L214 : une boucherie organisationnelle et technique en interne ?

Site non sécurisé, mauvaise utilisation des dons des adhérents, protection des données personnelles non garantie, management brutal…

Faire et défaire, c'est toujours travailler... Cela pourrait être la devise du responsable de l'infrastructure de l'association L214. Depuis 2016, un projet de mise à niveau du site est régulièrement arrêté puis relancé et rien n'avance. En attendant, la sécurité des sites est mise en danger. Analyse de la situation…

L214. Le nom fait frémir les éleveurs. L’association de défense des animaux, connue pour ses films en caméra cachée révélant les mauvais traitements infligés aux animaux s’est faite connaître par la diffusion d’images crues sur les souffrances animales, notamment dans les abattoirs. Son travail utile et très largement médiatisé lui a permis de fédérer pratiquement 50.000 membres et d’engranger environ 5,9 millions d’euros de dons en 2020. Elle emploie quelque 75 personnes et annonce une égalité salariale pour tous. Un vrai parangon de vertu. Il y a tout de même quelques ombres au tableau. Mediapart, Causette ou Loopsider ont enquêté par le passé sur des accusations de violences morales ou sexuelles. Il y a quelques jours, Arrêt sur Image mettait en lumière dans deux articles (ici et là) les liens très (trop ?) étroits entre certains journalistes et l’association. Des journalistes se faisant écrire leurs textes par l’association, d’autres relisant avant publication les communiqués de presse de L214… Certains médias comme Brut ou Kombini fabriquant même des sujets sur la base d’images sélectionnées par L214, l’association demandant une supervision de la vidéo avant diffusion… Reflets s’est intéressé aux sites Web de L214. Un détail purement technique peut, comme dans toute entité, association ou entreprise, devenir un sujet de bon ou mauvais emploi des ressources et révéler des pratiques managériales discutables.

Si les revenus de L214 reposent à 90% sur les dons et seulement 10% des ventes de produits dérivés, notamment via la boutique, la présence en ligne de l’association est essentielle en termes de notoriété et donc de retombées financières indirectes. L’état de ses sites que l’on imagine à la pointe de la technologie laisse donc perplexe.

Un CMS qui n'est plus maintenu depuis 2016

Le site L214.com repose sur un content management system (CMS) bien connu : Drupal. Actuellement en version 9(.3.6), Drupal est un système de mise en ligne et de gestion des contenus du même type que Wordpress. Les CMS facilitent la mise en forme des pages Web, la gestion des rôles des utilisateurs sur les sites, mais dans le même temps, doivent être tenus à jour. Leur grande notoriété et leur utilisation massive en font des cibles de choix en termes de sécurité informatique. Des failles sont découvertes très régulièrement et les mises à jour nombreuses. Si l’on peut admettre que certaines mises à jour soient décalées dans le temps pour de nombreuses raisons, d'autres sont incontournables. En tout état de cause, il est quasiment suicidaire en termes de sécurité informatique de ne pas suivre les grandes montées de version, sur Drupal comme sur Wordpress. Or le site L214 tourne toujours avec une version 6 de Drupal, une version qui n’est plus maintenue depuis 2016. Il y a donc très probablement de très nombreuses failles recensées qui n’ont pas été patchées sur le site de L214. En outre, si le site accueille des modules avec des développements spécifiques reposant sur une infrastructure aussi ancienne, il est quasiment certain que cela ouvre des failles de sécurité supplémentaires. Pour se « protéger » des attaques, L214 se cache derrière Cloudfare. Sauf que Cloudflare tout aussi pratique soit-il, ne prémunit pas des failles du CMS ou plus globalement d'erreurs de programmation ou de configuration. Il suffirait à un attaquant de « viser » directement l’IP du serveur réel, hébergé chez Gandi, pour parvenir à ses fins.

Tout cela ne serait pas très important si le site n’hébergeait pas des données personnelles, les plaçant ainsi dans une situation de risque permanent. Notamment, les personnes qui souhaitent faire un don ou un legs à l’association, interrogent souvent cette dernière via le site. Ces informations sont stockées en base de données. Un piratage aurait donc de sérieuses conséquences en matière de données personnelles. « Oui, c’est vrai, mais cela va changer et cela représente peu de données », confirme Florent Ourth, responsable des équipes informatiques.

