheurs en sécurité ont découvert une grave vulnérabilité dans l’extension Elemenator, un des constructeur de sites Web les plus réputés sur WordPress. Cette vulnérabilité peut potentiellement permettre aux pirates de prendre le contrôle de tous les sites Web créés à l’aide de ce logiciel.

Elementor prétend être utilisé sur plus de sept millions de sites Web WordPress. La vulnérabilité (stored cross-site scripting vulnerability) a été découverte par Wordfence, qui développe des solutions de sécurité, notamment des plugins pour protéger WordPress.

« Ces vulnérabilités permettaient à tout utilisateur capable d’accéder à l’éditeur Elementor, y compris les contributeurs, d’ajouter du JavaScript aux articles. Ce JavaScript peut ensuite être exécuté lorsque l’article est consulté, modifié ou prévisualisé par tout autre utilisateur du site, et être utilisé pour prendre le contrôle d’un site si la victime est un administrateur », explique Wordfence.

La vulnérabilité, désormais « patché », était particulièrement dangereuse car elle pouvait être exploitée même par une personne disposant des droits de contributeur sur un site Web WordPress. Les contributeurs sont les utilisateurs avec le moins de privilèges administratifs.

Wordfence a découvert que plusieurs éléments de l’éditeur Elementor n’étaient pas validés côté serveur, ce qui pouvait permettre à des utilisateurs malveillants d’envoyer du JavaScript exécutable sur une page. Lorsqu’un administrateur ouvre la publication pour examen, le script s’exécute et utilise les privilèges de haut niveau pour créer un nouveau compte administrateur malveillant.

Les chercheurs suggèrent que la solution pour prévenir ce type de vulnérabilité consiste à appliquer une liste de balises HTML autorisées du côté du serveur, plutôt que seulement du côté du client. « En effet, c’est l’approche utilisée par la version corrigée pour corriger le problème », conclut Wordfence.

Catégorie: Création de sites web

Flux RSS
Commentaires fermés sur Une attaque sur Elementor menace des millions de sites WordPress

Incendie d’un datacenter OVH à Strasbourg : coup dur pour le champion français du cloud

Publié le 19 mars 2021 dans Hébergement cloud, Infos sur l'industrie
 

12 000 à 16 000 clients auraient été impactés par l’incendie qui a touché le bâtiment de la société OVH à Strasbourg, le 10 mars 2021. L’entreprise française, spécialisée dans la gestion de serveurs informatiques, a été lourdement et durablement touchée. Les chiffres du nombre de clients et de sites internet touchés sont impressionnants. L’événement fera date pour le secteur français du numérique, voire au-delà des frontières nationales. Si OVH a réagi vite, communiqué rapidement auprès de ses clients et mis immédiatement en place un plan de reprise de l’activité, les pertes de données pourraient s’avérer irréversibles pour certaines entreprises ou organisations.

(crédit photo : SDIS du Bas-Rhin)

Que sait-on aujourd’hui de cet incendie et de ses conséquences ? Quels sont les sites impactés et quelle est la stratégie mise en place par OVH suite à l’incident ? Réponse en détail.

Un datacenter hors d’usage, un second sérieusement endommagé

OVH compte quatre datacenters à Strasbourg. L’un d’entre eux a été totalement détruit. 4 salles d’un second datacenter sont également devenues inutilisables à la suite de l’incendie. L’intervention rapide et efficace des pompiers a permis de circonscrire l’incendie et d’éviter qu’il s’étende aux autres infrastructures. Le départ du feu serait d’origine accidentelle. Même si toutes les zones n’ont pas été affectées par l’incendie, l’ensemble du bâtiment a été touché puisque l’électricité a été entièrement coupée sur le site, par mesure de précaution.

