Lettre d'information Mai 2020 - Sortie de BTW Supervisor 5 + Débridage de la géolocalisation sans contrainte OVH



La mise en forme des lettres d'information au format Web (donc la page que vous êtes en train de consulter) est perfectible.

Cela vient du fait que la mise en forme est adaptée pour un export PDF (donc à télécharger - lien ci-dessus) pour des raisons légales.


Bonjour,

Au programme de cette lettre d'information : une mise à jour du HTTPS de vos sites Internet, la publication de la version 5 de notre suite logicielle de supervision suivi d'un focus sur la nouvelle gamme 2020 des VPS OVH.


1/ Mise à jour du HTTPS de vos sites Internet

Samedi dernier, le 30 Mai 2020, nous avons vécu une journée singulière dans l'histoire du HTTPS. Un élément essentiel au fonctionnement de votre HTTPS a expiré.

Cela a bien évidemment était anticipé de longue date dans notre agence d'infogérance Ecommerce, et de nouveaux outils ont été créés pour gérer cela rigoureusement.

Vous avez dû constater sur le Manager TW, un nouvel écran d'hypervision sorti fin avril 2020 : https://manager.touchweb.fr/certificat-ssl/index.html

L'ensemble de vos sites Internet (en production et préproduction) ainsi que les services tiers (CDN, etc.) ont été mis à jour début Mai à ce propos.

Cela signifie que tout ce qui était sous notre responsabilité a été rigoureusement géré en temps et en heure.

Cette intervention et les développements associés ont engendré environ 12 000€ d'investissement par TOUCHWEB SAS, pris en charge par vos contrats d'infogérance.

Nous avons cependant le regret de constater que certains fournisseurs de service avec lesquels vous êtes susceptibles de travailler n'ont pas anticipé cela professionnellement.

En cas de dysfonctionnement chez vos fournisseurs à ce propos, nous vous invitons à la patience, ils devraient rapidement corriger la situation à détection, comme c'est déjà le cas d'OVH et de Payplug.

Nous mettrons à jour les fils d'actualité relatifs sur Facebook et Linkedin au gré des remontées : https://www.linkedin.com/feed/update/urn:li:activity:6672512354397245440

Pour les plus techniques d'entre vous  :

La mise en fin de vie de l'intermédiaire racine pour USERTrust RSA Certification Authority signé par AddTrust External CA Root ouvre le bal d'une série de mises en expiration d'intermédiaire (racine ou non) vous concernant.

Tout cela est rigoureusement suivi via l'écran d'hypervision cité ci-dessus et permet un suivi professionnel de toutes les chaînes de certification SSL déployées sur tous les serveurs/nœuds (incluant des serveurs/nœuds externes n'étant pas sous infogérance TOUCHWEB).

Certains d'entre vous sont susceptibles de se dire que ce n'est pas "très grave", et en effet d'un point de vue navigateur Internet, il y a nativement des tolérances élevées à ce propos.

Cependant, il est à bien comprendre que ces tolérances natives n'existent pas sur un grand nombre de logiciels (incluant cURL - par défaut strict à ce propos).

En résumé, cela va majoritairement "casser" des API / tâches planifiées, ce qui peut avoir des impacts notoires sur votre site-Ecommerce. Le fait que l'expiration tombe un week-end suivi d'un jour férié risque également d'empirer le problème et on n'attend un retour à la normale qu'à partir du milieu de semaine prochaine.


2/ Publication de la version 5 du superviseur

Après 2 mois de travail intense, nous avons le plaisir de vous annoncer la sortie de la version 5 de nos outils d'hypervision et de supervision.

Voici quelques nouveautés :  


A/ Les installations/restaurations systèmes sont maintenant 100% automatisées, toujours avec la contrainte d'être rigoureusement conformes à la précédente installation.

Il restait la gestion des droits sur les utilisateurs système (incluant les utilisateurs bénéficiant d'un accès FTP) ainsi que les utilisateurs sur les bases de données, c'est maintenant parfaitement géré.

Toutes vos données sensibles (mot de passe / clé privée) sont chiffrées pour s'assurer qu'en cas de piratage de nos outils, aucune donnée ne soit exploitable. Par souci de transparence : vous pouvez nous réclamer à tout moment une mise à disposition des gabarits de configuration de vos serveurs soumis à nos outils de supervision de codes sources pour contrôle des chiffrements forts via la clé RSA 2048 bits associée à votre groupe technique sur le Manager TW (la clé publique est disponible via la gestion du groupe).

