Cela fait neuf mois que je travaille à la réalisation de mon site, Disaster.
Son but ? Permettre aux utilisateurs de visualiser les aléas naturels en temps réel partout dans le monde.
Les technos utilisées sont Angular pour le front, Php pour le back et PostGreSQL pour la base de données.
Il y a 4 mois, j'ai lancé la publication du site en ligne. Etant novice en configuration de serveur, j'en ai oublié des choses élémentaires en termes de sécurité et.. ben je me suis fait hacké (attaque par déni de service). Suite à ça j'ai eu ma première remise en question.
Décidant de ne pas me laisser abattre, j'ai refait tout le front du site en Angular (avant c'était du javascript) puis je me suis fait une API propre pour la communication entre la base de données et le back.
Et là on en arrive au point d'aujourd'hui : après ces neuf mois de travail, je me suis dit que ce serait bien pour la sécurité des futurs utilisateurs de pouvoir me payer un audit de la sécurité du site. Pensant que ce serait bien de faire connaître le site par la même occasion et peut-être d'initialiser le lancement d'une appli mobile en parallèle, j'ai décidé de lancer un ulule.
Et là c'est le drame.
Depuis le lancement de cet ulule, à part des proches qui soutiennent le projet, c'est le néant. Je partage partout, des gens visitent la page mais personne ne donne rien, pas même 1 euro. Le pire c'est que depuis que j'ai annoncé le lancement de la campagne, ma page Facebook a perdu des abonnés...
Je vous avoue que je ne comprends pas pourquoi. En fait, j'aimerais beaucoup pouvoir avoir l'avis de ces gens mais je n'ai droit à aucune argumentation, je ne peux même pas défendre mon projet...
C'est pourquoi je fais appel à vous. Je vous mets le lien du Ulule pour que vous voyiez comment j'ai présenté mon projet : https://fr.ulule.com/disaster/
Comme je l'explique, le site n'est plus en ligne. Le problème est que je ne souhaite pas mettre en ligne un site vulnérable sur lequel des utilisateurs pourraient s'inscrire et se faire voler leurs données. C'est d'ailleurs hyper frustrant de pas pouvoir le mettre en ligne mais je reste "traumatisé" de l'attaque que j'ai subie il y a cinq mois..
C'est pourquoi je fais cette campagne pour pouvoir le blinder. La stratégie est peut-être mauvaise..
Après peut-être que vous pourriez me donner des conseils pour assurer une sécurité maximum ?
J'ai pas l’expérience pour te donner des conseils, cela dit, je ne vois pas comment les 4000€ que tu espères récolter vont contribuer à une meilleur sécurité ?
Tu parles d'attaque par déni de service, ce type d'attaque permet le vol de données ?
Je suis entrain de créer un site web de rencontre, quand je le mettrais en ligne, j’espère que je vais pas avoir le problème que tu as eu :/
Les 4000 euros c'est a la fois pour financer un audit, voire deux (mais là clairement je commence a comprendre que j'ai été trop gourmand en demandant cette somme). Mais c'est aussi pour sous-traiter le développement de l'appli mobile.
Non l'attaque par déni de service ne permet pas le vol de données mais il existe d'autres types d'attaques et de failles qui le permettent. En gros mon serveur avait servi de relais pour attaquer un autre serveur..
Renseigne toi sur la sécurité. Fait des recherches sur internet concernant le DDoS, ou encore le hacking en général. Une petite recherche google te présentera des milliers de posts sur la sécurité des serveurs. Penser à utiliser les dernières versions, et surtout avoir toujours une sauvegarde est tout de même une base. Après, l'attaque des SGBD reste assez complexe (ils ont aussi leur propre système de sécurité) et il existe quelques barrières très simples à mettre en place.
En plus, te renseigner t'aidera dans ton projet.
"En gros mon serveur avait servi de relais pour attaquer un autre serveur."
Là, c'est surement ton hébergeur qui merde... Les protections contre ce genre d'attaques sont très souvent mises en place par l'hébergeur.
Remotive toi sur ce projet ! On sent la perte de motivation concernant tes désirs et ce que tu espérais. Monte en compétences sur la sécurité et améliore ton serveur et ton site.
