Ce que le pirate m’a volé
(mynoise.net)- L’exploitant de myNoise explique avoir subi des centaines de milliers de tentatives d’injection de code ainsi qu’une attaque de téléchargement massif de fichiers audio ; le serveur a tenu, mais il y a perdu du temps, de l’énergie et sa sérénité
- Après avoir échoué à pénétrer le système en raison de l’architecture maison de myNoise, l’attaquant a changé de méthode pour retélécharger en boucle tous les fichiers audio, gaspillant ainsi la bande passante
- Pour myNoise, qui plante chaque année des arbres afin de compenser la consommation d’énergie des visiteurs, un flood volontaire du serveur ne ressemble pas à un simple trafic, mais à du gaspillage et du sabotage
- L’exploitant a dû consacrer à l’analyse du problème et aux mesures défensives le temps qu’il aurait voulu passer à créer de nouveaux sons et ambiances ; le renforcement de la sécurité qui a suivi inclut des honeypots et une stratégie de réponse lente
- Après l’incident, des centaines d’utilisateurs ont réagi par des messages de soutien, des conseils techniques, des dons ou de nouveaux dons, et l’exploitant affirme qu’il continuera à proposer myNoise comme un petit refuge de paix pour celles et ceux qui en ont besoin
Ce que l’attaque a réellement fait
- myNoise est géré comme une tentative de créer un lieu positif au milieu du chaos d’Internet
- Il y a quelques jours, un visiteur ou un acteur hostile a envoyé des centaines de milliers de requêtes pour tenter une injection de code
- Cette tentative a échoué
- Le fait que myNoise ne soit pas un CMS classique, mais une structure écrite sur mesure depuis le début, a peut-être aidé
- Après avoir échoué à s’introduire, l’attaquant a changé de stratégie en téléchargeant en boucle tous les fichiers audio
- Cela est perçu comme une attaque destinée à gaspiller la bande passante du serveur
Pourquoi ce gaspillage de bande passante a été ressenti plus fortement
- L’exploitant de myNoise plante chaque année des arbres pour compenser la consommation d’énergie des visiteurs du site
- Il reconnaît que la méthodologie peut être discutée
- L’essentiel réside dans l’intention d’agir de manière responsable
- Un flood volontaire du serveur est ressenti non comme un simple problème technique, mais comme une forme de gaspillage et de dégradation
Ce qui a été volé avant même le serveur
- Le serveur n’est pas tombé, mais l’attaque a volé le temps et l’énergie de l’exploitant
- Le temps qui devait être consacré à créer de nouveaux sons et des ambiances calmes a servi à comprendre le problème
- Il a aussi fallu ajouter le travail consistant à stopper l’attaque et à préparer des protections pour l’avenir
- L’attaque a aussi ébranlé la sérénité qui lui restait
- Cela reste comme un exemple du temps perdu pour des défenses qui, dans un monde utopique, ne seraient pas nécessaires
Tristesse et sentiment d’impuissance
- Au cœur du texte, plus encore que l’attaque elle-même, se trouvent la tristesse et l’impuissance qu’elle a ravivées
- Il compare à la loi de l’entropie le déséquilibre selon lequel il faut moins d’énergie pour détruire quelque chose que pour le construire
- Il relie aussi cela à son expérience d’il y a deux ans, après des problèmes de santé, lorsque la maladie a rapidement pris possession de son corps alors que le rétablissement a demandé beaucoup de temps
- La maladie n’est généralement pas un acte intentionnel de quelqu’un
- Quand une autre personne choisit délibérément de faire du mal, le ressenti est tout autre
L’histoire du pigeon et les petites choses positives
- L’exploitant a pris soin pendant plusieurs semaines d’un jeune pigeon gravement blessé après être tombé du nid, en le nourrissant à la seringue
- Il vole maintenant librement dans le quartier, tout en continuant à revenir
- Il explique que ce genre de petits changements positifs le rend heureux
- En même temps, il dit avoir du mal à chasser l’idée que quelqu’un, détestant les oiseaux, pourrait un jour faire du mal à celui qu’ils ont sauvé
Renforcement de la sécurité après l’attaque
- Pendant les semaines qui ont suivi l’attaque, l’accent a été mis sur le renforcement de la sécurité du serveur myNoise
- L’attaque n’a pas réussi à compromettre le serveur