Un séisme dans le monde du numérique

D’après les informations données par OVH dans les heures qui ont suivi l’incendie, 12 000 à 16 000 clients auraient été touchés (il pouvait s’agir d’une impossibilité, durant une durée plus ou plus longue, d’accéder à leur site internet ou à leurs emails). Les chiffres communiqués donnent le vertige : 464 000 noms de domaines ont été répertoriés comme inaccessibles et 3,6 millions de sites web auraient été touchés.
On pourrait bien sûr multiplier les exemples de structurées impactées : les villes de Cherbourg, Vichy, la MAIF, le Centre Pompidou, le site data.gouv.fr (site open data du gouvernement), Cityscoot… Les environnements numériques de travail (ENT) de l’éducation nationale ont également été perturbés suite à l’incident. Certaines de ces plateformes étaient en effet hébergées chez les serveurs d’OVH à Strasbourg, notamment certaines académies en Île-de-France et dans les Hauts-de-France.
Au-delà des interruptions de services et des éventuelles pertes de données, les conséquences économiques seront lourdes pour les clients qui ont vu leurs activités s’arrêter brusquement : sites e-commerce, solutions logicielles en ligne ou sites de paris en ligne… Ces clients n’ont d’ailleurs pas hésité à faire part de leur mécontentement sur les réseaux sociaux.

(crédit photo : SDIS du Bas-Rhin)

Des conséquences… à géométrie variable

Les clients utilisant les services d’OVH ont été touchés à des degrés divers. OVH propose une multitude d’offres d’hébergement : serveurs physiques dédiés, serveurs physiques mutualisés… Difficile donc pour OVH de confirmer ou non les pertes définitives des données pour tel ou tel client, puisque tout dépend des offres choisies, des sauvegardes et des redondances souhaitées par le client. La société a-t-elle été assez claire auprès de ses clients dans les différentes offres ? Certains se posent la question.

Des pertes de données définitives

Si aucune option de sauvegarde n’a été souscrite et payée par le client, si la machine est détruite (dans le cas présent, par un incendie) et qu’aucune opération de sauvegarde n’a été effectuée sur des supports et des sites distincts, alors les données qui s’y trouvaient sont perdues.
La société n’effectue pas systématiquement des sauvegardes de données pour ses clients, mais uniquement à leur demande et en fonction des offres souscrites. L’entreprise s’est bien gardée de répondre hâtivement sur d’éventuelles pertes définitives de données.

La communication d’OVH : transparence et pédagogie

Face à l’ampleur de l’événement, OVH a communiqué rapidement. Octave Klaba, son fondateur, s’est exprimé dans une vidéo via Twitter. Son directeur général, Michel Paulin, a également donné de sa personne sur le plateau de BFM Business. La société utilise tous les canaux possibles pour communiquer et donner la preuve de sa réactivité : FAQ actualisée très régulièrement sur son site internet, Twitter, communiqués…

Un redémarrage progressif des serveurs

L’entreprise travaille depuis l’incendie sur un plan de reprise et de redémarrage des différents serveurs du site de Strasbourg. Elle a communiqué récemment sur le sujet. La relance des serveurs encore en état de marche sera réalisée de manière progressive, probablement à partir du 22 mars. L’entreprise s’est engagée à réaliser des tests (une baie par zone) avant de rebrancher ses serveurs, étape par étape. OVH préviendra les clients concernés au fur et à mesure de la reprise.

Une prise de conscience collective ?

Si l’événement affecte lourdement OVH et ses infrastructures, c’est bien l’ensemble du secteur du cloud français qui est affecté. En effet, OVH constitue le symbole de la résistance française face aux GAFAM. Son image et la confiance que lui portent ses clients seront durablement affectées.
Le monde français du numérique semble également prendre conscience, à travers cet événement, de sa vulnérabilité. Le recours massif à la dématérialisation depuis une dizaine d’années a semblé faire oublier que le cloud fonctionne lui aussi avec des serveurs et des datacenters. Il n’est donc pas à l’abri de pannes et de destructions. L’incendie d’OVH vient rappeler à chacun cette réalité.

Catégorie: Hébergement cloud, Infos sur l'industrie

Flux RSS
Commentaires fermés sur Incendie d’un datacenter OVH à Strasbourg : coup dur pour le champion français du cloud

Nos boites mails sont elles vraiment en sécurité ?

