IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Gandi, un bureau français d'enregistrement de noms de domaines, publie un post mortem définitif de la défaillance d'une unité de stockage d'hébergement
Au début du mois qui s'achève

Le , par Patrick Ruiz
22 commentaires

69PARTAGES

16  0 
Gandi, un bureau français d’enregistrement de noms de domaine, perd les données de ses clients
Et leur demande de s’apprêter à user de leurs sauvegardes

Gandi signifie Gestion et Attribution de Noms de Domaine sur Internet. C’est une société française créée il y a 20 ans et qui œuvre principalement comme bureau d’enregistrement de noms de domaine et hébergeur web.

Le 8 janvier dernier, une ligne d’historique publié par cette dernière précise aux clients que « l'opération de récupération des données est toujours en cours. Nous ne pouvons pas encore faire de garanties sur les données. Soyez prêts à restaurer à partir de vos sauvegardes. » Gandi vient de perdre les données de ses clients… Plus dur encore pour ces derniers, l’entreprise ne peut se prononcer quant à savoir si elle est à même de les restituer. Dans une mise à jour qui survient plusieurs heures plus tard, Gandi ajoute qu’une copie des contenus retrouvés est en cours vers une autre unité de stockage avant toute action additionnelle. Toutefois, pas de précisions sur la question de savoir s’il s’agit de la totalité des données ou pas.


Une conclusion certaine se dégage : l’entreprise ne disposait pas de copies de sauvegarde des data de ses clients. Un mail à l’intention des clients le confirme : « Ce courriel vous parvient à la suite de celui du 8 janvier 2020. Pour rappel, hier, un incident est survenu sur une de nos unités de stockage au sein d’un de nos centres de données situé au Luxembourg. Malgré les systèmes de réplication mis en place et les efforts combinés de nos équipes toute la nuit, nous n’avons pu récupérer les données sur l’unité de stockage atteinte. Nous nous excusons sincèrement pour le désagrément que cette situation a causé. Ce type d’incident est d’une rareté extrême dans l’industrie de l’hébergement web. Dans le cas où vous disposeriez de copies de sauvegarde de vos données, nous suggérons que vous en fassiez usage pour la remise sur pied de votre serveur sur un datacenter différent. »

Donc pas de copies de sauvegardes des données des clients ; pire, l’entreprise ne disposait pas non plus des snapshots utiles pour mitiger les incidents de ce type.


Depuis, l’entreprise est reprise pour son slogan « no bullshit » qu’un de ses employés défend : « Je ne cherche pas à décharger Gandi de ses responsabilités, mais simplement à souligner que notre slogan n'exclut pas les failles et que nous sommes attachés à la plus grande transparence. »

Dans une publication parue il y a 4 ans, la Cloud Security Alliance attire l’attention sur les risques de sécurité majeurs du cloud computing :

  • l’existence de brèches de sécurité tant sur l’une des couches logiques du Datacenter que celles issues d’erreurs humaines ;
  • l’utilisation d’API non sécurisées pour l’intégration des applications avec les services cloud ;
  • l’exploitation de vulnérabilités des systèmes d’exploitation sur les serveurs du cloud et même sur les applications hébergées ;
  • le piratage de compte, qui est un vieux type d’attaque informatique, vient avec une forte recrudescence depuis l’avènement d’Internet et encore celui du cloud computing ;
  • une action malveillante initiée en interne dans les effectifs du fournisseur. Une personne malveillante dans l’équipe de gestion du Datacenter peut facilement nuire à la confidentialité et l’intégrité des environnements hébergés ;
  • les menaces persistantes avancées (en anglais, APT : Advanced Persistent Threats) qui consistent en une forme d’attaque où le hacker réussit à installer d’une façon ou d’une autre un dispositif dans le réseau interne de l’organisation, à partir duquel il peut extirper des données importantes ou confidentielles. C’est une forme d’attaque difficile à détecter pour un fournisseur de services cloud ;
  • la perte de données qui peut être causée par une attaque informatique (logique) du Datacenter, une attaque physique (incendie ou bombardement), une catastrophe naturelle, ou même simplement à un facteur humain chez le fournisseur de services, par exemple en cas de faillite de la société ;
  • les insuffisances dans les stratégies internes d’adoption ou de passage au cloud. Les entreprises ou les organisations ne prennent pas souvent en compte tous les facteurs de sécurité liés à leur fonctionnement avant de souscrire à un service cloud. Certaines négligences, tant au niveau du développement d’application qu’au niveau de l’utilisation basique, leur sont parfois fatales ;
  • utilisation frauduleuse des technologies cloud en vue de cacher l'identité et de perpétrer des attaques à grande échelle. Généralement, il s’agit de comptes créés pendant les périodes d’évaluation (la plupart des FAI proposent 30 jours d’essai gratuits) ou des accès achetés frauduleusement ;
  • le déni de service qui est une attaque qui consiste à rendre indisponible un service par une consommation abusive des ressources telles que les processeurs, la mémoire ou le réseau. L’idée, pour le pirate, c’est de réussir à surcharger les ressources du Datacenter en vue d’empêcher d’autres utilisateurs de profiter des services ;
  • Les failles liées à l’hétérogénéité des technologies imbriquées dans l’architecture interne du cloud, et l'architecture externe d'interfaçage avec les utilisateurs.

