Le site de l'Hadopi protégé des attaques DoS... et de la presse

Blindé, vous avez dit blindé ? 117
Exclu. La loi à peine votée, le ministère de la Culture vient de publier un appel d’offres pour la conception, la réalisation et l’hébergement du site internet de la Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet (Hadopi).

Ce site aura pour vaste et ambitieux projet de présenter les deux volets de la loi en question : le référencement des sites d’offres légales et leur labellisation, d’une part. D’autre part, la riposte graduée, destinée à « prévenir le pillage des œuvres sur internet, dont l’ampleur dans notre pays sape les fondements mêmes de la diversité culturelle en tarissant les sources de rémunération et de financement des artistes et des industries culturelles ».

hadopi presse

L’objet du marché est de définir, outre les conditions tenant à l’hébergement, « l'architecture technique nécessaire au bon fonctionnement du site ». Il s’agira encore d’en assurer « la maintenance corrective, curative et évolutive ». Sa durée est d’un an. Ensuite le marché sera transféré à l’Hadopi qui s’en occupera seule. Les candidats peuvent déposer leur dossier jusqu’au 26 novembre, date à partir de laquelle le site d’Hadopi pourra être lancé.

Le prix n’est pas indiqué, mais une chose est sûre : « le financement [du site] sera assuré sur le budget propre du ministère de la Culture et de la Communication ». Dans la balance des critères d’attribution, la « qualité et pertinence de la solution technique proposée, l’interopérabilité et la réversibilité de l'offre » pèsent pour 50% (coefficient de pondération), dont 20% pour la sécurité et qualité du code. Le prix, lui, ne compte « que » pour 20%.

Le site d’Hadopi craint les attaques par déni de service (DoS)

Dans le cahier des clauses techniques particulières, il est prévu parmi les critères d’achèvement, le fait qu’aucune anomalie bloquante ou qu’aucune faille de sécurité ne soit détectée. Le site devra avoir une disponibilité 24h/24 7j/7, du moins relatif : pour les applications dites « critiques », ce taux doit être systématiquement supérieur à 99,9% avec 2 indisponibilités au maximum par site et par an.

Le ministère recevra toutes les alertes majeures (tentative réussie d’intrusion ou arrêt du service). Mais ce n’est pas tout. Le soumissionnaire du marché devra prévoir l’armada lourde contre les attaques sur IP et spécialement les attaques en déni de service réseau. 

« Le soumissionnaire mettra en oeuvre des mécanismes de sécurité visant à assurer la résilience de l'infrastructure réseau et des serveurs hébergés, des services connexes à la plate-forme, dont le titulaire a la responsabilité et dont la disponibilité serait un pré requis à celle de la plate-forme (DNS, principalement). [Il] détaillera les solutions qu'il propose afin de lutter contre les attaques en déni de service (distribuées ou non, par épuisement de bande passante, de ressources système, etc.), notamment en termes de :
 
- procédure de bascule, vers un site secondaire localisé en France ,
- procédure de filtrage,
- possibilité de fonctionnement dégradé en mode France.
 
Le soumissionnaire décrira les solutions qu'il met en oeuvre pour éviter ou détecter, le cas échéant, les attaques et intrusions sur ses systèmes d'information.
»

Sur le papier, il est dit que le système sera capable de traiter 10 requêtes en parallèle, « c'est-à-dire ne pas sérialiser les opérations, mais avoir au moins 10 files d'attente de traitement distinctes » et « d’absorber une charge moyenne d'au moins 2 requêtes par seconde en régime permanent », enfin d’être « capable d'absorber une charge supérieure moyennant l'ajout de nouvelles machines ».

La sécurité par la discrétion et le silence

Évidemment, la sûreté est une chose. La discrétion en est une autre. Le marché insiste (c’est le seul passage souligné dans tout l'appel d'offres) : « en cas d'incident rendant indisponible, momentanément ou non, tout ou partie du service dû à l'Hadopi, le titulaire devra s'interdire toute communication vis-à-vis de l'extérieur et en particulier de la presse tant qu'un communiqué commun n'aura pas été rédigé. En l'absence d'un communiqué commun, l'Hadopi ou le MCC seront seuls habilités à communiquer sur cet incident ».

La presse sera donc tenue à l’écart. On se souvient de la bourde du ministère de la Culture qui nous avait assuré que son site de propagande Jaimelesartistes.fr était « super blindé », après une série d’attaques par déni de service. Quelques instants plus tard, le site coulait à nouveau...

La page d’accueil du site

Les contenus et l'interface seront disponibles en deux langues (français, anglais) dit l’appel d’offres. Voilà les différentes rubriques qu’on y retrouvera : 

Page d'accueil
Rubrique 1 : Hadopi : composition et mission du Collège, composition et mission de
la CPD, composition des services, organigramme...
Rubrique 2 : Activités : auditions, décisons, saisines, rapports, évènements...
Rubrique 3 : La réponse graduée : présentation du mécanisme, sensibilisation au
respect de la propriété littéraire et artistique...
Rubrique 4 : Labellisation de l'offre légale : information, téléchargement du
formulaire de demande de labellisation, portail de référencement...
Rubrique 5 : L’observatoire : dossiers, études statistiques…
Rubrique 6 : Sécurisation de son poste : accompagnement pédagogique
Rubrique 7 : Presse : communiqué de presse, dossiers de presse, discours,
photothèque...
Rubrique 8 : Actualités : agenda, événements, rencontres, newsletter...
Rubrique 9 : Contact : formulaire de demande d'informations.
Rubrique 10 : Documentation : cet espace regroupe l’ensemble des vidéos du site,
le glossaire, la foire aux questions (FAQ), les liens hypertextes, les textes
réglementaires...
Rubrique 11 : Moteur de recherche
Rubrique 12 : Pied de page : recrutement, marchés publics, mentions légales, plan
du site, crédits...
Rubrique 13 : Flux RSS

Spécialement, dans la rubrique 3, touchant à la réponse graduée, on y présentera le mécanisme de sanction graduée ainsi qu’un « kit pédagogique » développé ultérieurement, pour les plus jeunes notamment.

Dans la rubrique 4 sur la labellisation de l'offre légale, le processus de labellisation de l'offre légale sera décrit. Une sous-section intégrera « le portail des offres labellisées », en fait une liste des offres labellisées. « Une solution sera proposée pour que le public puisse effectuer une « recherche avancée ». Elle permet également « de télécharger le formulaire de demande de labellisation, ainsi qu'un guide d'accompagnement pour remplir et envoyer le formulaire. Le formulaire et le guide seront au format PDF ». Les conditions exactes de la labellisation des offres légales ne sont pas décrites.

Une rubrique 6 sur la sécurisation de son poste proposera « un accompagnement pédagogique à la sécurisation de son poste informatique ». Rien n'est précisé dedans.

Interopérabilité variable

Enfin, le site sera d’une interopérabilité à degré variable : « les informations du site devront être exploitables et affichables sans dégradation sur les principaux navigateurs du marché : IE 6 et plus, Netscape 7 et supérieur, FireFox 2.0 et plus et sur tout navigateur réputé supporter XHTML et les CSS2 ». Pour le reste, « un bon rendu » est simplement exigé sur Opera, Safari, Google Chrome et les téléphones mobiles ». Rien n’est dit sur le Pare-feu d’Open Office.
Publiée le 06/10/2009 à 09:57
Marc Rees

Journaliste, rédacteur en chef

Soutenez nos journalistes

Le travail et l'indépendance de la rédaction dépendent avant tout du soutien de nos lecteurs.

Abonnez-vous
À partir de 0,99 €

Publicité