Dernière réponse d`Aweber : "Sinon quoi?"
Transcription
Dernière réponse d`Aweber : "Sinon quoi?"
Fort Trafic en PDF, web: www.FortTrafic.com, email : [email protected] - Date 29-09-2016 Dernière réponse d'Aweber : "Sinon quoi?" Les attaques DDOS reviennent à la mode en ce moment. La dernière victime importante est Aweber l'autorépondeur le plus connu et le plus utilisé dans le monde. Mais également Mailchimp et GetResponse (entre autres) parmi les autorépondeurs. Plus rien ne fonctionne(ait) : plus aucune inscription, aucun formulaire javascript, plus aucun email n'était envoyé, plus d'accès à l'interface d'administration pour les clients, etc.. Plus d'information sur les attaques DDOS ici... Même les clients n'ont pas été prévenu car Aweber ne peut même pas leur envoyer un email, un comble ! :-) Moi je m'en suis aperçu rapidement car j'utilise ce prestataire pour mon site Les Fameuses Vidéos, du coup plus rien ne marche(ait).. Très peu de temps après le début de l'attaque je reçois un email de SG-Autorépondeur qui conseille aux affiliés de faire un article pour parler de ça. Je peux dire que chez SG-Autorépondeur il n'y a pas pour l'instant ce problème et je suggère d'utiliser leur service puisqu'il est beaucoup plus adapté aux entrepreneurs qui communiquent uniquement en français avec leur abonnés.. Ce qui est vrai, c'est que d'autres autorépondeurs connus ont été touchés comme Mailchimp et Getresponse, mais sg-autorepondeur ce n'est pas le cas et ca ne le sera pas avant longtemps car il passe inaperçu auprès des hackers anglophones.. Le problème est vrai chez l'ensemble des concurrents d'Aweber, en anglais, c'est la rançon de la gloire.. Si tu veux suivre l'actualité d'Aweber, ils utilisent un service externe pour pouvoir communiquer quand ils ont des problèmes, mais il faut être inscrit à l'avance pour recevoir les mises à jour : https://aweber.statuspage.io Oui, mais le jour où ça leur arrivera à SG ça sera pareil, pour l'instant ils passent encore sous le Fort Trafic en PDF, web: www.FortTrafic.com, email : [email protected] - Page 1/4 Fort Trafic en PDF, web: www.FortTrafic.com, email : [email protected] - Date 29-09-2016 radar des pirates, pas assez de sous à prendre.. :-) Fameuses dernières paroles : "Sinon Quoi?" Normalement dans les coulisses ce qui se passe c'est un chantage (blackmail) c'est à dire que des pirates demandent de l'argent, sinon... Et là les clients d'Aweber vivent la conséquence de la réponse "ou sinon quoi?" des dirigeants d'Aweber.. En fait en bons américains ça serait plutôt "Or else what? What the fuck are you gonna do about it?" :-) A la prochaine demande, ils paieront sans doute. Quel est le problème pour les clients d'Aweber ? Sans parler du fait déjà important que plus aucun email n'est envoyé et qu'aucun nouvel abonné ne peut s'inscrire sur nos listes, il y a un autre problème : Si on utilise un formulaire Aweber sur notre site dans sa version Javascript (la plus pratique) alors l'affichage du site tout entier est impacté, car le navigateur doit attendre que le serveur d'Aweber réponde avec le code du formulaire avant de pouvoir afficher le reste du site.. Seulement en cas d'attaque DDOS importante, le serveur d'Aweber ne répondra probablement jamais, donc l'affichage du site reste "coincé" pendant de longues secondes avant de conclure qu'il y a un problème et de passer à la suite.. Des solutions ? Pour résoudre ce soucis, il est possible bien sûr de retirer le code javascript du formulaire Aweber, mais il a été également recommandé sur la page Facebook d'Aweber de rajouter le mot DEFER dans le code javascript.. Comme ça : <script defer type="... Ca indique au navigateur de continuer à afficher la page sans attendre le code javascript du formulaire, une fois que la page est affichée, le formulaire sera rajouté au bon endroit si le serveur Aweber a répondu.. Est-ce que ce conseil est bon lorsqu'Aweber fonctionne normalement, c'est une information à vérifier car il est bien indiqué que defer est incompatible avec la commande document.write() qui est utilisée couramment pour ce genre de scripts.. A voir donc.. En fait c'est tout vu, j'ai vérifié et ni defer, ni async ne fonctionnent avec le javascript d'Aweber car ils utilisent document.write() pour afficher le formulaire, et ce n'est pas compatible avec defer ou async. Gros bref, le meilleur moyen est encore d'utiliser la version HTML, en plus c'est la seule façon de vraiment personnaliser son formulaire.. Fort Trafic en PDF, web: www.FortTrafic.com, email : [email protected] - Page 2/4 Fort Trafic en PDF, web: www.FortTrafic.com, email : [email protected] - Date 29-09-2016 Mot d'excuse du boss.. Du vide et aucune explication, la même chose peut se reproduire demain s'il n'a pas payé les pirates.. Tom le boss a écrit une bafouille en anglais 48h après dont