Notre engagement en matière de portabilité vous permettant d'avoir contractuellement la garantie d'une restauration de vos applications métier (généralement sites E-Commerce) rigoureusement conforme à l'état antérieur se voit consolidé, toujours dans une logique de repartir du strict minimum, sans recyclage de données issues de l'état antérieur et donc hautement résistant à des corruptions majeures engendrées par un éventuel piratage comme nous vous le détaillons ici : https://www.touchweb.fr/webmaster-prestashop/reparation-prestashop

Cela clôture un dossier de (très) longue haleine démarré en 2015, à savoir l'industrialisation de la haute personnalisation des serveurs sous infogérance TOUCHWEB ou comment faire du sur-mesure accessible à des très petites entreprises à moins de 2 millions d'euros de CA par an tout en assurant un niveau irréprochable de service et des forfaits raisonnables.

Actuellement, nos outils permettent de personnaliser automatiquement plus de 12 000 points de configuration, couvrant plus de 50 logiciels serveurs pour environ 500 fichiers de configuration dans le respect des serveurs utilisés et de leurs capacités matérielles, des solutions E-Commerce exploitées et des retours d'expérience collectés en situation réelle de production.

Pour nos partenaires à l'ingénierie logicielle :

Cela devenait ingérable de déployer les gabarits manuellement, il est apparu indispensable d'automatiser le staging à ce niveau via des déploiements semi-automatiques des gabarits sur les serveurs via notre Gitlab maître. Cela a également permis d'introduire la notion de gabarits en arbre, permettant ainsi de rationnaliser par héritage multiple certains sous gabarits sur des silos spécifiques (incluant les réplications).

Cela permet également d'avoir une visibilité professionnelle sur plusieurs années de toutes les modifications entreprises sur les gabarits, avec un historique précis à ce propos. Pour certains d'entre vous, justifiant de compétences senior Devops, on réfléchit actuellement à mettre en place des outils collaboratifs vous permettant d'agir directement sur les gabarits serveurs.

A noter également que cette évolution a engendré l'une des interventions les plus critiques de l'histoire de TOUCHWEB, à savoir l'extraction de tous les mots de passe des utilisateurs système, des utilisateurs des bases de données ainsi que des htpasswd depuis nos containeurs locaux chiffrés, vers les gabarits chiffrés et déployés sur le Gitlab maître TW, dans le plus strict respect du RGPD - aucune donnée n'a été exposée pendant la manœuvre, pour environ 14 000 actions manuelles réalisées par les techniciens TOUCHWEB. Cette intervention critique s'est parfaitement bien déroulé grâce à la rigueur imposée du processus.


B/ Nouvelle consolidation de la surveillance de vos systèmes d'information

Sur la base des dernières attaques / arnaques subies par nos clients, nous avons de nouveau consolidé la surveillance des systèmes.

Les règles YARA (projet Yara-rules) ont été déployées sur l'ensemble des serveurs et les modifications par FTP engendrent maintenant systématiquement une analyse complète du fichier modifié via ces règles.

Cela nous permet d'être avertis dans la minute d'une anomalie à ce niveau, ce qui a déjà évité un piratage sur un Prestashop de l'un d'entre vous s'étant fait avoir par une arnaque à l'email l'invitant à déployer un fichier compromis sur son site Internet.

Dans l'éventualité où cela ne soit pas capturé par le contrôleur de fichiers modifiés par FTP, pour les infrastructures haute-disponibilité : le contrôleur de synchronisation des fichiers depuis votre serveur principal de production vers votre serveur secondaire de production se dote de la même mécanique de scan systématique. Cela renforce encore plus les protections sur les infrastructures bénéficiant d'une continuité professionnelle de service.

Pour nos clients ne bénéficiant pas d'une infrastructure haute-disponibilité, nous sommes au regret de vous annoncer que pour des raisons de charge, pouvant (fortement) déstabiliser votre serveur, il est inenvisageable de vous faire bénéficier de cette mécanique, en dehors du contrôleur de fichiers altérés par FTP.


C/ Amélioration de la transparence des logiciels installés sur vos serveurs

Pour répondre au besoin de certains clients ainsi que de nos partenaires, sur le Manager TW via la page de gestion d'un serveur (menu Infrastructure - Serveurs - cliquer sur un serveur), la box Système s'est enrichie d'un nombre certain de logiciels installés sur vos serveurs.

Au survol de quelques éléments, vous pourrez constater la présence d'informations complémentaires.

On a également rajouté dans cette box des informations relatives à la date de dernière mise à jour de certaines bases de données (incluant la base de données des adresses IP de sortie du réseau TOR - banni jusqu'à nouvel ordre des infrastructures TOUCHWEB depuis 4 attaques de gravité sévère subies en décembre 2019).


