Bonjour, les 400 coop, à Paris, viennent de se faire détruire l’intégralité des données de leur nuage hébergé par Zaclys, de Nextcloud, il semble que l’attaque vienne de l’intérieur, puisque nous nous connections toutes et tous avec le même login et mot de passe, et qu’aucune rançon n’a été demandée, acte de pure malveillance, de la part d’un.e. membre ou ancien.ne membre. Nous étions en train de mettre en place un système de connexion personnalisé, mais il n’était pas encore activé lorsque c’est arrivé. Les fichiers seront désormais protégés en écriture, sauf pour les personnes qui sont directement impliquées dans le groupe de travail correspondant.
Ne jamais oublier que les plus belles expérimentations du champ social et environnemental attirent aussi parfois les plus belles crapules qui soient sur terre.
bon courage à vous pour le travail que ça implique derrière… 
Merci, c’est déjà presque rétabli à l’état initial, mais on est plusieurs à ne pas vouloir passer l’éponge, et si on parvient à identifier l’auteur (ou l’autrice), nous mettrons tout en oeuvre pour qu’il y ait des suites judiciaires et au minimum, une exclusion définitive.
J’imagine que vous pouvez remonter dans les logs pour savoir quand les fichiers ont été supprimés et quelles adresses IP étaient connectés à cette heure là ? Après en terme de suite judiciaire malheureusement ce ne sera pas recevable je crois mais cela vous permet au moins de procéder à une exclusion définitive
Ça pourrait être aussi une mauvaise manip, notamment si une personne se connecte avec l’appli off-line.
Nous avons le nuage chez Zaclys avec des groupes « modif » et « lecture » pour toutes les missions.
Par défaut en lecture, les gens sont ajoutés ou soustraits des groupes.
200 usagers nécessite un admin.
On envisage d’héberger nous même Nextcloud dans 1 an.
Bonjour, heureux pour les 400 coop d’apprendre que vous êtes parvenus à récupérer vos données.Ça nous est arrivé deux fois à La Cagette à nos débuts sur Google Drive, pas par malveillance mais fausse manip par méconnaissance du principe de fonctionnement : des personnes qui ont voulu faire le ménage de leur ordi ou téléphone pensant que les fichiers occupaient de la place sur leur terminal, et ça a été un sacré boulot de tout remettre en place sachant que l’on peut tout récupérer mais en vrac, fichier par fichier, donc des centaines de fichiers à trier/classer… Depuis nous utilisons les fonctionnalités des Google Groups pour gérer les accès, en attendant de tout migrer vers notre futur NextCloud en gestation (Quand on a démarré le projet il y a plus de 8 ans maintenant les fonctionnalités de NextCloud n’étaient pas du tout adaptées à nos usages, et migrer est un gros travail pour nous à bien préparer en amont). Nous sommes tout particulièrement attentifs aux fichiers pouvant contenir des données personnelles : on en crée le moins possible quand il n’y a pas d’autre solution, on les supprime quand ils deviennent inutiles, et les accès en sont aussi strictement que possible réservés aux personnes qui en ont besoin pour l’activité pour limiter tout risque éventuel de fuite. Ayons bien conscience que quand nombre de personnes se connectent et utilisent des fichiers depuis de nombreuses machines, et qui plus est de machines personnelles dont nous ne savons rien des conditions de sécurité dans lesquelles elles sont exploitées (qui y a accès, leur protection antivirus contre le hammeçonnage, etc), on cumule les risques (je ne parle même pas du mot de passe unique mentionné plus haut). Il est donc nécessaire de rappeler à tout le monde les règles de bases incontournables : les smartphones doivent être verrouillés par un mot de passe (ou id faciale), les ordis doivent se mettre en veille automatiquement avec nécessité d’utiliser un mot de passe pour les en sortir. Il faut aussi avoir absolument des mots de passe forts complexes (aujourd’hui au strict minimum 12 caractères, (en dessous c’est quasi inopérant, beaucoup plus c’est mieux). Le plus pragmatique étant d’utiliser un gestionnaire de mots de passe : il s’agit d’éviter rigoureusement de se communiquer des ID et mdp par le même canal, et de les conserver sur un post-it… Utiliser de préférence Firefox avec un mot de passe aussi pour n’accéder à des fichiers en ligne sensibles que depuis une session personnelle protégée. Ne perdons jamais de vue qu’un téléphone mobile ou un ordi portable peut être oublié, perdu, volé facilement, pour les ordis portables il est important d’utiliser le chiffrage du disque (opération complètement transparente à l’usage). Toutes ces petites dispositions ne sont rien de plus que de fermer à clé la porte derrière soi quand on quitte la maison. Si je me permets de rappeler ici toutes ces petites précautions, c’est parce que si elles paraissent évidentes et tombant sous le sens pour les personnes sensibilisées, elles sont souvent étrangères à beaucoup d’entre-nous et qu’il est courant de procrastiner sur ces questions (ça n’arrive qu’aux autres, et de toute manière ça me gonfle…) d’autant plus quand on n’en perçoit pas bien les risques et les enjeux. Il faut donc veiller à s’en parler, à identifier les personnes qui ne sont pas à l’aise avec les usages des outils communs et à les former à ces usages.
Merci beaucoup, Charles, de la Cagette, si vous le permettez, je pense reprendre certaines de vos recommandations pour les diffuser largement auprès de nos coopérateurs, après concertation avec notre groupe informatique. Toutefois, nous nous orientons de plus en plus vers un geste malveillant, en raison d’un historique qu’il ne serait pas pertinent ni intéressant à développer ici. Nous en sommes au stade décrit par Ikerb de Lyon, c’est à dire que nous commençons à partager nos données personne par personne et fichier par fichier.