Peut etre vous ne l'avez pas remarque mais le forum de www.silicium.org a ete hacke hier matin.
Comme vous le savez peut etre pas, notre communaute Thomson a ete touchee aussi par des hackers il y a quelques temps. Serveur 87 en a ete la cible 2 fois a ma connaissance (tentative sur AOL, et destruction du site sur Multimania), et mon ancien site Thomson aussi (Tripod).
2 choses a debattre :
1- PHP est-il sur ? l'utilisation d'outils generiques tel que PHP Bulletin Board (moteur de forum utilise par Silicium) est-il une bonne solution ?
2- Est-il plus securise d'avoir un hebergement classique (Multimania, Wanadoo, AOL ... etc ...) ou son propre hebergement.
Des discussions que j'ai eu avec quelques uns d'entre vous a propos, voici mes reponses et commentaires.
<HR>
1- PHP semble etre vulnerable a des attaques d'apres Augustin. Mais quel produit internet ne l'est pas ? Meme Microsoft et ses millions de dollars de budget de programmation ne peut securise a 100% - qui peut l'etre alors ?
L'utilisation de scripts generiques et surtout populaires peut etre un reel probleme. PHP Bulletin Board (PHPBB pour les intimes) est tres populaire dans les differentes solutions de forums gratuits qui existent de nos jours. Ca le rend d'autant plus vulnerable qu'il est populaire car ces hackers vont chercher toutes les failles possibles. Un fois la faille trouvee, ils peuvent hacker en un clin d'oeil n'importe quel site utilisant ce type de forum. Utiliser un forum "fait-maison" (comme celui ci) presente moins de danger car moins populaire (pour ne pas dire unique
) donc, est moins expose dans ce sens, meme si il n'est pas probablement infaillible.
Jusqu'a maintenant, rien n'a ete tente dessus, fort heureusement. })
Des commentaires ?
<HR>
2- Est-il plus securise d'avoir son hebergement de site chez un fournisseur d'acces ou chez soi ?
Premierement, avec son propre hebergement impose beaucoup de contraintes. Il faut du materiel solide (tout depend bien evidement la charge d'activite imposee sur le serveur), une connection internet permanente et suffisament rapide, des competences techniques et surtout du temps. Ce serveur fonctionnant sous Linux avec un serveur Apache est surement vulnerable (evidement me dira Edouard [-( ). Ce serveur est cependant mis a jour toutes les semaines afin de reduire la probabilite de risque, mais comme dit precedement, le risque 0 n'existe pas. Comme tout le monde, ce serveur se fait attaquer plusieurs centaines de fois par des scripts automatiques, implantes dans les virus qui se trouvent parfois dans vos machines. Generalement, ces attaques ne concerne que les serveurs Microsoft de type IIS, donc n'ont aucun effet sur un serveur Linux tel que celui ci, si ce n'est de prendre quelques ressources et de remplir les logs
Jusqu'ici, aucune tentative avec succes n'a ete enregistre depuis que le serveur est en route (presque 11 mois maintenant). Cependant, comme conseille par Edouard, ce serveur migrera vers une solution OpenBSD, concideree comme la plus sur du monde, et qui me prendra moins de temps a administrer. Pour prevoir une attaque ou une panne materielle, le site, la base de donnee et les centaines de logiciels et documents sont sauve tous les jours a 4 heures du matin heure francaise (pour ne pas vous gener). Un CD-ROM est grave a partir de la sauvegarde toutes les semaines afin de garantir au maximum une securite des donnees. 
Lorsqu'on passe par un hebergeur tel que Multimania, AOL, Wanadoo, Free ... etc ... il faut savoir qu'ils sont la cible d'attaques permanentes, surtout AOL puisque tres mal vu dans la communaute pirate internationale. Cependant, cet etat de fait entraine que ces hebergeur depensent des sommes conciderables afin de se proteger. Des equipes (autant d'anciens hackeurs reconverti que d'administrateurs reseau performants) tournent 24/24 afin d'eviter les problemes.
Ca n'a pas empecher Hotmail de se faire hacker l'annee derniere, par un petit programme Javascript qui a agit comme un vers en envoyant les mails a tout le carnet d'adresse, et en extractant le mot de passe de chacun par la meme occasion. Hotmail desactive tout javascript dans ses emails depuis cette date. 0-)
A part ce genre de technique d'implenter un code dans un support dynamique qui accepte les entres (forum, mail ... etc ...), la faille chez de tels hebergeur tels que Multimania, AOL ... etc ... est souvent humaine comme le faisait remarquer Edouard. La psychologie est une arme de hackeur afin de retrouver un mot de passe, tout simplement en appelant la hotline et en se montrant assez convainquant. 0:-)
Voila, vos commentaires sont les bienvenus 0-)