C’est des développements à prendre en compte lorsqu’on prend la décision de s’attacher un certain type de service...

Sources : historique, Twitter

Et vous ?

Qu’en pensez-vous ?
Qui du fournisseur de services en ligne ou du client a la responsabilité de la sauvegarde des données ?
Le cas Gandi est-il isolé ? Azure, AWS et GCP ont-ils un fonctionnement différent ?
Quelle est votre expérience avec Gandi ? Avec les services en ligne pour ce qui est du stockage des données ?

Voir aussi :

Les plateformes Cloud sont-elles matures ? Les services Cloud de Google, LinkedIn et Microsoft tombent en panne
Une nouvelle poursuite judiciaire enclenchée par Facebook rappelle Cambridge Analytica, suite à la mauvaise utilisation des données
Des entreprises de technologie suppriment les preuves de crimes de guerre mises en ligne, et les gouvernements veulent qu'elles en fassent davantage
Les violations de données signalées sont en hausse de plus de 56% au premier trimestre, d'après un rapport
Vous avez lu gratuitement 1 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

22 commentaires
Commenter Signaler un problème
Aiekick
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 30/01/2020 à 12:52
malgré ce petit bug, j'ai toute confiance en gandi. je suis chez eux depuis 15 ans et j'y reste
2  0 
gurkuru
Avatar de gurkuru
Nouveau membre du Club https://www.developpez.com
Le 07/02/2020 à 10:08
Ben, quoi, les clients doivent sauvegarder eux-mêmes leurs données, c'est écrit dans le contrat (pas en clair, pas vraiment indiqué, mais bon, faut lire quoi...).
Ce que ça dit, c'est juste, on (Gandi, l'entreprise), fait de l'hébergement de données, mais n'assure pas leur sauvegarde en plein, et peut au mieux restaurer l'index d'accès avec son système.
Donc on paie pour un hébergement, sans sauvegarde complète. Ca c'est du service, ça c'est de la sécurité .
Peu importe le mode de stockage des données, si il n'y a pas une copie dynamique des données durant leur modification, avec test d'intégrité durant l'écriture de la copie, réaliser une copie de l'index ne sert pas à grand chose. Le test d'intégrite servant à vérifier que les modifications n'altèrent pas l'original, ni ne corrompent les données liées. Mais comme ça demande de la puissance de calcul (ben oui, faut y mettre des moyens techniques à la hauteur), de l'espace de stockage (et oui, faut aussi penser à la croissance continue de la taille des données), bref de penser en amont au système, pas en aval (comme les plans d'urbanisme en France, ou ailleurs dans le monde).
Gandi propose des services surement suffisant pour la plupart, mais pour moi, il ne font que la moitié du travail (absence de sauvegarde), et pour le cout demandé, ça me semble un peu juste.
2  0 
sleurp
Avatar de sleurp
Candidat au Club https://www.developpez.com
Le 30/01/2020 à 10:24
Bonjour,

Il est toujours délicat en affaire publique.
Faut-il être transparent dans sa communication ou faut noyer le poisson ?

Nul n'est parfait, apporter des remarques à posteriori est tjrs le plus facile.

Ceci permets à chacun de revoir ses process de sauvegardes entre autres.

Bonne journée,
1  0 
singman
Avatar de singman
Membre averti https://www.developpez.com
Le 01/02/2020 à 13:00
ZFS est un système vraiment particulier, dont les concepts sont étrangers pour les clients entreprises, plus habitués à parler RAIDx que VDEVS. Les possibilités sont vraiment très intéressantes mais il faut revoir toute la stratégie de protection des données avant de l'adopter.
1  0 
ddoumeche
Avatar de ddoumeche
Membre extrêmement actif https://www.developpez.com
Le 30/01/2020 à 18:13
Citation Envoyé par ben51 Voir le message
Pourquoi MySQL serait pire sous Linux que sous un autre OS ?
Une fois sorti de son domaine de compétence qui se restreint à SQL Serveur, l'expert se relève bien limité. Il ne connait même pas la différence entre Mysql et Zfs.
0  0