Bonjour à tous,
Pour ceux qui n'ont pas suivi l'affaire WikiLeaks, une situation assez dangereuse est en train de se développer sur Internet.
Petit récap :
WikiLeaks existe depuis 4 ans, et a pour mission de relayer anonymement des "fuites" de documents officiels. C'est eux qui ont éventé le traité ACTA, par exemple, ainsi que des documents relatant les coulisses des guerres en Afghanistan, Iraq et ailleurs.
Récemment, WikiLeaks a obtenu d'une source anonyme des messages diplomatiques échangés entre le secrétariat d'état américain et et ses ambassades. Et a commencé à les diffuser, avec le concours de cinq quotidiens nationaux reconnus, qui analysent et filtrent les informations pour garantir que leur diffusion ne mettra pas de vies humaines en danger.
Les gouvernements du monde entier ont très mal pris ce déballage de leurs petits secrets, et luttent activement, usant de touts les formes de pression à leur disposition, contre le site coupable de ce crime de lèse majesté.
Le domaine WikiLeaks.org a été paralysé par l'hébergeur du DNS. Le site, précédemment hébergé chez Amazon, a été shooté par l'hébergeur sous un prétexte fallacieux. Paypal a gelé le compte de donation à l'attention de WikiLeaks, le considérant comme lié a des activités criminelles.
Le site est désormais hébergé (au moins pour partie) chez OVH, qui n'a pas baissé son froc, et qui a lancé un recours au tribunal de Lille pour trancher sur la légalité du site en droit français.
Pendant ce temps, notre ministre de la reconduite à la frontière, Eric Besson, cherche tous les moyens possibles de faire interdire le site en France.
Face à ces tentatives de censure, l'Internet se rebiffe et use d'un moyen simple pour préserver notre liberté d'expression : faire des miroirs.
Le principe est simple : si vous avez un serveur HTTP, une petite demi heure à y passer et envie de contribuer à la préservation de vos libertés, VOUS pouvez devenir un miroir de WikiLeaks.
Le formulaire de déclaration de miroir se trouve là : http://46.59.1.2/mass-mirror.html
Le principe est le suivant : - créez un utilisateur sur votre serveur - Donnez lui le droit de se connecter en SSH avec la clef indiquée sur la page sus-citée - Faites pointer un vhost vers le home de cet utilisateur, acceptant les servername "*wikileaks*" - Sécurisez un peu le tout (pas besoin d'un shell, juste un rsync, chrootez le éventuellement, chmod 600 ou 640 en fonction du HTTPd, etc...)
Quelques précision techniques :
- Fonctionnement du miroring :
Les contributeurs de WikiLeaks ont mis au point un système automatisé pour propager les miroirs et les mises à jour. Un robot se connectera aux serveurs miroirs déclarés pour aller déposer les mises à jour, il n'y a pas de manipulation de contenu à faire.
- Les risques encourus
* Sur le plan légal
Il n'y a rien, en droit français, qui puisse faire interdire l'hébergement du site dans notre pays. Néanmoins, on peut supposer que la détermination de nos gouvernants pourrait aboutir à l'édiction d'un décret illégal. Dans ce cas, une ordonnance pourrait vous être adressé afin de faire fermer le miroir. Mais c'est peu probable et vous en seriez averti par l'adresse mail de contact laissé à WikiLeaks avant que la moindre procédure puisse t être déclenchée.
* Sur le plan technique
Des DDoS (Distributed Denial of Service), ou attaques par débordement, sont encore en cours contre Wikileaks. Vous pourriez voir arriver un grand nombre de requêtes sur votre miroir, qui risquerait de le faire planter sous la charge.
Plus il y a de miroirs, moins ça a de chance d'arriver. Mais si vous décidez de le faire malgré le risque, prenez garde à ce que la machine hébergeant le miroir puisse être indisponible sans mettre en danger d'autres services. On évitera, par exemple, de faire ça sur un serveur d'un employeur ;)
Le risque est faible, mais il existe.
- De la confiance en Wikileaks (un shell account, c'est pas rien quand même)
Là dessus, libre à vous. Les mise à jour du site peuvent être faites par FTP, si vous êtes plus en confiance dans ce protocole que dans un SSH identifié par clef publique. Dans ce cas, pensez bien à chrooter le FTPd dans le home de l'utilisateur, si ce n'est déjà fait, et à interdire l'exécution de code (CGI) dans la configuration du HTTPd.
Le FTP est moins efficace que le rsync over SSH, donc consommera plus de ressources pour les robots de mise à jour. Du coup, les mises à jour pourraient être moins fréquentes.
Voilà, si vous avez d'autres questions, n'hésitez pas !
Merci d'avance !