Le carnet du grincheux

Chroniques de misanthropie ordinaire

Coup de blues

12.02.26 | par Le Grincheux | Catégories: Mauvaise humeur, Mauvais esprit, Je hais l'informatique

J'ai encore passé la nuit sans électricité. Ce matin, alors que j'hésitais entre redémarrer les machines de la salle serveur ou le groupe électrogène, j'ai reçu un appel d'un ancien client que nous appellerons le Docteur P.

Le Docteur P. est un praticien qui possède un cabinet de 400 m² dans un immeuble bourgeois de l'une des plus grandes avenues de Paris. Il travaille seul et sait tout sur tout. En particulier, il connaît mieux l'informatique que moi. Après tout, c'est possible, qui suis-je pour juger ? Mais il connais tellement bien l'informatique qu'il utilise des logiciels Windows sur des machines estampillées à la pomme, dans des versions piratées de Windows XP tournant dans des machines virtuelles Parallel toutes aussi piratées. Il connaît tellement l'informatique qu'il a acheté un équipement de radiographie tournant sous Windows 95 avec une carte propriétaire EISA pour lui parler et que j'ai bataillé pour réussir à faire fonctionner la chose sur une machine récente et décente. Bref, c'est le genre de client que l'on prend lorsqu'on n'a pas le choix. Autant dire que j'ai fini par me fâcher avec lui au sujet de factures impayées parce qu'il n'arrivait pas à comprendre que passer derrière lui pour tout remettre d'équerre prenait un temps fou et que je ne travaille pas encore pour la gloire.

Lorsque j'ai arrêté d'aller chez lui, son installation informatique tenait à peu près la route. Il y avait un gros serveur de fichiers (sous Unix) qui parlait à ses machines MacOS X, à ses machines virtuelles Windows et à ses autres équipements. Ce serveur de fichiers était derrière un firewall et connecté à une fibre, ce qui lui permettait d'accéder à ses fichiers depuis chez lui au travers d'un VPN.

En suivant les activités du sieur en question, je me suis aperçu parce qu'il s'est plaint sur LinkedIn que son système a été piraté et que ses données ont été entièrement chiffrées. Là, j'ai eu beau réfléchir en me grattant le cortex à deux mains, je ne vois pas comment c'était physiquement possible. Les logiciels métiers tournent dans des machines virtuelles qui n'ont pas accès à internet. Elles ont seulement accès aux serveurs du GIE Sesam-Vitale pour les feuilles de soin électroniques. J'avais limité cet usage parce que ses Windows XP étant des versions tombées du camion, il m'était impossible d'en mettre certaines à jour qui n'arrivaient pas à passer XP SP2. Quant à ses logiciels métier, ils demandant des droits d'administrateur, ce qui est toujours agréable lorsqu'on recherche la sécurité d'un réseau informatique. Les accès Internet n'étaient possibles que depuis les système MacOS X. Or MacOS X n'avait pas accès aux disques partagés Windows. Pour des raisons de sécurité, il n'y avait qu'un répertoire partagé exporté à la fois pour Windows et MacOS X. Et encore, il était en lecture seule côté MacOS X pour éviter les problèmes. Un ransomware, même sous MacOS X, ne pouvait donc pas chiffrer un disque réseau Unix contenant des données sensibles. De toute façon, le serveur en question faisait tourner un Bacula archivant les données sur trois mois glissants. Il était donc toujours possible, même si le réseau se faisait entièrement pirater, de récupérer les archives de la veille de l'attaque puisque personne en dehors du serveur Unix n'avait accès à ces archives qui n'étaient pas partagées. En d'autres termes, il aurait fallu faire tourner un ransomware directement sur le serveur, ce qui n'était pas possible. Au pire, un utilisateur aurait-il pu arriver à chiffrer ses propres données, pas celles des autres utilisateurs, et en aucun cas les archives.

J'ai donc été assez surpris de savoir que son système informatique était tombé. Mais comme il ne m'avait pas appelé, j'ai souri et je suis passé à autre chose. J'ai compris ce matin ce qu'il en était, pourquoi il ne m'avait pas appelé et comment il s'était fait méchamment poutrer.

Donc ce matin, j'en étais à redémarrer mes serveurs et les bases de données lorsque le téléphone sonna. Pas la ligne fixe, l'IPBX n'était pas encore en état de recevoir une communication, mais le cellulaire. C'était le Docteur P. dans l'un de ses bons jours.