D/ Nouvelle consolidation des contrôles par croisement de données

Pour ceux d'entre vous qui s'intéressent à nos processus et surtout la manière dont est géré l'hyperviseur (Manager TW), comme vous le savez on a toujours mis un point d'honneur à ce que vos serveurs soient parfaitement indépendants et autonomes vis-à-vis de l'hyperviseur. Cela signifie concrètement que tout est toujours fait pour atténuer au maximum raisonnablement possible les dépendances à l'hyperviseur. 

Outre la gestion des listes blanches (qui systémiquement ne peut être *que* sur l'hyperviseur), la totalité des autres données est alimentée par nos soins sur l'hyperviseur ce qui permet de contrôler professionnellement via un croisement de données, que les déclarations sur les gabarits serveurs sont conformes à ce qui est renseigné sur l'hyperviseur (et vice-versa).

On a de nouveau consolidé ces croisements de données, ce qui a permis de fiabiliser les contrôles de cohérence des benchmarks entrepris chaque dimanche dans la nuit, ainsi que la cohérence des couches réseaux renseignées sur l'hyperviseur.


E/ Simplification du processus d'authentification aux préproductions et création d'un guide dédié aux tiers découvrant les préproductions

Après 4 années de retours d'expérience de nos partenaires, de nos clients, et de vos prestataires, on a convenu qu'il était essentiel de rendre plus accessible les préproductions et d'atténuer les effets de bord de la présence de certaines protections (incluant la popup qui réclame un login/password généré par le htpasswd déployé sur votre préproduction pour la protéger)

Dorénavant, les adresses IP que vous avez soumise à la liste blanche de votre préproduction outrepassent la popup réclamant un login/password. Autrement dit, si vous souhaitez vous simplifier la vie quand vous utilisez votre préproduction, n'hésitez pas à vous ajouter en liste blanche !

Par ailleurs un guide a été créé, il est disponible ici : https://www.touchweb.fr/aide-preprod

Pour nos partenaires à l'ingénierie logicielle :

Cela va vous éviter d'avoir à éditer les .htaccess pour débloquer temporairement les préproductions. Par effet de bord, cela va aussi atténuer les éventuelles corruptions générées par vos navigateurs qui ponctuellement ne sont pas capables de soumettre les credentials sur les fichiers distribués par inclusion imbriquée (c'est à dire par exemple les images distribuées par un fichier css, lui-même importé par un autre fichier css).


F/ Arrivée dans un futur proche d'actions "simplifiées" sur l'hyperviseur

Dans un avenir proche, courant juin / juillet - on est sur le final, de nouvelles actions simplifiées vont apparaitre sur l'hyperviseur (Manager TW) incluant : 

- un renvoi des accès système complets conformes TW donc incluant tous les accès nécessaires au contrôle du site Internet (soit une compilation d'un peu plus de 10 informations hétérogènes : port FTP personnalisé pour chaque silo de production, lien sécurisé contenant un login/password vers les préproductions / PHPMyAdmin), accès FTP, accès aux bases de données, contrôle automatique que les accès soumis sont parfaitement conformes via un test en situation réelle de leurs fonctionnements, contrôle automatique que les accès au front-end sont également rigoureusement conformes pour valider les configurations du serveur Web)

Cela va grandement simplifier les rotations d'accès que vous nous réclamez ponctuellement, qui historiquement et en l'état des process sécuritaires de TOUCHWEB, pouvaient engendrer plusieurs heures d'intervention à notre niveau sur certains projets du fait de la volumétrie de sites Internet (pour certains clients, c'est plus de 300 informations qui sont à éditer puis recompiler pour l'émission d'un email propre d'accès résumant toutes ces informations).

- un téléchargement des sauvegardes des bases de données et des historiques serveurs (dont le listing est déjà disponible via la box Sauvegarde de la fiche du serveur)

Pour nos partenaires à l'ingénierie logicielle :

On finalise actuellement avec nos partenaires de confiance une API à ce propos, on est à la fin de l'alpha staging, cela devrait donc sortir en bêta-test très prochainement. A noter que la période de bêta-test, compte tenu de la complexité élevée du développement portera sur une période de 6 mois minimum. L'évolution relative sera donc considérée stable à partir du 1° janvier 2021.


3/ Sortie de la gamme 2020 des VPS OVH

Depuis presque un mois, nous sommes en validation de ces nouveaux serveurs type VPS.

Les résultats des tests (benchmark) sont encourageants, on constate une démultiplication de la vitesse des unités de stockage (SSD) entre 5 et 10, ce qui a un impact direct et notoire sur la vitesse des sites Internet.