Publié le 15 mars 2021 dans Infos sur l'industrie, Interviews Hébergeurs
 

Comme vous le savez sans doute, un incendie a ravagé un datacenter d’OVH à Strasbourg il y a quelques jours :
https://www.lemonde.fr/societe/article/2021/03/11/l-incendie-survenu-sur-le-site-de-l-entreprise-ovh-serait-d-origine-accidentelle_6072753_3224.html
Beaucoup d’entreprises, même si elles n’ont pas été directement touchées par cette catastrophe, s’inquiètent de la sécurité de leurs données email.

Interview d’Olivier Ligny, gérant de la startup française qui commercialise la solution PowerMail d’hébergement de messagerie email pour les TPE et PME.

Où sont hébergées les données de PowerMail ?
Chaque cluster de messagerie comporte deux machines, en général une hébergée chez OVH et une chez Scaleway, toutes en France.

Y a t’il eu des serveurs de PowerMail impactés ?
Oui, nous avons eu une machine détruite.

Comment cela a t’il affecté les utilisateurs ?
Il n’y a eu aucun impact côté utilisateur : l’application serveur PowerMail est conçue pour fonctionner à cheval sur deux serveurs, et si l’un « tombe », l’autre assure 100% du travail au lieu de 50%. Les données sont en miroir, chaque serveur possède l’intégralité des données, donc aucun risque de perte. Concrètement, les clients hébergés sur notre cluster impacté ont pu constater qu’il n’y a eu aucune interruption de service depuis mercredi alors que … leur cluster tournait sur un seul serveur 🙂 Nous venons de finir de remettre en route un nouveau serveur ce soir pour reconstituer un tandem.

Y a t’il un risque pour ma messagerie ?
Le risque zéro n’existe pas, mais objectivement, notre système est a priori un des plus fiables qui existe. En effet, seule une redondance multi-site (des serveurs situés physiquement dans des endroits très éloignés) permet d’être à l’abri des pannes géantes comme celle ci. Mais pour que cela fonctionne de manière transparente, cela nécessite aussi une application POP/IMAP/SMTP qui soit conçue dès le départ pour fonctionner à cheval sur deux serveurs, en temps réel, or à notre connaissance il n’en existe pas d’autre qui soit commercialisée dans le monde. La sécurisation des données chez nos concurrents se limite en général à une redondance des disques durs (le contrôleur gérant les disques n’étant pas à l’abri d’une panne !), ou à un système de fail-over qui stocke une sauvegarde ailleurs (mais dans ce cas les données récentes sont perdues et la remise en route n’est pas instantanée !).
Donc avec nous votre messagerie est en sûreté 🙂

www.powermail.fr

Catégorie: Infos sur l'industrie, Interviews Hébergeurs

Flux RSS
Commentaires fermés sur Nos boites mails sont elles vraiment en sécurité ?

Infomaniak offre une adresse email gratuite à vie (Ik.me) aux citoyens européens

Publié le 2 mars 2021 dans Hébergement web
 

Avec déjà plus d’un million d’adresses email en gestion, la messagerie Ik.me n’a pas fini de faire parler d’elle. Gratuite, sécurisée, sans publicité et avec 20 Go de stockage mail inclus, la solution d’Infomaniak est bien plus qu’une messagerie. Un espace de stockage de 3 Go est adossé à la messagerie pour partager, collaborer en ligne et synchroniser documents et photos sur ses différents appareils.

Son point fort : les données des utilisateurs ne sont pas utilisées ou revenues à des fins publicitaires. Cette solution développée et hébergée en Suisse a tout pour rivaliser avec les géants américains du web.

Une messagerie gratuite et sans publicité

Au démarrage, la configuration est gérée par un assistant intelligent qui accompagne l’utilisateur pas à pas dans la prise en main de sa nouvelle messagerie. Après la création de l’adresse @ik.me, la messagerie d’Infomaniak permet de synchroniser les agendas, les contacts et les rendez-vous sur mobile, avec l’application email choisie par l’utilisateur. Sur la version desktop (ou « bureau »), tout est accessible en ligne ou via un client (application) de messagerie (les plus connus étant : Outlook, Thunderbird, Mailbird…). En cas de besoin, l’utilisateur peut facilement entrer en contact avec un support.