C'est vrai qu'en relisant mes précédents posts j'ai l'impression d'être totalement dépressif.
Je suis motivé à fond par mon projet, je suis monté en compétences tout seul sur PHP, Angular et Debian mais j'avoue que concernant la sécurité, tout me paraît tellement compliqué. En fait, c'est plutôt d'exploiter les failles qui paraît simple.
J'ai blindé mon serveur comme j'ai pu en suivant des règles de sécurité trouvées sur internet mais j'avoue que je reste pas mal traumatisé par cet épisode. Je l'ai un peu vécu comme un cambriolage même si aucune donnée n'a été volée.
En plus si tu me dis que c'est OVH qui a pu merder, ça me rassure pas...
En tout cas je vais me renseigner plus en détail sur les failles de securité, merci
Pour moi, afin de contribuer à un projet, je dois pouvoir être rassuré par la pérennité de la plateforme et la stabilité des équipes, actuellement cela ne donne pas vraiment confiance.
Mettons que je sois un investisseur, j'aurais envie de voir une première version que je puisse utiliser et demander 4000€ pour des audits (en partie) et une gestion des fonds très étrange pour un site qui n'est même pas encore en ligne.
Cependant, je t'avoue que le projet est très original et qu'il peut vraiment allé loin, tu as l'air passionné et ta présentation Ulule est convaincante !
Un dernier point : Les utilisateurs donneront rarement de l'argent, l'internet libre vie de sa gratuité et il est assez rare de pouvoir vivre de ses projets sur une première idée que l'on développe tout seul, si l'argent est un problème revoit ta roadmap pour te concentrer sur l'essentiel.
Ancien étudiant OpenClassroom, diplômé en développeur d'application Python
Je comprends tout à fait ce que tu veux dire. En effet, quand j'ai subi mon hack en Janvier, la première question que je me suis posé ça a été : est-ce que j'en parle à mes utilisateurs ou pas ? Je sais que dans le monde du web, apprendre à ses utilisateurs que le site s'est fait hacké nuit totalement à l'image de marque.
Le truc c'est que l'appli en est à ses balbutiements et je me suis dit que jouer la transparence sur une appli débutante permettait de gagner la confiance des utilisateurs (ça paraît assez contre-intuitif je suis d'accord). Ils savent tous que je me suis fait hacker. Personne ne l'a mal pris, j'ai même été soutenu, parce qu'il n'y avait pas de vol de données. Mais demain, quand les utilisateurs me confieront leurs données, comment les faire venir sans la crainte d'un nouveau hack ?
C'est là que j'ai pensé à l'audit, utiliser un acteur externe, expert dans le domaine pour obtenir une preuve de la confiance qu'ils peuvent mettre dans Disaster.
Soyons clair, je ne suis pas un expert en cyber-securité et je ne le serai probablement jamais, non seulement parce que j'ai très peu d'expérience dans le domaine et que ce n'est pas non plus un sujet qui me passionne (même si j'aime bien ça).
Il ne me reste donc que peu d'options :
- Monter en compétences en cyber-sécu mais avec un risque important de laisser passer des failles
- Salarier ou m'associer à une personne compétente en la matière
- Me faire auditer par un acteur externe
C'est la dernière solution que j'ai choisi.
J'avoue qu'aujourd'hui je me pose sincèrement la question du bien-fondé de cette campagne. Je crois en mon projet, je suis convaincu qu'il peut aller loin, ça me passionne, je rêve d'en vivre, mais voilà, j'ai peut-être fait ce crowdfunding un peu précipitamment
Maintenant il faut assumer, il me reste quarante jours de campagne, je me suis engagé, j'irai au bout, financé ou pas
Je te remercie pour ton commentaire, ça fait plaisir de lire des commentaires constructifs
J'ai déployé plusieurs projets et depuis 6 mois je suis en formation sur le parcours DA Python, cela ne me donne pas une légitimité sur tous les points, mais je commence à avoir assez d’expérience pour te répondre.
