Le site de l'Hadopi protégé des attaques DoS... et de la presse
Blindé, vous avez dit blindé ?
Exclu. La loi à peine votée, le ministère de la Culture vient de publier un appel d’offres pour la conception, la réalisation et l’hébergement du site internet de la Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet (Hadopi).
Ce site aura pour vaste et ambitieux projet de présenter les deux volets de la loi en question : le référencement des sites d’offres légales et leur labellisation, d’une part. D’autre part, la riposte graduée, destinée à « prévenir le pillage des œuvres sur internet, dont l’ampleur dans notre pays sape les fondements mêmes de la diversité culturelle en tarissant les sources de rémunération et de financement des artistes et des industries culturelles ».
L’objet du marché est de définir, outre les conditions tenant à l’hébergement, « l'architecture technique nécessaire au bon fonctionnement du site ». Il s’agira encore d’en assurer « la maintenance corrective, curative et évolutive ». Sa durée est d’un an. Ensuite le marché sera transféré à l’Hadopi qui s’en occupera seule. Les candidats peuvent déposer leur dossier jusqu’au 26 novembre, date à partir de laquelle le site d’Hadopi pourra être lancé.
Le prix n’est pas indiqué, mais une chose est sûre : « le financement [du site] sera assuré sur le budget propre du ministère de la Culture et de la Communication ». Dans la balance des critères d’attribution, la « qualité et pertinence de la solution technique proposée, l’interopérabilité et la réversibilité de l'offre » pèsent pour 50% (coefficient de pondération), dont 20% pour la sécurité et qualité du code. Le prix, lui, ne compte « que » pour 20%.
Le site d’Hadopi craint les attaques par déni de service (DoS)
Dans le cahier des clauses techniques particulières, il est prévu parmi les critères d’achèvement, le fait qu’aucune anomalie bloquante ou qu’aucune faille de sécurité ne soit détectée. Le site devra avoir une disponibilité 24h/24 7j/7, du moins relatif : pour les applications dites « critiques », ce taux doit être systématiquement supérieur à 99,9% avec 2 indisponibilités au maximum par site et par an.
Le ministère recevra toutes les alertes majeures (tentative réussie d’intrusion ou arrêt du service). Mais ce n’est pas tout. Le soumissionnaire du marché devra prévoir l’armada lourde contre les attaques sur IP et spécialement les attaques en déni de service réseau.
« Le soumissionnaire mettra en oeuvre des mécanismes de sécurité visant à assurer la résilience de l'infrastructure réseau et des serveurs hébergés, des services connexes à la plate-forme, dont le titulaire a la responsabilité et dont la disponibilité serait un pré requis à celle de la plate-forme (DNS, principalement). [Il] détaillera les solutions qu'il propose afin de lutter contre les attaques en déni de service (distribuées ou non, par épuisement de bande passante, de ressources système, etc.), notamment en termes de :
Le soumissionnaire décrira les solutions qu'il met en oeuvre pour éviter ou détecter, le cas échéant, les attaques et intrusions sur ses systèmes d'information. »
Sur le papier, il est dit que le système sera capable de traiter 10 requêtes en parallèle, « c'est-à-dire ne pas sérialiser les opérations, mais avoir au moins 10 files d'attente de traitement distinctes » et « d’absorber une charge moyenne d'au moins 2 requêtes par seconde en régime permanent », enfin d’être « capable d'absorber une charge supérieure moyennant l'ajout de nouvelles machines ».
La sécurité par la discrétion et le silence
Évidemment, la sûreté est une chose. La discrétion en est une autre. Le marché insiste (c’est le seul passage souligné dans tout l'appel d'offres) : « en cas d'incident rendant indisponible, momentanément ou non, tout ou partie du service dû à l'Hadopi, le titulaire devra s'interdire toute communication vis-à-vis de l'extérieur et en particulier de la presse tant qu'un communiqué commun n'aura pas été rédigé. En l'absence d'un communiqué commun, l'Hadopi ou le MCC seront seuls habilités à communiquer sur cet incident ».
La presse sera donc tenue à l’écart. On se souvient de la bourde du ministère de la Culture qui nous avait assuré que son site de propagande Jaimelesartistes.fr était « super blindé », après une série d’attaques par déni de service. Quelques instants plus tard, le site coulait à nouveau...