- En revanche, elle a révélé que la configuration existante pouvait autoriser des centaines de milliers de tentatives d’injection de code
- Plus le nombre de tentatives augmente, plus la probabilité qu’une réussite finisse par survenir est jugée élevée
- myNoise a récemment migré vers un VPS managé et ne dispose pas d’un accès root complet
- Il n’était donc pas possible d’utiliser des outils standard de détection d’intrusion ni des pare-feu avancés
- À la place, des mesures de sécurité sur mesure adaptées à myNoise ont été créées
- Le fait de ne pas les documenter publiquement est considéré comme une couche de protection supplémentaire
- La nouvelle stratégie inclut des honeypots
- Si un acteur malveillant interagit avec un piège, il est bloqué immédiatement
- Une stratégie consistant à fournir les données très lentement aux agents malveillants, afin de leur faire perdre du temps, a aussi été mise en œuvre
- L’objectif est qu’ils passent ensuite à d’autres sites web
- Dans des dossiers interdits, un labyrinthe de sous-pages et de liens sans fin a aussi été mis en place
- Sa structure grossit de façon exponentielle à mesure qu’on l’explore
- C’est à la fois un dispositif pour ralentir les intrus et un Easter egg pour les utilisateurs curieux
- Si l’on tombe dans le honeypot avant d’atteindre le labyrinthe, on peut être bloqué sur le site
La réaction de la communauté
- Après le précédent billet, des centaines d’utilisateurs ont pris contact
- Les messages expliquant que myNoise joue un rôle important dans leur quotidien se sont multipliés
- Des conseils techniques, des dons et de nouveaux dons ont également suivi
- L’attaque a suscité davantage de soutien qu’une sortie ordinaire de nouveau soundscape
- L’exploitant dit avoir ressenti plus fortement, à travers cet incident, le lien et le sentiment de communauté entre myNoise et ses utilisateurs
- Cela lui a rappelé la forte réaction lorsqu’il avait été hospitalisé il y a deux ans
- La communauté myNoise est décrite comme un environnement bienveillant, serviable et positif
- Il estime que les sons et la musique relient les gens entre eux
Continuer malgré tout
- L’exploitant dit qu’il continuera à planter des arbres, créer des sons, aider les jeunes pigeons et offrir myNoise comme un petit refuge de paix à celles et ceux qui en ont besoin
- Il propose de créer davantage ensemble et d’être plus nombreux que ceux qui ont choisi la destruction
- Il conclut que ce qui donne du sens à la vie, c’est créer, et non détruire
1 commentaires
Avis sur Hacker News
J’ai récemment dû vivre dans un immeuble très bruyant ; diffuser un bruit blanc correctement égalisé sur des enceintes m’a aidé à masquer le bruit et à préserver un minimum de santé mentale et de sommeil.
L’app myNoise n’est pas tape-à-l’œil, mais elle fait exactement ce qu’elle promet, sans superflu, et fonctionne bien sur plusieurs appareils.
Quand je l’ai achetée, je crois que je ne savais pas qui l’avait créée, mais grâce à cet article je vois désormais le visage de la personne derrière l’app.
Quand on est attaqué par quelqu’un, la confiance envers les autres s’effondre, ce qui devient un traumatisme plus profond ; cela peut ensuite conduire à devenir plus défensif et méfiant, ou au contraire à se montrer agressif envers les autres et à briser leur confiance.
Je ne cherche pas à défendre l’attaquant, mais pour briser ce cercle vicieux, il faudrait sans doute considérer cela comme un problème de santé mentale à long terme qui traverse les générations.
J’ai ensuite créé un raccourci iOS qui envoyait un e-mail standardisé au propriétaire chaque fois que je disais “Loud neighbors” à Siri ; étonnamment, 3 à 4 e-mails par semaine ont été efficaces.
À mon avis, il y a une différence entre calmer quelqu’un vite fait au bureau pour qu’il reparte et devoir répondre à un e-mail tous les deux jours.
Bien sûr, ce n’est pas une stratégie adaptée à toutes les situations, mais j’espère que les choses deviendront calmes et paisibles.
Du point de vue de quelqu’un qui fait du pentest/bug bounty, je comprends que le propriétaire trouve cela frustrant, mais ça se lit comme du bruit Internet ordinaire.
Au pire, on dirait juste que quelqu’un a lancé Burp Suite et appuyé sur Exécuter contre le site web.