Premièrement, je n'appellerais pas ça du hack, il peut s'agir soit d'une erreur de paramétrages, soit d'un problème avec ton FAI, dans les deux cas pour réussir à faire tomber des sites aujourd'hui ça demande pas mal de ressources et je ne vois pas le gain d'attaquer ton site.
Deuxièmement il faut absolument que tu adoptes une méthodologie de dev basée sur des frameworks, c'est la seule manière de t'obliger à appliquer des conventions de sécurités elementaires et donc de proposer une app web solide et de confiance pour tes utilisateurs, ne code pas tout en partant d'une page blanche, utilise les outils d'aujourd'hui. Pour rester sur Python par exemple, tu peux créer un site avec Django ou Flask pour gérer le back-end et ensuite boostrap pour le front end... hop tu gagnes en stabilité et sécurité et pour moitié moins de temps !
Troisièmement, il faut que tu organises ton travail, où sont tes priorités ? Que dois-tu faire avant toute chose ? As-tu réfléchit à ta maquette ou est-ce que tu as une idée visuelle et concrète de ton projet ?
Pour finir, d’expérience les projets ne démarrent jamais aussi vite qu'on le veut, vois petit au début et étend toi ensuite, achète des petits serveurs et agrandit par la suite ... baby steps !
Ancien étudiant OpenClassroom, diplômé en développeur d'application Python
Encore merci pour ta réponse, j'apprécie vraiment ton retour d'expérience.
C'est marrant que tu m'en parles car j'étais justement en train de me questionner sur l'aspect framework. En fait, je fais tout en PHP "pur", je n'utilise aucun framework pour mon API. Alors c'est super pour comprendre tout ce que tu fais mais niveau rabâchage c'est une perte de temps monstrueuse... J'ai vu qu'il y avait des frameworks sympas pour le design d'API et quand je vois comment je galère à sécuriser mes endpoints je pense que je vais me tourner vers ApiPlatform et Symfony. Ca améliorera déjà la partie back.
Ensuite je viens tout juste de me pencher sur Docker. Alors ça n'a pas grand chose à voir avec la sécurité mais quand je vois les deploiements "artisanals" que j'ai du faire jusqu'à présent, je pense que ça peut m'aider. Ça m'intéresserai d'avoir ton REX sur ce sujet, est-ce que tu as déjà déployé des projets avec Docker ? Est-ce que ça t'as aidé ?
Concernant le projet en lui-même, je sais exactement où je veux aller, le truc c'est que j'ai tellement le nez dans le guidon que j'ai rien couché sur papier ou maquette. Tu penses que c'est un tort ? Tu as des outils à conseiller en matière de maquetting ?
Pour ce qui est du step by step, c'est exactement la raison qui m'a poussé à démarrer par les séismes, l'idée c'était de faire un MVP histoire de montrer où je voulais aller sur tous les autres aléas. Aujourd'hui je m'aperçois que même sur ce MVP je suis pas mature, surtout d'un point de vue techno, c'est déjà ma troisième refonte. Avec l'utilisation de framework pour mon API, je me dirige lentement vers une quatrième... Mais en même temps, je me pose la question, à quel moment est-on vraiment prêt ? Quand on y réfléchit tu auras forcément toujours de la refonte à faire ou des features à rajouter !
Edit : Et pour le "hack" tu as raison, j'avais d'ailleurs identifié la cause du problème, j'étais très novice en sécurité et j'avais laissé un port ouvert (boulet). J'étais pas ciblé mais j'étais une victime collatérale. Ça reste tout de même assez traumatisant
- Edité par Echelon35 20 mai 2020 à 13:55:48
Site de suivi des aléas naturels en temps réél
× Après avoir cliqué sur "Répondre" vous serez invité à vous connecter pour que votre message soit publié.
× Attention, ce sujet est très ancien. Le déterrer n'est pas forcément approprié. Nous te conseillons de créer un nouveau sujet pour poser ta question.
Site personnel : Julien Gidel - AutoMate - PHPresentation
Ancien étudiant OpenClassroom, diplômé en développeur d'application Python
Ancien étudiant OpenClassroom, diplômé en développeur d'application Python