Tout est fait pour faciliter la migration vers Ik.me et récupérer automatiquement les emails et les dossiers déjà créés sur une autre adresse email (Outlook, Gmail, Yahoo…). Le rapatriement s’effectue facilement. Il est également possible d’importer ses rendez-vous et contacts déjà existants.

Quel est le modèle derrière la messagerie d’Infomaniak, qui fonctionne sans publicité ? Marc Oehler, directeur des opérations d’Infomaniak, en explique le fonctionnement : « Aucune donnée personnelle n’est analysée et revendue à des tiers. » Cette messagerie fait partie des services gratuits d’Infomaniak. Son financement est assuré par les produits payants de la société suisse.

Un Drive sécurisé made in Suisse pour stocker photos et documents

En plus de la messagerie, l’offre d’Infomaniak comporte un Drive (kDrive) qui permet de stocker jusqu’à 3 Go de données pour ranger des photos et collaborer en ligne sur des documents Word, PowerPoint, Excel.

Les utilisateurs qui disposent déjà d’un cloud (Google Drive, Dropbox étant les plus connus) pourront migrer leurs donnés sur kDrive. L’assistant se chargera de réaliser l’import automatique de leurs fichiers. Les données sont accessibles à tout moment et depuis n’importe où via l’application mobile kDrive, également gratuite.

Côté sécurité, les fichiers sont répliquées en Suisse sur trois supports. Ces fichiers sont automatiquement chiffrés. L’objectif étant de garantir l’intégrité et la sécurité des données confiées. Si l’espace de stockage ne s’avère pas suffisant, il peut être étendu à tout moment pour permettre la sauvegarde d’un nombre de fichiers plus important.

Le stockage en cloud permet de collaborer en temps réel avec plusieurs personnes, de créer et modifier en ligne des fichiers de la suite Office : Word, Excel, PowerPoint. Plusieurs utilisateurs peuvent travailler simultanément sur des documents grâce à des liens de partage.

Ik.me propose également un outil de visioconférence gratuit : kMeet.

Ik.me : la messagerie suisse qui respecte la vie privée et concurrence les GAFAM

Ik.me, comme tous les autres produits d’Infomaniak, est exclusivement hébergé et développé sur le territoire suisse. Les données des utilisateurs ne sont pas revendues à des fins publicitaires. Elles sont protégées par les lois suisses.

Ik.me se positionne comme une alternative souveraine et européenne, en passe de rivaliser avec les GAFAM (Google, Apple, Facebook, Amazon, Microsoft) qui récupèrent de tas de données personnelles sur les utilisateurs en vue de leur proposer de la publicité ciblée. Ik.me est une solution radicalement différente qui permet aux utilisateurs de reprendre le contrôle sur leurs données en faisant confiance à Infomaniak pour son indépendance et son expertise.

La messagerie est amenée à évoluer dans les prochains mois et les années à venir. Une nouvelle application (mobile et bureau) devrait voir le jour. De nouvelles fonctionnalités issues de l’intelligence artificielle permettront de classer les emails, les pièces jointes ou encore de flécher les destinataires. Autre perspective : le support devrait s’améliorer pour gagner en efficacité et renforcer la qualité des solutions, y compris celles qui sont gratuites.

Côté hébergement, Infomaniak se démarque également par son engagement écologique. L’électricité utilisée est exclusivement issue d’énergies renouvelables. La société compense ses émissions de CO² à hauteur de 200 %. Son datacenter, exclusivement refroidi à l’air d’air naturel, lui a d’ailleurs valu plusieurs récompenses.

Gratuité, respect des données personnelles, engagement écologique, présence d’un espace de stockage… Ik.me est une solution complète, performante et exigeante.

Catégorie: Hébergement web

Flux RSS
Commentaires fermés sur Infomaniak offre une adresse email gratuite à vie (Ik.me) aux citoyens européens

Changement à la tête d’Infomaniak

Publié le 13 décembre 2020 dans Infos sur l'industrie
 

De Boris Siegenthaler à Marc Oehler : tout savoir sur le changement à la tête d’Infomaniak

Le PDG d’Infomaniak, Boris Siegenthaler, devient directeur stratégique. Quant à Marc Oehler, qui est employé depuis 17 ans dans l’entreprise basée à Genève, il prend la tête de la société genevoise. Zoom sur les détails de ce changement important pour le célèbre hébergeur suisse.