La page d’accueil du site
Les contenus et l'interface seront disponibles en deux langues (français, anglais) dit l’appel d’offres. Voilà les différentes rubriques qu’on y retrouvera :
Spécialement, dans la rubrique 3, touchant à la réponse graduée, on y présentera le mécanisme de sanction graduée ainsi qu’un « kit pédagogique » développé ultérieurement, pour les plus jeunes notamment.
Dans la rubrique 4 sur la labellisation de l'offre légale, le processus de labellisation de l'offre légale sera décrit. Une sous-section intégrera « le portail des offres labellisées », en fait une liste des offres labellisées. « Une solution sera proposée pour que le public puisse effectuer une « recherche avancée ». Elle permet également « de télécharger le formulaire de demande de labellisation, ainsi qu'un guide d'accompagnement pour remplir et envoyer le formulaire. Le formulaire et le guide seront au format PDF ». Les conditions exactes de la labellisation des offres légales ne sont pas décrites.
Une rubrique 6 sur la sécurisation de son poste proposera « un accompagnement pédagogique à la sécurisation de son poste informatique ». Rien n'est précisé dedans.
Interopérabilité variable
Enfin, le site sera d’une interopérabilité à degré variable : « les informations du site devront être exploitables et affichables sans dégradation sur les principaux navigateurs du marché : IE 6 et plus, Netscape 7 et supérieur, FireFox 2.0 et plus et sur tout navigateur réputé supporter XHTML et les CSS2 ». Pour le reste, « un bon rendu » est simplement exigé sur Opera, Safari, Google Chrome et les téléphones mobiles ». Rien n’est dit sur le Pare-feu d’Open Office.
Ce site aura pour vaste et ambitieux projet de présenter les deux volets de la loi en question : le référencement des sites d’offres légales et leur labellisation, d’une part. D’autre part, la riposte graduée, destinée à « prévenir le pillage des œuvres sur internet, dont l’ampleur dans notre pays sape les fondements mêmes de la diversité culturelle en tarissant les sources de rémunération et de financement des artistes et des industries culturelles ».
L’objet du marché est de définir, outre les conditions tenant à l’hébergement, « l'architecture technique nécessaire au bon fonctionnement du site ». Il s’agira encore d’en assurer « la maintenance corrective, curative et évolutive ». Sa durée est d’un an. Ensuite le marché sera transféré à l’Hadopi qui s’en occupera seule. Les candidats peuvent déposer leur dossier jusqu’au 26 novembre, date à partir de laquelle le site d’Hadopi pourra être lancé.
Le prix n’est pas indiqué, mais une chose est sûre : « le financement [du site] sera assuré sur le budget propre du ministère de la Culture et de la Communication ». Dans la balance des critères d’attribution, la « qualité et pertinence de la solution technique proposée, l’interopérabilité et la réversibilité de l'offre » pèsent pour 50% (coefficient de pondération), dont 20% pour la sécurité et qualité du code. Le prix, lui, ne compte « que » pour 20%.
Le site d’Hadopi craint les attaques par déni de service (DoS)
Dans le cahier des clauses techniques particulières, il est prévu parmi les critères d’achèvement, le fait qu’aucune anomalie bloquante ou qu’aucune faille de sécurité ne soit détectée. Le site devra avoir une disponibilité 24h/24 7j/7, du moins relatif : pour les applications dites « critiques », ce taux doit être systématiquement supérieur à 99,9% avec 2 indisponibilités au maximum par site et par an.
Le ministère recevra toutes les alertes majeures (tentative réussie d’intrusion ou arrêt du service). Mais ce n’est pas tout. Le soumissionnaire du marché devra prévoir l’armada lourde contre les attaques sur IP et spécialement les attaques en déni de service réseau.
« Le soumissionnaire mettra en oeuvre des mécanismes de sécurité visant à assurer la résilience de l'infrastructure réseau et des serveurs hébergés, des services connexes à la plate-forme, dont le titulaire a la responsabilité et dont la disponibilité serait un pré requis à celle de la plate-forme (DNS, principalement). [Il] détaillera les solutions qu'il propose afin de lutter contre les attaques en déni de service (distribuées ou non, par épuisement de bande passante, de ressources système, etc.), notamment en termes de :
- procédure de bascule, vers un site secondaire localisé en France ,
- procédure de filtrage,
- possibilité de fonctionnement dégradé en mode France.
