Mavenhosting : Responsable mais pas coupable ?

Mavenhosting et les pirates

L’hébergeur canadien Mavenhosting dit avoir subi une attaque massive le 19 octobre 2013 et qu’une investigation criminelle est ouverte.

En effet, après discussion avec des personnes qui s’y connaissent infiniment plus moi, il est légitime d’avoir des doutes. Les arguments techniques qui m’ont été présentés tiennent la route. Piratage et investigation v. série d’énormes bourdes, à Mavenhosting de nous apporter les preuves.

Quoi qu’il en soit, le résultat est le même : un nombre conséquent de sites, blogs, et comptes mail ont disparu dans la nature. La communication de Mavenhosting est quasi-inexistante – mais à en lire le fil Twitter et les articles publiés — par exemple sur Numerama, Zdnet, ou encore Zataz — les dégâts sont extensifs.

 

Sauver les meubles

J’ai tout de suite remarqué qu’il y avait anguille sous roche, car je ne recevais plus de courriels. Dès le 20 octobre, j’ai contacté Mavenhosting pour savoir ce qui se passait; ce n’était pas la première fois que les serveurs de courriel étaient en panne. Contrairement à d’autres, à en lire les plaintes sur le Net, Maven (enfin Simon) n’a pas tardé à me répondre, annonçant le piratage, mais sans indiquer l’étendue des dégâts : le patient était aux urgences, pas en réanimation avec son pronostic vital engagé. Les sauvegardes seraient réinstallées, tout reviendrait à la normale.

Le 20 octobre à 13h (heure française), Simon écrivait :

Une réinstallation complète du système d’exploitation est en cours sur tous les serveurs impactés. Une fois cette étape terminée, nous devons restaurer les sauvegardes des sites.
Sur certains serveurs les sauvegardes ont été endommagées par le hacker, nous travaillons présentement avec une compagnie de restauration de données pour voir ce qu’il est possible de faire.

Ce problème ne touche heureusement pas tous les serveurs attaqués.

Si vous avez une sauvegarde locale de votre site que vous pouvez rétablir rapidement, cela peut être plus rapide que d’attendre la fin du processus qui est en cours.

Puisque Mavenhosting fait une sauvegarde complète tous les deux jours, j’étais confiante. Idiote !

Le 24 octobre, Simon écrivait :

Malheureusement pour le serveur où vous étiez il est très peu probable qu’on puisse récupérer les données.
Aviez-vous une sauvegarde personnelle de votre compte/site?

On peut essayer de retracer votre base de données avec son nom mais le data récupéré est très éparpillé et pratiquement impossible à identifier pour la plupart.

Si vous avez des fichiers importants avec des mots clés à l’intérieur du fichier que vous pouvez fournir, on peut tenter de retrouver quelques fichiers. Le nom du fichier ne suffit pas, il nous faut le contenu de celui-ci.

J’ai passé la nuit à lui renvoyer mes sauvegardes, qui malheureusement dataient de juin 2012, juste avant que mon webmaster disparaisse dans la nature, pourtant encore sous contrat. Mea culpa pour ne pas en avoir fait des plus récentes, j’étais bien préoccupée ailleurs.

Responsabilité de Mavenhosting

Le B.A. BA d’un hébergeur est d’avoir à tout moment 2 sauvegardes sur 2 supports distincts. Dans ce cas, effectuer une sauvegarde tous les 2 jours, comme le prévoit le contrat avec Mavenhosting, offre une sécurité nécessaire et suffisante.

Qui aurait pu imaginer que Mavenhosting effectuait ces sauvegardes sur les mêmes serveurs d’hébergement ? C’est insensé, et c’est là où, pour ma part, la responsabilité de Mavenhosting est engagée. Les pannes, les attaques, les cas de force majeure, cela arrive. Un hébergeur n’en est pas coupable, mais victime – et je compatis, s’ils ont en effet été victime d’une telle action capable de passer outre toutes les mesures de sécurité qui doivent être en place, à supposer qu’elles l’étaient…

Négliger de stocker les sauvegardes sur un autre serveur que celui de l’hébergement est une ineptie impardonnable.