Passer la main

Selon Marc Oehler, ce changement à la tête d’Infomaniak est dû simplement à une volonté de son patron de passer la main. « Boris a dirigé l’entreprise pendant 26 années« , confie-t-il. « Il a tout fait pour nous rendre autonomes et il souhaite juste passer à présent la main…« 

Concernant son propre parcours, le nouveau patron de l’hébergeur suisse reste humble. « Boris reste le fondateur et le directeur emblématique d’Infomaniak. Il impose le respect, tout en restant cool. Durant toutes ces années, j’ai pu observer tout le travail que Boris a effectué pour horizontaliser son entreprise. Pour ma part, cela fait 17 ans que je travaille chez Infomaniak. J’ai débuté au support informatique de l’entreprise pour devenir par la suite responsable d’équipe. Ces différentes expériences m’ont permis de trouver mon propre équilibre professionnel« .

Un nouveau patron « bon dans tous les domaines »

Devenir à son tour PDG, ne fait pas prendre la grosse tête à Marc Oehler. Celui-ci s’entend si bien avec ses collègues que certains d’entre eux lui donnent des surnoms. « Je connais parfaitement les qualités et les atouts de mes collègues chez Infomaniak« , confie-t-il. « Boris dit régulièrement que je suis loin d’être parfait mais bon dans tous les domaines. Je sais être à l’écoute des autres et je sais aussi que je n’ai pas raison sur tout, certains de mes collègues étant bien plus qualifiés que moi dans leur domaine. Nous devons juste rester soudés, maintenir le plaisir que nous avons à collaborer sur des projets communs« .

Préservation de la stratégie et de l’indépendance

Boris Siegenthaler ne quitte pas pour autant le navire ! Il devient Chief Strategy Officer (« stratège en chef ») et continuera donc à définir la stratégie de son entreprise… Pour les employés et la clientèle de l’hébergeur suisse, ce changement ne devrait donc pas être négatif, bien au contraire. Marc Oehler assure que la continuité sera de rigueur avec quelques innovations, notamment sur des éléments techniques et axés sur l’expérience des clients.

Le nouveau patron de l’hébergeur suisse se veut également rassurant par rapport au maintien de l’indépendance de l’entreprise. « Nous n’admettrons aucune concession concernant notre indépendance. Même si Boris Siegenthaler n’est plus le PDG de l’entreprise, il demeure son propriétaire majoritaire« , rappelle-t-il. « Tous les employés partagent ses valeurs. Prochainement, nous allons permettre aux clients et aux partenaires d’Infomaniak d’acquérir des actions de l’entreprise. Nous ne nous ferons pas racheter car nous souhaitons développer nos futurs projets et préserver les compétences de notre entreprise exclusivement en Suisse« .

En outre, Marc Oehler confirme que le fait de ne pas outsourcer les services d’Infomaniak à l’étranger et de tout réaliser sur place en Suisse offre deux avantages de taille : les contacts se font directement avec la clientèle et les différents départements de l’entreprise bénéficient d’une meilleure interaction entre eux. Ces atouts permettent d’ailleurs à l’hébergeur de progresser fortement en Suisse allemande depuis le début de l’année 2020.

De nombreux projets à venir…

Marc Oehler confirme également le développement de plusieurs projets importants au sein d’Infomaniak. Selon lui, les développeurs de l’entreprise mettent beaucoup de temps et d’efforts dans la conception de nouveaux services de vidéos à la demande. Le nouveau PDG révèle également qu’Infomaniak va faire évoluer l’infrastructure de ses hébergements, lesquels constituent son activité principale. À partir de l’année prochaine, l’hébergeur suisse lancera son propre cloud dynamique et ses développeurs tentent de mettre au point un service qui se rapproche de celui proposé par Slack.

Infomaniak engagera quinze nouveaux employés dans les semaines à venir et ce, jusqu’en février 2021. À ce rythme, l’entreprise devrait compter plus de 200 salariés dans un an.

Catégorie: Infos sur l'industrie

Flux RSS
Commentaires fermés sur Changement à la tête d’Infomaniak

Page suivante »