Sur le papier, il est dit que le système sera capable de traiter 10 requêtes en parallèle, « c'est-à-dire ne pas sérialiser les opérations, mais avoir au moins 10 files d'attente de traitement distinctes » et « d’absorber une charge moyenne d'au moins 2 requêtes par seconde en régime permanent », enfin d’être « capable d'absorber une charge supérieure moyennant l'ajout de nouvelles machines ».
La sécurité par la discrétion et le silence
Évidemment, la sûreté est une chose. La discrétion en est une autre. Le marché insiste (c’est le seul passage souligné dans tout l'appel d'offres) : « en cas d'incident rendant indisponible, momentanément ou non, tout ou partie du service dû à l'Hadopi, le titulaire devra s'interdire toute communication vis-à-vis de l'extérieur et en particulier de la presse tant qu'un communiqué commun n'aura pas été rédigé. En l'absence d'un communiqué commun, l'Hadopi ou le MCC seront seuls habilités à communiquer sur cet incident ».
La presse sera donc tenue à l’écart. On se souvient de la bourde du ministère de la Culture qui nous avait assuré que son site de propagande Jaimelesartistes.fr était « super blindé », après une série d’attaques par déni de service. Quelques instants plus tard, le site coulait à nouveau...
La page d’accueil du site
Les contenus et l'interface seront disponibles en deux langues (français, anglais) dit l’appel d’offres. Voilà les différentes rubriques qu’on y retrouvera :
Page d'accueil
Rubrique 1 : Hadopi : composition et mission du Collège, composition et mission de
la CPD, composition des services, organigramme...
Rubrique 2 : Activités : auditions, décisons, saisines, rapports, évènements...
Rubrique 3 : La réponse graduée : présentation du mécanisme, sensibilisation au
respect de la propriété littéraire et artistique...
Rubrique 4 : Labellisation de l'offre légale : information, téléchargement du
formulaire de demande de labellisation, portail de référencement...
Rubrique 5 : L’observatoire : dossiers, études statistiques…
Rubrique 6 : Sécurisation de son poste : accompagnement pédagogique
Rubrique 7 : Presse : communiqué de presse, dossiers de presse, discours,
photothèque...
Rubrique 8 : Actualités : agenda, événements, rencontres, newsletter...
Rubrique 9 : Contact : formulaire de demande d'informations.
Rubrique 10 : Documentation : cet espace regroupe l’ensemble des vidéos du site,
le glossaire, la foire aux questions (FAQ), les liens hypertextes, les textes
réglementaires...
Rubrique 11 : Moteur de recherche
Rubrique 12 : Pied de page : recrutement, marchés publics, mentions légales, plan
du site, crédits...
Rubrique 13 : Flux RSS
Spécialement, dans la rubrique 3, touchant à la réponse graduée, on y présentera le mécanisme de sanction graduée ainsi qu’un « kit pédagogique » développé ultérieurement, pour les plus jeunes notamment.
Dans la rubrique 4 sur la labellisation de l'offre légale, le processus de labellisation de l'offre légale sera décrit. Une sous-section intégrera « le portail des offres labellisées », en fait une liste des offres labellisées. « Une solution sera proposée pour que le public puisse effectuer une « recherche avancée ». Elle permet également « de télécharger le formulaire de demande de labellisation, ainsi qu'un guide d'accompagnement pour remplir et envoyer le formulaire. Le formulaire et le guide seront au format PDF ». Les conditions exactes de la labellisation des offres légales ne sont pas décrites.
Une rubrique 6 sur la sécurisation de son poste proposera « un accompagnement pédagogique à la sécurisation de son poste informatique ». Rien n'est précisé dedans.