Négliger de communiquer en temps et en heure avec ses clients et occulter la gravité de la situation est également impardonnable. Mettre en place des équipes supplémentaires, organiser une communication de crise et ainsi de suite aurait été le minimum syndical dans les circonstances.

J’ai quitté le navire

Longues nuits blanches ou autre, je ne me souviens plus comment j’ai découvert Eric Cardonnel. Les témoignages élogieux et chaleureux sur son site m’ont fait passer outre toute démarche habituelle de vérification prudente. Au point où j’en étais ! Dès vendredi matin, j’appelle et tombe sur une personne calme, sympathique, et à l’écoute qui me prend par la main et prend en charge le sauvetage.

En quelques heures, j’avais changé les DNS de www.francoamericanquill.com et www.francoamericanquill.fr et avais transféré les sauvegardes à Eric. Dès midi, ces sites étaient à nouveau en ligne et mon mail opérationnel. Heureusement, ces noms de domaine étaient dissociés de mon hébergement.

Restait à pouvoir faire de même avec www.lokahi-interactive.com et son sous-domaine, ce blog. C’est là où l’histoire se corse, ce NDD, qui m’appartient depuis 2001, était lié à mon hébergement chez Mavenhosting et GoDaddy, le registraire, aussi adorables soient leur équipes techniques, ne pouvait rien faire pour moi : il fallait que ce soit Mavenhosting qui transfert le control de cet NDD à mon compte chez Godaddy. Je ne pouvais même pas changer les DNS.

Et là, Mavenhosting ne répondait plus. Un mail. Deux mails. Si Mavenhosting venait à disparaître, je perdais mon NDD historique. Le fil Twitter évoquait de nombreuses situations identiques.

Recherches sur la base de données des entreprises du Québec. Identification des fusions, autres structures et noms commerciaux et surtout des actionnaires, dont l’actionnaire principal, le fameux “Jimmy”.

Mon 3° mail à Mavenhosting sortit l’artillerie lourde : une mise en demeure et ouverture de procédure judiciaire s’ils ne répondaient pas dans les délais précisés. Je n’aime pas cette méthode, mais n’avais pas le choix. Le retour fut quasi instantané, mon NDD fut libéré. Champagne !

Eric m’a remis la plupart des choses au carré, mais j’ai encore beaucoup à faire — remettre en ligne les billets manquants de ce blog (on se plaint de la mémoire éternelle du Net, mais sans le cache de Google, je l’aurais dans le baba…), déboguer certaines cafouilles qui sont apparues suite au transfert, travailler le référencement qui en a pris un sacré coup et ainsi de suite. Je m’occuperai de me faire rembourser mon hébergement chez Mavenhosting (qui court jusqu’en août 2014) et dédommager pour les coûts directs et induits après.

Take away

  • (Evidemment) Faites vos propres sauvegardes régulièrement (on est toujours mieux servi par soi-même).
  • Ne mettez pas tous vos oeufs dans le même panier, même si cela a l’air moins cher et plus simple : hébergement d’un côté, nom(s) de domaine de l’autre.
  • En choisissant un nouvel hébergeur, demandez des précisions détaillées sur leurs procédures de sauvegarde. Assurez-vous que celles-ci sont sur d’autres serveurs que ceux qui hébergent des sites et que les bases de données sont également sauvegardées sur un support tiers. Si l’entreprise ne peut ou ne veut vous fournir ces détails, fuyez.
  • Privilégiez un prestataire que vous pouvez joindre par téléphone. Le tout virtuel a ses limites.
  • Ceux pour qui la confidentialité des données est importante s’assureront de la localisation géographique des serveurs.

Mavenhosting : soyez transparents. Dites-nous, preuves à l’appui, exactement ce qui s’est passé, et dédommagez vos clients, qui ont perdu (et re-dépensé) bien plus que le prix de votre hébergement.

 

Related Post

 

Tags: , , , , , ,

Comments: 7

Leave a reply »

 
  • Je patientais afin de voir si je pouvais récupérer une sauvegarde plus complète que les miennes qui ne sont pas complètes. Vu que Maven ne répond pas, je suis parti ailleurs afin de redémarrer avec ce que j’ai pu sauver!
    Je bosse dans l’informatique et quand je lis que les backup ont été touchés, je suis également sceptique! Si c’est vrai, c’est vraiment des mauvais! Ou alors on ne nous dis pas tout..