voici la traduction : "A nos chers clients fidèles, Au nom de toute l'équipe AWeber, je tiens à m'excuser profondément pour les interruptions de service que vous avez vécu au cours des dernières 48 heures. Nous comprenons combien vous comptez sur notre service pour aider à gérer et faire grandir votre entreprise et la frustration que cela vous a probablement causé. Je tiens à expliquer ce qui s'est passé et ce que nous faisons pour réduire la probabilité que cela se reproduise. A partir de lundi, nous avons connu une attaque DDOS qui a rendu notre service indisponible. Pour ceux qui ne connaissent pas le terme, une attaque DDoS, c'est quand un attaquant inonde un site avec tant de trafic, qu'il est incapable de répondre aux demandes légitimes des visiteurs. Alors que nous avions déjà des systèmes en place pour faire face à ce type d'attaques, la nature et la gravité de cette attaque était sur une échelle massive. Il est important de savoir qu'absolument aucune donnée de client a été compromise. Dans les dernières 48 heures, nous avons consacré toutes les ressources disponibles et travaillé nuit et jour pour obtenir le retour en ligne de notre réseau et mettre de nouvelles mesures et renforcer les systèmes d'atténuation en place. Actuellement, 95% de nos clients ont un accès complet à notre service. Nos clients restants peuvent avoir un service partiel ou indisponible en attendant que les FAI mettent à jour leurs systèmes DNS. Pour être clair, notre site est 100% de retour en ligne, mais certains clients peuvent avoir des difficultés à y accéder au cours des prochaines heures . Pour aller de l'avant, nous restons pleinement attachés à vous fournir le meilleur niveau de service possible. Alors que les attaques de ce genre peuvent se produire à n'importe quel site, personne ne veut jamais que dela leur arrive. Nous avons déjà appris de cet incident et nous allons continuer à apprendre, de sorte que nous pouvons rendre notre service encore plus fort. Nous vous remercions de votre soutien continu. Tom Kulzer PDG et fondateur AWeber Communications, Inc." Quelques explications supplémentaires de SGAutorépondeur sur les attaques DDoS : "Dans le cadre d’une attaque DDOS ciblée, c’est difficile sauf peut être pour Facebook, de s’en sortir. Une attaque d’une si grande ampleur peut coûter plusieurs milliers d’euros, il faut donc avoir le budget pour payer des pirates informatiques et la volonté de nuire à un tiers avec des moyens à grande échelle ! La solution de changer la ou les adresses IP, n’est pas très intéressante car de toute façon, l’attaquant ayant une cible, il changera l’IP et cela recommencera. Et si c’est une attaque ciblée sur le domaine, la propagation des DNS dilue l’attaque mais dès que les DNS sont à nouveau stables, le site sera à nouveau victime. Fort Trafic en PDF, web: www.FortTrafic.com, email : [email protected] - Page 3/4 Fort Trafic en PDF, web: www.FortTrafic.com, email : [email protected] - Date 29-09-2016 Détecter l’attaquant ? Ce sont des milliers d’ordinateurs avec un virus ! Et les attaques partent toujours de pays exotiques, donc il ne faut même pas compter sur la justice. La meilleure solution consiste donc à ne pas se faire d’ennemis, et donc avoir une structure qui soit relativement à taille humaine." Le problème étant que dans le cadre d'une extortion de fonds, d'un chantage au piratage, il ne s'agit pas d'amis/ennemis mais de business (criminel, certes) et donc le seul moyen de s'en sortir est de céder au chantage ou bien de pouvoir se défendre voir mettre hors d'état de nuire les criminels.. Bonne chance avec ça.. Quand on voit que les Etats avec les énormes moyens qu'ils ont, ne réussissent pas à vaincre la criminalité, que ce soit le trafic de drogue, les escroqueries, les vols, et tous les crimes liés à la mafia ou non, etc.. Alors imagine-toi le problème à l'échelle d'une société commerciale.. Alors ? Un conseil pour le futur ? Pas vraiment, il y a bien l'histoire d'avoir deux prestataires, par exemple Aweber et SGAutorépondeur, mais je ne vois pas comment en pratique ça peut se justifier ni même se gérer.. Ou alors avec des listes différentes.. Par contre si tu es 100% francophone, que tu n'envois jamais des emails en anglais, alors je ne vois pas l'intérêt d'utiliser autre chose que SG-Autorépondeur, car en plus il est innovant et permet d'envoyer en plus des emails, des SMS et même du courrier postal, des lettres.. Aweber ne fait rien de tout ça et en plus il reste bêtement en anglais pour certaines choses (lien de désinscription, une partie de l'email de confirmation, toute l'interface, etc..) malgré mes nombreuses demandes restées non sans réponses mais sans satisfaction c'est certain! Tu utilises quoi comme autorépondeur? Fort Trafic en PDF, web: www.FortTrafic.com, email : [email protected] - Page 4/4