Pourquoi l’association ne met-elle pas à jour son infrastructure ? Selon des documents internes auxquels Reflets a eu accès, Florent Ourth a bien fait travailler des salariés et des bénévoles sur le projet de migration de Drupal 6 vers Drupal 8. Ce qui n’est d’ailleurs pas une affaire très simple. Ces projets ont été menés à bien parfois sur de longues périodes. Le code produit a même été audité par une société extérieure, pour valider le travail fourni. Et… Et rien. A chaque fois, Florent Ourth relance le projet, avec de nouvelles personnes, celles qui ont travaillé avant sont priées de migrer ailleurs. C’est un peu comme si un gouvernement faisait travailler des cabinets de consultants pour définir la marche de l’État, puis enterrait les rapports des consultants. On aurait vite fait de penser que l’argent du contribuable est mal employé. Dans le cas de L214, c'est de l’argent des donateurs qu'il s'agit.

L214 ne découvre pas par hasard, et surtout des années plus tard, que ses sites tournent sur un Drupal qui n’est même plus maintenu. En 2016 déjà, un membre de l’équipe Web explique dans un mail que « ce site fonctionne sous Drupal 6 qui n'est plus maintenu (trop vieux) et donc risque de poser des problèmes de sécurité ». S’il ne parle pas dans ce cas précis d’un site de l’association, il valide le fait que Drupal 6 pose, déjà à cette époque, des problèmes de sécurité, cela s’appliquant de fait aux sites de L214. Un autre salarié souligne en 2016 dans un mail que Reflets a pu consulter, que la migration est une priorité : « faire avancer le passage vers Drupal 8 est important, au point d'en faire une priorité pendant ces prochaines semaines ».

En 2017, un salarié qui sera lui aussi prié de migrer ailleurs, a réalisé le travail nécessaire à la migration en dépit des allers-retours décisionnels de Florent Outh. Ce dernier expliquait en juin 2017 : « Bien au contraire rester sur D6 est la chose la plus efficace qu'on puisse faire actuellement. ». Pire, il s’interroge sur l’intérêt d’une migration : « Ça apporterait quoi vraiment à nos utilisateurs ? Le site est grand, plein de complexité, bourré de contenus alors on l'améliore, on le consolide, on lui ajoute des fonctionnalités mais par pitié pas de migration ! » Qu'est-ce qu'une mise à niveau apporterait aux visiteurs ? La sécurité de leurs données peut-être ? En septembre, nouveau changement de position, Florent Ourth annonce la migration pour la fin octobre.

Et fin octobre, il se met en tête de commander un audit du code produit par son salarié à la société Makina Corpus. Cette dernière produit un rapport tout à fait favorable à la migration : « La qualité du code est de façon globale très bonne, et la majorité des indications de ce document sont pour viser une qualité optimale, mais en l’état, nous ne détectons pas de point technique majeur à corriger. Il n’y a aujourd’hui aucune alerte sur le code existant, qui semble vraiment respecter les bonnes pratiques. Rien ne s’oppose à envisager sereinement la migration sous Drupal 8. » C’est parti pour une migration ?

Objectif migration... Ou pas

Pas du tout. Fin 2017, après 18 mois de CDD, le développeur qui avait réalisé tout le travail pour la migration, et après que son code ait été validé par une société extérieure pour une somme de 2.000 euros, est prié de migrer en dehors de L214. Pas de CDI possible. Mais il restera employé comme « indépendant ».

Ainsi en avril 2018 , son retour est annoncé dans une lettre de communication interne : « Nicolas P. rejoint à nouveau la team web pour 3 semaines sur la migration D6-D8 : objectif, migration fin mai ! ». La migration est à nouveau dans les tuyaux.

