Dernière réponse d`Aweber : "Sinon quoi?"

Commentaires

Transcription

Dernière réponse d`Aweber : "Sinon quoi?"
Fort Trafic en PDF, web: www.FortTrafic.com, email : [email protected] - Date 29-09-2016
Dernière réponse d'Aweber : "Sinon quoi?"
Les attaques DDOS reviennent à la mode en ce moment. La dernière victime importante est Aweber
l'autorépondeur le plus connu et le plus utilisé dans le monde. Mais également Mailchimp et
GetResponse (entre autres) parmi les autorépondeurs. Plus rien ne fonctionne(ait) : plus aucune
inscription, aucun formulaire javascript, plus aucun email n'était envoyé, plus d'accès à l'interface
d'administration pour les clients, etc..
Plus d'information sur les attaques DDOS ici...
Même les clients n'ont pas été prévenu car Aweber ne peut même pas leur envoyer un email, un
comble ! :-)
Moi je m'en suis aperçu rapidement car j'utilise ce prestataire pour mon site Les Fameuses Vidéos,
du coup plus rien ne marche(ait)..
Très peu de temps après le début de l'attaque je reçois un email de SG-Autorépondeur qui conseille
aux affiliés de faire un article pour parler de ça. Je peux dire que chez SG-Autorépondeur il n'y a
pas pour l'instant ce problème et je suggère d'utiliser leur service puisqu'il est beaucoup plus
adapté aux entrepreneurs qui communiquent uniquement en français avec leur abonnés..
Ce qui est vrai, c'est que d'autres autorépondeurs connus ont été touchés comme Mailchimp et
Getresponse, mais sg-autorepondeur ce n'est pas le cas et ca ne le sera pas avant longtemps car il
passe inaperçu auprès des hackers anglophones.. Le problème est vrai chez l'ensemble des
concurrents d'Aweber, en anglais, c'est la rançon de la gloire..
Si tu veux suivre l'actualité d'Aweber, ils utilisent un service externe pour pouvoir communiquer
quand ils ont des problèmes, mais il faut être inscrit à l'avance pour recevoir les mises à jour :
https://aweber.statuspage.io
Oui, mais le jour où ça leur arrivera à SG ça sera pareil, pour l'instant ils passent encore sous le
Fort Trafic en PDF, web: www.FortTrafic.com, email : [email protected] - Page 1/4
Fort Trafic en PDF, web: www.FortTrafic.com, email : [email protected] - Date 29-09-2016
radar des pirates, pas assez de sous à prendre.. :-)
Fameuses dernières paroles : "Sinon Quoi?"
Normalement dans les coulisses ce qui se passe c'est un chantage (blackmail) c'est à dire que des
pirates demandent de l'argent, sinon...
Et là les clients d'Aweber vivent la conséquence de la réponse "ou sinon quoi?" des dirigeants
d'Aweber.. En fait en bons américains ça serait plutôt "Or else what? What the fuck are you
gonna do about it?" :-)
A la prochaine demande, ils paieront sans doute.
Quel est le problème pour les clients d'Aweber ?
Sans parler du fait déjà important que plus aucun email n'est envoyé et qu'aucun nouvel abonné ne
peut s'inscrire sur nos listes, il y a un autre problème :
Si on utilise un formulaire Aweber sur notre site dans sa version Javascript (la plus pratique) alors
l'affichage du site tout entier est impacté, car le navigateur doit attendre que le serveur d'Aweber
réponde avec le code du formulaire avant de pouvoir afficher le reste du site.. Seulement en cas
d'attaque DDOS importante, le serveur d'Aweber ne répondra probablement jamais, donc
l'affichage du site reste "coincé" pendant de longues secondes avant de conclure qu'il y a un
problème et de passer à la suite..
Des solutions ?
Pour résoudre ce soucis, il est possible bien sûr de retirer le code javascript du formulaire Aweber,
mais il a été également recommandé sur la page Facebook d'Aweber de rajouter le mot DEFER
dans le code javascript.. Comme ça :
<script defer type="...
Ca indique au navigateur de continuer à afficher la page sans attendre le code javascript du
formulaire, une fois que la page est affichée, le formulaire sera rajouté au bon endroit si le serveur
Aweber a répondu..
Est-ce que ce conseil est bon lorsqu'Aweber fonctionne normalement, c'est une information à
vérifier car il est bien indiqué que defer est incompatible avec la commande document.write() qui
est utilisée couramment pour ce genre de scripts.. A voir donc..
En fait c'est tout vu, j'ai vérifié et ni defer, ni async ne fonctionnent avec le javascript d'Aweber car
ils utilisent document.write() pour afficher le formulaire, et ce n'est pas compatible avec defer ou
async.
Gros bref, le meilleur moyen est encore d'utiliser la version HTML, en plus c'est la seule façon de
vraiment personnaliser son formulaire..
Fort Trafic en PDF, web: www.FortTrafic.com, email : [email protected] - Page 2/4
Fort Trafic en PDF, web: www.FortTrafic.com, email : [email protected] - Date 29-09-2016
Mot d'excuse du boss.. Du vide et aucune explication, la
même chose peut se reproduire demain s'il n'a pas payé les
pirates..
Tom le boss a écrit une bafouille en anglais 48h après dont voici la traduction :