     
     
     
  • Après 3-4 jours, Mat, logiquement, c’est peine perdue… Quand finalement Simon (envers qui je persiste à avoir des pensées sympathiques…) m’écrit ce que je cite ci-dessous, on a tout compris :

    “Je ne vais pas vous ennuyer avec les technicalités mais il y a plusieurs choses à considérer pour la conservation des backups. Il faut envisager les coûts d’opération et faire une balance entre les performances sur chaque serveur et la sécurité des backups.

    Nous offrons beaucoup d’espace disque et il n’était pas réaliste dans le passé d’avoir des backups externes sans impacter le coût du service ou les performances sur chaque serveur. ”

    Bon courage Mat. Pour moi, l’essentiel est réparé (merci Eric), j’ai quelques menues réparations à faire et fignolage auquel être attentive, mais globalement, I’m back in business, comme on dit :)

     
     
     
  • On a not-so-serious level, your blog post reminded me that I hadn’t backed up my blogs in nearly a year.
    It’s very easy to do:
    for WordPress go to Dashboard>Tools>Export
    for Blogger go to Dashboard > Template > Backup/Restore.
    I also subscribe to my own blogs in my RSS feed and by e-mail to make sure I have copies.

     
     
     
  • I’m glad this served to remind you! It is indeed an easy thing to do… none of us really have any excuse for failing to do so.
    Eric installed Better WordPress Security, which you can configure to backup your database and email it to you at whatever frequency you choose automatically. Just in case I get side-tracked again…

     
     
     
  • Surchargé de travail, ce n’est qu’aujourd’hui que j’ai un peu de temps pour remettre mon site sur pattes… Mavenhosting, je vous hais. J’ai du perdre environ 1000 euros dans l’affaire.

     
     
     
  • Bonjour Patricia,
    j’espère que vous me permettrez cette familiarité à la lecture de ce message, car grâce à vous et à votre mésaventure avec Mavenhosting, vous m’avez fait rencontrer Eric Cardonnel et sa société Global Net Concept.
    Grâce à vous, j’ai pu couper le cordon filaire entre Mavenhosting et mon compte d’hébergement. Oui ! A la lecture de ce qui vous est arrivé, j’ai compris que je n’étais pas le seul à avoir des problèmes d’écoute et de gestion de mon compte d’hébergement lorsqu’un sérieux problème survenait. Je n’ai pas souffert de la perte de données comme cela s’est produit pour vous, mais un piratage de mon site internet et un envoi massif de mail à partir du compte par défaut a suffi à m’ouvrir les yeux sur les méthodes quelque peu surprenantes du support Maven.
    Malgré la devise utilisée à tout va : “Notre devise est votre satisfaction à 100%”, je suis resté estomaqué par les méthodes employés par le support : désactivation du compte d’hébergement (impossible d’accéder au ftp pour nettoyer les fichiers…) sans prévenir le client, sauvegarde des fichiers publics puis suppression de tous les fichiers (page index of en ligne), désactivation des comptes mails, etc…
    Je vous remercie d’avoir pris le temps d’écrire sur votre blog les désagréments dont vous faisiez l’objet et qui m’ont permis en recherchant des réponses à ce qui m’arrivait avec Mavenhosting de rencontrer Eric Cardonnel qui a résolu en 4 heures de temps sur le net et 3 heures (un grand merci pour l’écoute) de communications téléphoniques ce que Maven n’a pas été de faire ou de proposer en 15 jours de galère pour notre centre médico-sportif.
    J’espère ne pas avoir été trop long.
    Encore merci pour le partage de votre ressenti à l’endroit de Mavenhosting et de Global Net Concept.
    Cordialement,
    Philippe Nappa
    Vice-président délégué CRBMS

     
     
     
    • Bonjour Philippe,

      Ravie que le partage d’expériences – mauvaise et bonne – ait pu vous aider et qu’Eric vous a sorti d’une mauvaise passe avec son efficacité et sa gentillesse légendaires. Je l’ai découvert également par un billet de blog, preuve à nouveau que le bouche à oreilles (version ancienne ou moderne) demeure la meilleure stratégie marketing!

      Bel été à vous!

       
  • Leave a Reply
     
    Your gravatar
    Your Name