Beaucoup d’outils commerciaux lancent ce type d’attaques en masse par défaut, et certaines entreprises SaaS en font même un produit.
Tout Internet est scanné en permanence, et il existe beaucoup de scanners qui lancent automatiquement des batteries d’attaques sur les sites web découverts.
Je ne dis pas que c’est bien, mais c’est la réalité dans laquelle nous vivons, et je ne pense pas qu’il faille le prendre personnellement.
En plus, un requin n’a pas été créé par un hacker à l’éthique douteuse.
Je ne vois pas pourquoi il faudrait minimiser la souffrance légitime de cette personne, et le faire me paraît assez impoli.
Les hackers ont pratiquement tué https://glslsandbox.com.
Quelqu’un l’a submergé de spam et, faute de temps pour gérer le problème, le site est fermé depuis environ un an et demi.
Il existe bien des sites qui font des choses similaires, comme Shadertoy, mais c’est vraiment triste de voir le projet de quelqu’un détruit de cette manière.
Comme le déni de service est un problème pour les services gratuits, sur mes propres projets j’essaie surtout d’éviter de le gérer directement en me cachant derrière Cloudflare.
L’attitude de hacker du type « si je peux casser ton truc, c’est ta faute, tu n’avais qu’à mieux le construire » m’agace toujours.
On peut aussi casser des fenêtres, des portes ou des corps, mais le simple fait que ce soit possible ne rend pas la victime responsable.
Cela dit, je sais aussi qu’on ne peut pas faire disparaître ce genre de personnes.
On peut rendre les systèmes d’information impossibles à percer, alors que ce n’est pas possible pour les systèmes physiques.
Les systèmes physiques sont intrinsèquement plus sûrs grâce à la localité, et la sécurité par l’obscurité peut aussi leur apporter un certain bénéfice.
Si vous connectez un système d’information faible à un réseau global avec lequel n’importe qui peut interagir, et que quelqu’un trouve un moyen de le casser, il vaut la peine d’examiner les faiblesses systémiques plutôt que de s’énerver contre un attaquant précis.
Je suis un grand gabarit : 1,90 m, 118 kg, plusieurs Ironman, du sport, de l’escalade, de la musculation, de la chasse et même quelques années d’un peu d’entraînement au combat.
Je pense que je pourrais tuer la plupart des gens autour de moi à mains nues, mais je ne le fais pas.
Comme tu l’as dit, la vie ne fonctionne pas comme ça.
Pourtant, les gens appliquent imprudemment cette logique aux voitures, aux téléphones, ou à des projets personnels comme celui mentionné plus haut.
Je me demande ce qu’ils ressentiraient si je les passais à tabac puis que je riais en disant : « ta mère aurait dû coucher avec quelqu’un de plus costaud ».
Bref, je suis d’accord pour dire que c’est vraiment triste.
Mieux vaut ne pas le prendre personnellement.
Ils ne savent pas qui vous êtes et s’en fichent.
Sur les serveurs, un limiteur de débit sous une forme ou une autre devient presque indispensable.
Le scan et la reconnaissance dépassent les limites de la politesse, mais Internet est rempli de nuisances.
Fail2ban peut être configuré facilement pour gérer de simples tentatives de connexion ou des scans de vulnérabilités.
S’il n’existe rien de similaire pour les serveurs web, cela ne devrait pas être difficile à créer ; je me demande si quelqu’un connaît un Fail2ban pour serveurs web ou un limiteur de débit.
J’aime ce site depuis que je l’ai découvert.
Dans un contexte où les bureaux deviennent de plus en plus denses, comme aujourd’hui, c’est encore plus utile, en tout cas dans ma région.
La récente refonte de l’app était aussi excellente.
Le simple fait d’avoir accès à l’immense bibliothèque qu’il a constituée vaut bien une petite contribution.
Surtout que la plupart des contenus ont été enregistrés par lui-même sur le terrain, puis mixés et découpés en bandes d’égaliseur.
Cela inclut la côte irlandaise, des canaux souterrains et les sons de plusieurs forêts.
L’affrontement inéquitable entre le bien et le mal est probablement un casse-tête qui dure depuis des milliers d’années.
Diverses solutions ont été proposées pour traiter les mauvaises personnes — les tuer, leur pardonner, les éduquer et les corriger — mais aucune ne semble vraiment fonctionner.