Las ! fin 2018, Nicolas P. est définitivement rayé des listes. Et la migration n’est plus une priorité d’autant que deux nouveaux développeurs n’ayant pas les compétences vont s’atteler, peut-être, doucement, au problème qui n’est pas une « priorité » comme l’un d’eux l’explique dans un courriel à un salarié de L214 qui aimerait bien avoir une fonctionnalité sur le site lui facilitant la vie, mais nécessitant la migration : « On doit tout migrer à D8. Et on coince à la fois en compétences et en temps sur cette migration. L’idée était que Pierre et moi nous y mettions avant la fin de l’année. Pierre se forme à Drupal 8 pour monter en compétences. Et perso, j’ai manqué́ de temps. [...] Je ne peux pas trop de donner de délai, car je sais qu’on ne le respectera pas :(mais disons que 3-6 mois me paraissent raisonnables. »

Patatras, en avril 2019, Florent Outh ne sait plus du tout ce qu’il va faire avec le site de l’association. Sa priorité ? Mettre en ligne le nouvel habillage du site, pas du tout de solidifier les fondations : « d'autant plus qu'on n'a pas encore une vision claire de ce ça va devenir (migration sur Drupal 8, passage à WordPress ou rester sur Drupal 6) ». Il est vrai qu’à cette date, depuis quatre ans, son cœur balance beaucoup... L’un des salariés, Pierre, qui devait « se former » à Drupal est d’ailleurs prié de migrer ailleurs en avril 2020. Une lettre d’information interne annonce que son contrat ne sera pas converti en CDI.

L’association a-t-elle fait le bilan financier de tous ces allers-retours, de ces embauches, de ces départs, de ces pertes de connaissances ? « Ce travail sur la migration vers Drupal 8 a bloqué les évolutions du site pendant un an. On a fini par abandonner. Depuis deux ans, plein de choses passent sous Wordpress. Les deux CMS pointent vers la même URL. L’audit dont vous parlez, c’était juste un audit sur la direction que l’on prenait. Pour être sûrs que l'on allait pas dans le mur avec notre projet. Après, on ne pouvait pas migrer par ce qu’il y avait toujours quelque chose qui clochait », précise à Reflets Florent Ourth.

Le contenu de l’audit dit au contraire que tout le code nécessaire à la migration était hébergé sur des dépôts GIT, qu’il a été audité et que la migration était possible. « On a des backups et on pourrait s’en remettre, si cela arrivait, je serai sur le pont », explique Florent Ourth, lorsque l’on évoque un possible piratage et une fuite des données personnelles des visiteurs du site. Difficile de lui faire admettre que si l’on se veut très vertueux dans ses combats en tant qu’association de défense de la cause animale, on devrait aussi l’être dans la défense des données personnelles des sympathisants. Et donc de tout faire pour les protéger. « Il n’y a quasiment pas de données dans la base de données du Drupal, tout est ailleurs, par exemple pour les dons, les pétitions et les newsletters », martèle-t-il.

Plusieurs sites de l’association tournent désormais sous Wordpress, comme improved-food.com. Ce dernier présente cependant des défauts triviaux d’installation. Ce n’est toutefois pas le cas de la partie Wordpress de L214.com.

En tout, toutes technologies confondues, sans viser l'exhaustivité, Reflets a compté 8 sites vulnérables.

L214 ne semble pas faire grand cas des informations qui lui sont confiées par ses sympathisants, sans quoi elle aurait procédé à cette migration pour protéger, par exemple, les messages laissés par les visiteurs soucieux de faire un don ou un legs. Plus généralement et au-delà de cela, L214 est terriblement fan des outils des GAFAM, ce qui n’est pas un gage de volonté de protéger les données personnelles des visiteurs. On l’a vu, le site est protégé par Cloudfare. Les données des visiteurs migrent donc aux États-Unis. Mais ce n’est pas tout. Les équipes utilisent Google pour le mail et les mailing-list de travail ou pour leur intranet. En octobre 2020, la lettre interne fait le point sur le RGPD. L214 indique alors que l’une des « règles d’or » est de sécuriser les données. Il faudrait sans doute en toucher un mot à Florent Ourth…