"A nos chers clients fidèles,
Au nom de toute l'équipe AWeber, je tiens à m'excuser profondément pour les interruptions de
service que vous avez vécu au cours des dernières 48 heures. Nous comprenons combien vous
comptez sur notre service pour aider à gérer et faire grandir votre entreprise et la frustration
que cela vous a probablement causé. Je tiens à expliquer ce qui s'est passé et ce que nous
faisons pour réduire la probabilité que cela se reproduise.
A partir de lundi, nous avons connu une attaque DDOS qui a rendu notre service indisponible.
Pour ceux qui ne connaissent pas le terme, une attaque DDoS, c'est quand un attaquant inonde
un site avec tant de trafic, qu'il est incapable de répondre aux demandes légitimes des
visiteurs. Alors que nous avions déjà des systèmes en place pour faire face à ce type
d'attaques, la nature et la gravité de cette attaque était sur ​une échelle massive. Il est
important de savoir qu'absolument aucune donnée de client a été compromise.
Dans les dernières 48 heures, nous avons consacré toutes les ressources disponibles et
travaillé nuit et jour pour obtenir le retour en ligne de notre réseau et mettre de nouvelles
mesures et renforcer les systèmes d'atténuation en place. Actuellement, 95% de nos clients ont
un accès complet à notre service. Nos clients restants peuvent avoir un service partiel ou
indisponible en attendant que les FAI mettent à jour leurs systèmes DNS. Pour être clair, notre
site est 100% de retour en ligne, mais certains clients peuvent avoir des difficultés à y accéder
au cours des prochaines heures .
Pour aller de l'avant, nous restons pleinement attachés à vous fournir le meilleur niveau de
service possible. Alors que les attaques de ce genre peuvent se produire à n'importe quel site,
personne ne veut jamais que dela leur arrive. Nous avons déjà appris de cet incident et nous
allons continuer à apprendre, de sorte que nous pouvons rendre notre service encore plus fort.
Nous vous remercions de votre soutien continu.
Tom Kulzer
PDG et fondateur
AWeber Communications, Inc."
Quelques explications supplémentaires de SGAutorépondeur sur les attaques DDoS :
"Dans le cadre d’une attaque DDOS ciblée, c’est difficile sauf peut être pour Facebook, de s’en
sortir. Une attaque d’une si grande ampleur peut coûter plusieurs milliers d’euros, il faut donc
avoir le budget pour payer des pirates informatiques et la volonté de nuire à un tiers avec des
moyens à grande échelle !
La solution de changer la ou les adresses IP, n’est pas très intéressante car de toute façon,
l’attaquant ayant une cible, il changera l’IP et cela recommencera.
Et si c’est une attaque ciblée sur le domaine, la propagation des DNS dilue l’attaque mais dès
que les DNS sont à nouveau stables, le site sera à nouveau victime.
Fort Trafic en PDF, web: www.FortTrafic.com, email : [email protected] - Page 3/4
Fort Trafic en PDF, web: www.FortTrafic.com, email : [email protected] - Date 29-09-2016
Détecter l’attaquant ? Ce sont des milliers d’ordinateurs avec un virus ! Et les attaques partent
toujours de pays exotiques, donc il ne faut même pas compter sur la justice.
La meilleure solution consiste donc à ne pas se faire d’ennemis, et donc avoir une
structure qui soit relativement à taille humaine."
Le problème étant que dans le cadre d'une extortion de fonds, d'un chantage au piratage, il ne
s'agit pas d'amis/ennemis mais de business (criminel, certes) et donc le seul moyen de s'en sortir
est de céder au chantage ou bien de pouvoir se défendre voir mettre hors d'état de nuire les
criminels.. Bonne chance avec ça.. Quand on voit que les Etats avec les énormes moyens qu'ils ont,
ne réussissent pas à vaincre la criminalité, que ce soit le trafic de drogue, les escroqueries, les vols,
et tous les crimes liés à la mafia ou non, etc.. Alors imagine-toi le problème à l'échelle d'une société
commerciale..
Alors ? Un conseil pour le futur ?
Pas vraiment, il y a bien l'histoire d'avoir deux prestataires, par exemple Aweber et SGAutorépondeur, mais je ne vois pas comment en pratique ça peut se justifier ni même se gérer.. Ou
alors avec des listes différentes..
Par contre si tu es 100% francophone, que tu n'envois jamais des emails en anglais, alors je ne vois
pas l'intérêt d'utiliser autre chose que SG-Autorépondeur, car en plus il est innovant et permet
d'envoyer en plus des emails, des SMS et même du courrier postal, des lettres.. Aweber ne fait rien
de tout ça et en plus il reste bêtement en anglais pour certaines choses (lien de désinscription, une
partie de l'email de confirmation, toute l'interface, etc..) malgré mes nombreuses demandes restées
non sans réponses mais sans satisfaction c'est certain!
Tu utilises quoi comme autorépondeur?
Fort Trafic en PDF, web: www.FortTrafic.com, email : [email protected] - Page 4/4