Une solution serait peut-être de toutes les rassembler, de les envoyer sur une autre planète et de les laisser y vivre comme elles l’entendent, sans pouvoir tourmenter les bonnes personnes.
Et quelqu’un dira peut-être que c’est déjà ce qui s’est passé, et que c’est pour cela que nous sommes ici.
Ils ont commencé par les désinfecteurs de téléphones, les coiffeurs et les chargés de publicité.
Comme les crawlers n’allouent généralement pas autant d’espace à chaque instance, cela pourrait être une bonne mesure préventive.
Malheureusement, il s’est probablement fait crawler par un bot LLM
Il est très possible que l’« attaquant » ne sache pas qui est cette personne
Ce pourrait simplement être une entreprise sans visage qui veut utiliser ses sons ou ses contenus de bruit blanc pour entraîner et alimenter des LLM
Je subis moi aussi des « attaques » similaires tous les jours, mais en y regardant de plus près, il s’agit souvent de bots qui crawlent les journaux de transparence des certificats
Quand on vérifie le certificat du site, il a été émis par l’AC Let’s Encrypt, et dans le meilleur des cas, on est au niveau d’un script kiddie à la recherche de proies faciles
J’espère qu’à l’avenir il ne prendra pas trop personnellement ce genre d’« attaques »
Dans l’ensemble, c’est quelqu’un de bien, peut-être même trop bien pour ce monde
Je suis membre à vie et j’utilise mynoise.net avec plaisir depuis des années
C’est ce que j’ai trouvé de mieux pour me concentrer et bloquer les distractions
J’utilise aussi brain.fm et YouTube Music, mais son site est meilleur, conçu avec plus d’intention, et plus efficace pour moi, donc j’y reviens toujours
L’app MyNoise a réellement amélioré ma vie
À la maison, j’utilise une machine à bruit blanc, mais en voyage MyNoise est mon compagnon de sommeil, et j’aime particulièrement pouvoir régler l’égaliseur pour masquer certains bruits précis susceptibles de me réveiller
C’est triste d’apprendre cette histoire de piratage pénible
Ce qui est particulièrement bien quand la connexion est instable, c’est qu’une fois qu’on a chargé son bruit préféré, il s’exécute localement dans le navigateur et continue à jouer sans interruption même si la connexion tombe
Je ne comprends pas pourquoi quelqu’un voudrait nuire à cette personne
Ce site est excellent
Il peut y avoir beaucoup de raisons, mais au fond, l’idée que les gens blessés blessent les autres est vraie
J’essaie aussi de m’en souvenir dans ma façon de réagir quand quelqu’un se montre moins aimable
Si je réagis mal, je lui donne une raison de justifier le fait de recommencer avec quelqu’un d’autre
J’ai appris qu’on pouvait se défendre sans devenir un fou furieux écumant de rage
Dans la plupart des cas, on peut poser des limites avec un pistolet à eau plutôt qu’avec une arme nucléaire
Tout est lié, et même si cette personne est peut-être naïve, elle essaie de créer de bonnes connexions
J’ai envie de l’applaudir
D’après mon expérience de gestion de sites, Internet est un désert mêlant crawlers IA, script kiddies qui veulent transformer chaque formulaire en vecteur d’amplification, et scanners de vulnérabilités
Paresseusement ou non, il a peut-être aussi coché les cases « répéter » et « pour toujours »
Elles le font simplement parce qu’elles le peuvent
Parfois pour attirer l’attention, parfois juste parce qu’elles veulent voir le monde brûler
Dans un cas comme dans l’autre, demander « qu’est-ce que la cible a bien pu faire pour mériter ça ? » n’a aucun sens
Il y a de fortes chances que l’attaquant ne se soit jamais posé cette question, et qu’il soit tout simplement un sociopathe manifeste
Plus Internet grandit, plus le nombre de ces personnes augmente
Autrefois, elles auraient été rejetées par la société, leur capacité à nuire aux autres aurait été fortement limitée sauf à employer des moyens plus extrêmes, et cela aurait généralement eu de graves conséquences
Mais Internet leur a donné un nouvel exutoire, leur a offert un moyen de gâcher les affaires de gens partout dans le monde qu’elles n’auraient jamais pu atteindre auparavant, et le risque de sanction est généralement presque nul