Top

Startup et piratage informatique

Non, le monde des startups n’est pas celui des bisounours. La preuve avec le témoignage de Pierre Doublet, associé fondateur de beepjob.

 A propos de BeepJob

Créé en 2011, Beepjob est un site et une application Iphone de petites annonces gratuites d’emplois géolocalisées. Vous y trouvez des annonces de CDI, de CDD, de stages mais aussi des missions d’intérim, des jobs étudiants et des emplois saisonniers. Beepjob a été créé par Audren de Valbray et Pierre Doublet, amis de longue date et diplômés de l’ESSCA. Passionnés par l’entrepreneuriat, le web et le recrutement RH, ils ont créé beepjob pour dépoussiérer le marché de l’emploi en facilitant le contact entre le candidat et le recruteur. Grâce à un service géolocalisé et mobile, beepjob offre une plateforme interactive et accessible pour répondre aux besoins actuels du monde du travail.

 

 

Retour sur le piratage de beepjob

Pendant notre passage sur BFM le 19 avril 2012, notre site a été victime d’une attaque par des personnes malveillantes ne souhaitant apparemment pas voir se développer la possibilité de trouver un emploi facilement et gratuitement. Nous venions de lancer officiellement notre site et son application Iphone, et les résultats étaient très prometteurs : 15.000 téléchargements de l’application en un mois, plus de 27.000 utilisateurs, 1.500 recruteurs, 15.000 CV en ligne et une audience en croissance de 30% tous les mois. Et puis, tout d’un coup, un hacker prend le contrôle du site, de la base de données, de notre compte twitter et envoie un mail à l’ensemble de nos utilisateurs. Résultat : notre site est resté en maintenance deux semaines afin de sécuriser le service. Quel est l’intérêt de faire ça ? Surtout lorsque l’on sait que beepjob propose de trouver un emploi ou un employé gratuitement. Nous n’avons pas la réponse mais nous avons retenu la leçon et il est vrai que nous n’avions pas pris conscience de l’importance de la sécurité sur internet. Voici donc à ce sujet quelques conseils pour éviter au maximum d’en arriver là. Il y a deux éléments à prendre en compte : la sécurité du code et la sécurité du serveur.

Pour le code 

- Veillez à vérifier, revérifier et rerevérifier qu’il n’y a pas de failles SQL, XSS ReDos… - Utilisez des logiciels de détections de failles automatiques (Havji, w3af / wapiti / nikto et Rats) - Faites vérifier votre code par des personnes extérieures (le mieux est un expert Whitehat : comptez entre 2 500 et 10 000€).

Pour le serveur 

-       Le b.a.-ba : faites des mises à jour régulières de vos logiciels. -       Restreignez au maximum les ports ouverts de votre machine (Firewall avec config Iptables ou logiciels gérant Iptables type APF). -       Ayez une bonne gestion des utilisateurs système MySQL (port SSH ouvert uniquement pour votre IP, mot de passe puissant, droits différents selon l’utilisateur…)  -       Passez du temps à configurer php.ini et désactivez les fonctions inutiles pour vous. -       Evitez de donner trop d’infos sur votre serveur. -       Tenez-vous à jour des failles. Heureusement beepjob est de nouveau sur pied et nous comptons bien continuer notre percée et dépoussiérer le marché de l’emploi en ligne en proposant des services innovants tout en gardant notre business model. Finalement cette attaque nous a permis de mettre le doigt sur un point que nous avions involontairement délaissé et il vaut mieux que cela arrive au début de l’aventure. Sage conclusion, Pierre et tous mes vœux de réussite à beepjob ! Et pour un prochain article dans la série Business Angel France formation™, qui est partant pour écrire sur « La sécurité informatique dans les startups » ? Patrick

8 Réponses à Startup et piratage informatique

  1. Stéphane de QuiRecherche 17 mai 2012 at 9:37 #

    C'est toujours énervant de se faire pirater son site... Surtout lorsqu'on propose justement des services gratuits !

    Personnellement je fais toujours tester mes sites par des personnes douées en informatique avant l'ouverture officielle. Je les encourage à me pirater et ça me permet ainsi de corriger les failles avant que ce ne soit critique.

    Malheureusement on ne peut jamais penser à tout, et il faut bien garder en tête que si quelqu'un veut VRAIMENT foutre en l'air un site, il y arrivera.

    Finalement, corriger les failles de sécurité basiques, c'est surtout un moyen de décourager les hackeurs en leur disant "mon site n'est pas invulnérable, mais vous allez galérer et y passer beaucoup de temps ! allez plutôt voir ailleurs, ce sera plus simple !"

    En tout cas j'espère que cela n'a pas entrainé trop de dommages à la société Beepjob, mais comme elle le dit elle-même "Finalement cette attaque nous a permis de mettre le doigt sur un point que nous avions involontairement délaissé et il vaut mieux que cela arrive au début de l’aventure." 🙂

  2. Jacques 17 mai 2012 at 9:43 #

    Une bonne façon aussi de limiter les possibilités de failles dans un site c'est d'utiliser des technos open-source (CMS et autres) qui sont développés par toute une communauté. Les failles sont en générale très vite corrigées.

  3. stef_looknbe 17 mai 2012 at 9:50 #

    Témoignage intéressant, merci. Personne n'est à l'abri et la meilleure façon en effet d'éviter les problèmes est d'employer les best practices et de rester discret sur son infrastructure. Le problème vient aussi en général beaucoup plus souvent de l'intérieur (employé, fournisseur IT malintentionné) que de l'extérieur. Bon courage pour la suite de l'aventure !

  4. Mistyrouge 17 mai 2012 at 14:02 #

    "port SSH ouvert uniquement pour votre IP, mot de passe puissant"

    En fait d'un point du point de vue de la sécurité, il vaut mieux éviter d'utiliser un mot de passe. l'authentification par clé RSA est beaucoup plus robuste.

  5. Cédric Labeau 17 mai 2012 at 18:45 #

    C'est un vrai fléau qui peut mettre à terre une startup. Tant mieux si Beepjob a réussi à s'en sortir!
    Malheureusement, je ne suis pas sûr qu'il y a une solution infaillible. Si de nombreuses grandes entreprises recrutent des experts pour lutter contre le piratage, c'est qu'elles prennent ces menaces réellement au sérieux.
    Pour une startup web, je pense qu'avoir un expert en sécurité est une des priorités lors des premiers recrutements. Malheureusement, quand les fonds manquent, ça devient plus compliqué.

  6. Henry 18 mai 2012 at 14:43 #

    @Jacques A l'inverse, lorsqu'une faille est publiée sur ces CMS, le site est très exposé, surtout si l'équipe ne met pas à jour son CMS même une fois le correctif paru.

  7. Alexis Vervelle 18 mai 2012 at 17:22 #

    Pour avoir coache nos deux entrepreneurs sur les dangers et erreurs à éviter dans leur aventure , je n'avais pas imaginé celle-ci.. Surtout pour une aussi jeune start-up qu'on aurait bien voulu voir tué dans l'ooeuf apparemment. Bon réflexe de nous faire partager cette malveillante péripétie ..Got back to work .. Nice

  8. Pierre Doublet 21 mai 2012 at 15:18 #

    Merci pour vos messages de soutien, faire tester le site reste quand même la meilleure option, et quand on en discute un peu autour de soi, on se rend compte rapidement que pas mal de monde est prêt à vous donner un coup de main.

Laisser un commentaire