Vous pouvez constater cela en toute transparence sur l'écran d'hypervision compilant tous les benchmarks de tous les serveurs sous infogérance TOUCHWEB ici : https://manager.touchweb.fr/infrastructure-globale/benchmark.html

Si vous constatez sur cet écran : https://manager.touchweb.fr/infrastructure/serveurs.html que vous possédez des serveurs VPS dénommés : VPS SSD / VPS CLOUD / VPS CLOUD RAM, et que vous souhaitez améliorer la vitesse de votre site Internet, n'hésitez pas à nous réclamer une migration vers ces nouveaux serveurs.

Deux options s'offrent à vous à ce propos : 

- Attendre qu'OVH propose une migration semi-automatique - d'après nos sources en interne chez OVH, peu probable avant Septembre 2020 - Dès que cela sera disponible, on communiquera dessus via une lettre d'information.

- Nous réclamer sans délai un forfait de migration de serveurs, facturé 150€ HT / serveur à migrer. A noter que pour le cas spécifique des préproductions, si aucune donnée n'est à récupérer (en veillant à ce qu'il n'y ait pas un site archivé non tracé sur le Manager TW), et donc que vous nous autorisez à détruire les préproductions et les reconstruire via le processus automatisé relatif, les frais de migration de la préproduction seront réduits de moitié, passant de 150€ HT à 75€ HT.

Cas particuliers : 

Pour ceux d'entre vous ayant fait le nécessaire pour rendre compatible avec PHP 7.3 leurs applications métier (généralement sites E-Commerce), et qui sont de ce fait éligibles à la mise à jour majeure du système d'exploitation Debian 10 (inclue dans les contrats d'infogérance TW) : 

- Constater ici : https://manager.touchweb.fr/application/production.html ET ici : https://manager.touchweb.fr/application/production_creation.html que tous vos sites tournent sous PHP 7.3 à minima - et le cas échéant, contacter votre développeur à ce propos

- Constater ici : https://manager.touchweb.fr/infrastructure/serveurs.html - dernière colonne que vos serveurs utilisent le système d'exploitation Debian 9

Dans ce cadre précis : partant du principe que l'on doit formater vos serveurs, et les réinstaller complètement, nous vous proposons de faire d'une pierre deux coups et donc de nous réclamer dans la foulée ces nouveaux serveurs VPS - l'intervention sera donc totalement gratuite côté TW.


4/ Géolocalisation sur-mesure partout où vous le souhaitez sur la planète

Afin de répondre aux exigences de certains de nos clients, nous avons le plaisir de vous annoncer que nous pouvons virtuellement géolocaliser où vous le souhaitez sur la planète vos sites Internet, incluant des pays n'étant pas proposés par OVH (via les adresses IP Failover) dont la Suisse.

N'hésitez pas à nous contacter via ticket à ce propos. Tarifs variables suivant la géolocalisation souhaitée sous réserve d'hébergeurs disponibles dans le pays cible.

Pour les plus techniques d'entre vous : il s'agit d'une mise à disposition de serveurs HA-Proxy, invisibilisant l'adresse IP officielle de votre serveur. Un POC est disponible sur https//www.touchweb.ch - adresse IP suisse via un serveur HA-Proxy hébergé chez Infomaniak, masquant le serveur physique performant OVH derrière géolocalisé sur Strasbourg.

Par ailleurs, on a grandement amélioré le support des adresses IP secondaires, ce qui permet de faciliter leur déploiement. Si vous souhaitez que chacun de vos sites Internet bénéficie d'une adresse IP unique, nous vous invitons à prendre connaissance de ce nouveau guide : https://www.touchweb.fr/guides/ipfo/tw-achat-ip-fo.pdf


5/ Bêta-testeur toujours recherché sous NodeJS 12

Nous recherchons toujours activement un bêta-testeur pour NodeJS 12, si vous êtes intéressé - n'hésitez pas à nous en faire part. 

Compte tenu de la difficulté de trouver une personne intéressée et de l'urgence, comme détaillé sur les posts sur Facebook et Linkedin : https://www.linkedin.com/feed/update/urn:li:activity:6653536400660541440 Si vous remplissez les critères d'éligibilité, cela pourrait être totalement gratuit.

----------------------

Nous vous souhaitons une excellente semaine.

L'équipe TW - Votre spécialiste en infogérance serveur dédié OVH

PS : La lettre d'information devait partir mardi matin au courrier mais compte tenu des dysfonctionnements multiples chez certains de vos fournisseurs à cause du HTTPS (point 1.) et au regard de ce qu'il s'est passé hier et continue de se passer ce jour - dimanche 31/05/2020, on a pris la décision de l'envoyer sans délai. En espérant que les fournisseurs concernés prennent la mesure du fait qu'une hypervision des chaînes de certificat SSL déployées n'est en aucune manière superfétatoire.