Interopérabilité variable
Enfin, le site sera d’une interopérabilité à degré variable : « les informations du site devront être exploitables et affichables sans dégradation sur les principaux navigateurs du marché : IE 6 et plus, Netscape 7 et supérieur, FireFox 2.0 et plus et sur tout navigateur réputé supporter XHTML et les CSS2 ». Pour le reste, « un bon rendu » est simplement exigé sur Opera, Safari, Google Chrome et les téléphones mobiles ». Rien n’est dit sur le Pare-feu d’Open Office.
Le 6 octobre 2009 à 09:57
(34 124
lectures)
Il y a 117 commentaires
INpactien
Ça fait du bien de bon matin rire du Sinistre de l'inculture
Bon bah, je ne sais pas pourquoi mais le site pour Hadolfi va subir attaque DDoS et autre Botnet
INpactien
"Rien n’est dit sur le Pare-feu d’Open Office. "
C'est petit ça ;)
C'est petit ça ;)
INpactien
Marc, tu déprimes pas à force de voir toutes ces âneries du gouvernement ? 
INpactien
misterB
Le mardi 6 octobre 2009 à 10:00:46
#4
Inscrit
le vendredi 22 octobre 04
-
133349
commentaires
Certains artistes français résistent
[quote:Phoenix]Et le téléchargement illégal, vous vous positionnez comment, par rapport à ça ? Vous en avez souffert ?
Christian : Franchement, non. Et même au contraire : on a mis nous-même, un peu à l'arrache, un morceau en ligne pour les fans, puis Wolfgang Amadeus Phoenix a été sur le net bien avant sa sortie. Et sincèrement, on est certain que ça nous a vachement aidés, ça a lancé la machine, ça a lancé un grand bouche-à-oreille.
Deck : C'est triste pour les maisons de disques, pour EMI chez qui on était avant notamment -c'est un grand label, historique. Mais ils n'ont pas tout compris à ce qui se passait. On est ravis de bosser avec ceux qui nous entourent maintenant. Et effectivement, le téléchargement illégal, on s'en fout un peu ; ou en tout cas on est assez conscient et assez certains que ça nous a beaucoup aidé.[/quote]
Edité par misterB le mardi 6 octobre 2009 à 10:03
[quote:Phoenix]Et le téléchargement illégal, vous vous positionnez comment, par rapport à ça ? Vous en avez souffert ?
Christian : Franchement, non. Et même au contraire : on a mis nous-même, un peu à l'arrache, un morceau en ligne pour les fans, puis Wolfgang Amadeus Phoenix a été sur le net bien avant sa sortie. Et sincèrement, on est certain que ça nous a vachement aidés, ça a lancé la machine, ça a lancé un grand bouche-à-oreille.
Deck : C'est triste pour les maisons de disques, pour EMI chez qui on était avant notamment -c'est un grand label, historique. Mais ils n'ont pas tout compris à ce qui se passait. On est ravis de bosser avec ceux qui nous entourent maintenant. Et effectivement, le téléchargement illégal, on s'en fout un peu ; ou en tout cas on est assez conscient et assez certains que ça nous a beaucoup aidé.[/quote]
Edité par misterB le mardi 6 octobre 2009 à 10:03
INpactien
Pour le point 3.8.3, je leur conseille de prendre contact avec désir d'avenir... 
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
Il y a 117 commentaires
-
GPU-Z 0.7.1 : les GeForce GTX 770 et 780 à l'honneur
(2)
Et les GPU des APU d'AMD aussi -
[MàJ] Quand Google cache des poneys dans Hangouts, mais pas que...
(17)
Poney, aime -
CUDA-Z : tout savoir de votre GPU NVIDIA sous Linux, OS X ou Windows
(7)
Et même quelques benchs -
CPU-Z 1.64 et HWMonitor 1.22 sont de sortie
(0)
Il faut dire qu'il fait soleil aujourd'hui
![[MàJ] Quand Google cache des poneys dans...](http://static.pcinpact.com/images/bd/dedicated/79789.jpg)
-
66 % de remise sur le jeu Cities XL Platinum
Valable jusqu'au 24 mai -
Sleeping Dogs pour 12,49 €
Valable jusqu'au 27 mai -
SimCity, Les Sims 3 et le DLC Saisons pour 59,99 €
Valable jusqu'au 29 mai -
Une console de jeux Sony PS Vita Wi-Fi pour 196,10 €
Valable jusqu'au 26 mai
