Le futur site de l'Hadopi protégé des attaques DoS…

La loi à peine votée, le ministère de la Culture vient de publier un appel d’offres pour la conception, la réalisation et l’hébergement du site internet de la Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet (Hadopi).
Dans le cahier des clauses techniques particulières, il est prévu parmi les critères d’achèvement, le fait qu’aucune anomalie bloquante ou qu’aucune faille de sécurité ne soit détectée. Le site devra avoir une disponibilité 24h/24 7j/7, du moins relatif : pour les applications dites « critiques », ce taux doit être systématiquement supérieur à 99,9% avec 2 indisponibilités au maximum par site et par an.

Si vous voulez mon avis, c’est pas gagné !Je ne sais pas quel hébergeur va pouvoir supporter les futures attaques à répétition ! A la suite, l’article de PCinpact.com, ou vous pourrez découvrir la future structure du site.

Le prix n’est pas indiqué, mais une chose est sûre : « le financement [du site] sera assuré sur le budget propre du ministère de la Culture et de la Communication ». Dans la balance des critères d’attribution, la « qualité et pertinence de la solution technique proposée, l’interopérabilité et la réversibilité de l’offre » pèsent pour 50% (coefficient de pondération), dont 20% pour la sécurité et qualité du code. Le prix, lui, ne compte « que » pour 20%.

« Le site d’Hadopi craint les attaques par déni de service (DoS) »

« Le soumissionnaire mettra en oeuvre des mécanismes de sécurité visant à assurer la résilience de l’infrastructure réseau et des serveurs hébergés, des services connexes à la plate-forme, dont le titulaire a la responsabilité et dont la disponibilité serait un pré requis à celle de la plate-forme (DNS, principalement). [Il] détaillera les solutions qu’il propose afin de lutter contre les attaques en déni de service (distribuées ou non, par épuisement de bande passante, de ressources système, etc.), notamment en termes de :

Le soumissionnaire décrira les solutions qu’il met en oeuvre pour éviter ou détecter, le cas échéant, les attaques et intrusions sur ses systèmes d’information. »

Sur le papier, il est dit que le système sera capable de traiter 10 requêtes en parallèle, « c’est-à-dire ne pas sérialiser les opérations, mais avoir au moins 10 files d’attente de traitement distinctes » et « d’absorber une charge moyenne d’au moins 2 requêtes par seconde en régime permanent », enfin d’être « capable d’absorber une charge supérieure moyennant l’ajout de nouvelles machines ».

« La sécurité par la discrétion et le silence« 

Évidemment, la sûreté est une chose. La discrétion en est une autre. Le marché insiste (c’est le seul passage souligné dans tout l’appel d’offres) : « en cas d’incident rendant indisponible, momentanément ou non, tout ou partie du service dû à l’Hadopi, le titulaire devra s’interdire toute communication vis-à-vis de l’extérieur et en particulier de la presse tant qu’un communiqué commun n’aura pas été rédigé. En l’absence d’un communiqué commun, l’Hadopi ou le MCC seront seuls habilités à communiquer sur cet incident ».

La presse sera donc tenue à l’écart. On se souvient de la bourde du ministère de la Culture qui nous avait assuré que son site de propagande Jaimelesartistes.fr était « super blindé », après une série d’attaques par déni de service. Quelques instants plus tard, le site coulait à nouveau…

La page d’accueil du site

Les contenus et l’interface seront disponibles en deux langues (français, anglais) dit l’appel d’offres. Voilà les différentes rubriques qu’on y retrouvera :

Spécialement, dans la rubrique 3, touchant à la réponse graduée, on y présentera le mécanisme de sanction graduée ainsi qu’un « kit pédagogique » développé ultérieurement, pour les plus jeunes notamment.

Dans la rubrique 4 sur la labellisation de l’offre légale, le processus de labellisation de l’offre légale sera décrit. Une sous-section intégrera « le portail des offres labellisées », en fait une liste des offres labellisées. « Une solution sera proposée pour que le public puisse effectuer une « recherche avancée ». Elle permet également « de télécharger le formulaire de demande de labellisation, ainsi qu’un guide d’accompagnement pour remplir et envoyer le formulaire. Le formulaire et le guide seront au format PDF ». Les conditions exactes de la labellisation des offres légales ne sont pas décrites.

Une rubrique 6 sur la sécurisation de son poste proposera « un accompagnement pédagogique à la sécurisation de son poste informatique ». Rien n’est précisé dedans.

Interopérabilité variable

Enfin, le site sera d’une interopérabilité à degré variable : « les informations du site devront être exploitables et affichables sans dégradation sur les principaux navigateurs du marché : IE 6 et plus, Netscape 7 et supérieur, FireFox 2.0 et plus et sur tout navigateur réputé supporter XHTML et les CSS2 ». Pour le reste, « un bon rendu » est simplement exigé sur Opera, Safari, Google Chrome et les téléphones mobiles ». Rien n’est dit sur le Pare-feu d’Open Office.

---