Il m'explique qu'il s'est fait une fois de plus pirater, que c'était anormal et qu'il ne pouvait plus travailler. Il m'explique aussi que son prestataire actuel l'avait envoyer bouler et qu'il ne savait pas comment faire. J'ai pensé in petto que tout le monde n'avait pas ma patience et je lui demande ce qu'il s'est passé. Souvenez-vous, nous partons d'un serveur de type Unix avec deux réseaux séparés et des applications métier qui ne peuvent pas aller sur Internet.

Là, il m'explique que ce que j'avais fait était trop compliqué et qu'il avait pris un jeune pour tout refaire. Dans un premier temps, le serveur Unix a été remplacé par un serveur Windows. Comme aller sur Internet à partir de MacOS X était compliqué (oui, il fallait réduire la fenêtre Parallel), il nous a installé un navigateur Internet sous Windows XP. Rappellez-vous, un XP d'origine douteuse. Le cabinet a subi plusieurs ransomwares. Mais se pose alors la question de savoir pourquoi vouloir garder MacOS X, si c'est pour tout faire tourner sous Windows. La réponse était simplement surréaliste : mais en raison du design des appareils.

Mon grand, lorsqu'on va chez un dentiste, ce n'est pas pour admirer le design tout à fait discutable d'une machine à la pomme. En environnement professionnel, on veut des choses qui fonctionnent et, si cela signifie malheureusement utiliser Windows, on utilise directement un ordinateur de type PC compatible quitte à le cacher.

Je lui demande alors ce qu'il est advenu de l'archivage réglementaire que je lui avais installé. Le petit jeune ne connaissait pas et il n'a jamais installé d'archivage sur le serveur Windows. Là, j'apprends que les sauvegardes (et plus les archives) étaient faites sur des supports optiques avec un script. Le problème est que le support était écrasé tous les jours. Si le ransomware passait un jour où le cabinet était fermé, toutes les données étaient perdues. Le petit jeune ne faisait donc pas la différence entre une sauvegarde et un archivage.

Bon, lui dis-je, c'est du passé. Et aujourd'hui, quel est votre problème ?

J'apprends que l'une des alimentations de son serveur avait lâché il y a quelques mois et que plutôt que de changer l'alimentation en question, la machine tournant temporairement sur la seconde alimentation, ils avaient eu l'idée géniale de louer une machine virtuelle dans le cloud. Tant qu'à faire, chez un prestataire cassant les prix. Une machine à 5 € HT par mois pour remplacer un serveur physique qui avait coûté plus de 3000 € HT sans la solution d'archivage.

Sauf que sa machine était une machine virtuelle et mutualisée. En terme de sécurité, on repassera parce qu'empiler des couches rend le nombre de bugs permettant des accès à des données exponentiels (bugs dans les systèmes d'exploitation, host comme guest, bugs dans le matériel…).

Reprenons. Nous avons donc un praticien qui utilise une machine hébergée on ne sait où pour partager en local ses données médicales d'un poste à l'autre. Pour la petite histoire, la sécurité sociale m'a envoyé il y a quelques années un courrier recommandé parce qu'en tant que professionnel, je n'avais plus le droit de fournir des prestations à des cabinets médicaux n'étant pas certifié, courrier que j'ai naturellement ignoré vues toutes les conneries de sécurité que l'on trouve dans les feuilles de soin électroniques. En particulier, je n'avais pas le droit d'héberger des données de santé.

J'apprends que cette fois-ci au moins, ce n'était pas un ransomware et que les données étaient encore là. Seul problème, toutes les données avaient fuité.

Eh oui, mon grand, on ne traite pas la sécurité avec des machines virtuelles. On ne délègue pas non plus sa sécurité à des acteurs du cloud. Sa sécurité, on la fait en interne ou on ne la fait pas. Je n'ai pas la prétention d'être le meilleur en terme de sécurité informatique, mais je suis loin d'être le pire. Lorsque je suis parti de chez toi, ton réseau fonctionnait parfaitement malgré tous les bâtons que tu as réussi à me mettre dans les roues. Aujourd'hui, la sécurité sociale se plaint et te menace ? La CNIL aussi ? Tu ne peux plus travailler ? Ce n'est pas mon problème.

À la limite, je veux bien te faire un devis, mais pour remettre tout ton réseau d'équerre, vu qu'il ne reste plus rien, c'est au bas mot un ticket à 30 k€ HT et je sais que tu ne l'accepteras jamais.