Sécurisation du serveur cloud Landinux — Mars 2026

Botnet Attack
30 mars 2026Technique, , ,
Entre attaques mondiales et résistance numérique


Serveur kane.landinux.lan

1. Introduction — Le contexte

Depuis le 27 mars 2026, le serveur qui héberge le cloud de l’association Landinux a subi plusieurs vagues d’attaques automatisées. Ces incidents ont provoqué des interruptions de service, parfois de 5 à 10 minutes, détectées par notre système de surveillance (UptimeRobot).

Ce rapport fait suite au traitement des incidents du 27 mars et rend compte des nouvelles mesures de sécurité déployées le 30 mars 2026.
Son but est d’expliquer, sans jargon technique, ce qui s’est passé, pourquoi, et ce que cela nous dit de l’état d’Internet aujourd’hui.

2. Internet : un réseau mondial… de moins en moins

À ses débuts, dans les années 1970-1990, Internet a été conçu comme un réseau universel, ouvert, décentralisé : n’importe quel ordinateur, n’importe où dans le monde, devait pouvoir communiquer avec n’importe quel autre. C’était une utopie technologique portée par des valeurs de partage et d’égalité d’accès.

Cette vision est aujourd’hui mise à rude épreuve. Les études les plus récentes estiment qu’entre 40 % et 70 % du trafic mondial sur Internet est généré non par des humains, mais par des programmes automatisés — des « robots » (ou « bots »). Une large part de ces robots n’a pas des intentions bienveillantes : ils cherchent des failles, testent des mots de passe, saturent des serveurs.

Un petit serveur associatif comme celui de Landinux est exposé exactement de la même façon qu’un grand site commercial — sans avoir les mêmes ressources pour se défendre.

3. Les menaces concrètes rencontrées

Des connexions abusives depuis le Brésil

Le 30 mars 2026, l’analyse du trafic réseau a révélé un grand nombre de connexions provenant d’adresses IP brésiliennes. Ces connexions n’étaient pas le fait d’utilisateurs brésiliens cherchant à accéder au cloud Landinux — l’association n’a pas d’utilisateurs au Brésil. Il s’agissait très probablement d’un botnet : un réseau de machines infectées, pilotées à distance, qui sondent automatiquement des milliers de serveurs à la recherche de vulnérabilités.

Ces connexions ne « font » rien de visible, mais elles occupent les ressources du serveur comme des fantômes qui bloqueraient les entrées d’un magasin sans jamais acheter quoi que ce soit.

Le gel de l’interface d’administration

Le symptôme le plus pénible pour l’administrateur : l’outil qui permet d’administrer le serveur à distance se « gelait » — plusieurs secondes, parfois des dizaines de secondes sans réponse.

Imaginez essayer de réparer une fuite d’eau chez quelqu’un, mais chaque fois que vous voulez utiliser votre clé anglaise, elle reste bloquée dans votre main pendant 30 secondes avant d’obéir.

C’est exactement la situation : le serveur est surchargé, et l’outil même qui permettrait de le réparer devient inutilisable. L’administrateur doit prendre des décisions critiques dans un environnement dégradé, sans visibilité complète, parfois en pleine nuit.

4. Les protections mises en place

Le pare-feu géographique (restriction GeoIP)

La mesure la plus structurante déployée ce 30 mars : le serveur n’accepte désormais de connexions que depuis des adresses IP situées en Europe de l’Ouest (France, Royaume-Uni, Allemagne, Suisse, pays scandinaves, et les diverses principautés européennes).

C’est comme installer une porte d’entrée qui reconnaît l’origine géographique des visiteurs. Un utilisateur venant de France, de Belgique ou de Suisse peut frapper et entrer. Une connexion venant du Brésil, de Chine ou des États-Unis se voit opposer une porte close — automatiquement, sans même que le serveur ait besoin d’analyser sa demande.

Cette liste est mise à jour automatiquement chaque mois pour tenir compte de l’évolution des blocs d’adresses IP mondiaux.

fail2ban — Le videur automatique

fail2ban est un programme qui surveille les journaux d’activité du serveur. Lorsqu’une adresse IP tente de se connecter avec un mauvais identifiant plusieurs fois de suite (4 tentatives en 12 heures), elle est automatiquement bannie pour 24 heures.

Imaginez un videur à l’entrée d’une boîte de nuit : il laisse passer les habitués, mais si quelqu’un essaie plusieurs fois de se présenter avec un faux billet, il est inscrit sur la liste noire pour la soirée — et même au-delà.

Les adresses IP de secours

Avant d’activer le filtrage géographique, deux adresses IP de confiance ont été inscrites dans une liste d’accès permanente et inconditionnelle. Même si le filtrage venait à mal fonctionner, ou si l’administrateur se connectait depuis un endroit inhabituel hors d’Europe, ces adresses garantissent un accès de secours.

C’est le double des clés de la maison, déposé chez un voisin de confiance — une précaution élémentaire avant de changer toutes les serrures.

5. Le métier d’administrateur systèmes & réseaux aujourd’hui

Ce que les utilisateurs perçoivent : le service fonctionne, ou il ne fonctionne pas. Ce qu’ils ne voient pas : les dizaines de milliers de tentatives d’intrusion quotidiennes, les alertes à 3h du matin, les décisions prises seul face à un serveur qui ne répond plus.

L’administrateur systèmes et réseaux d’aujourd’hui est un peu comme le gardien d’un immeuble ouvert au public, assailli en permanence par des inconnus qui essaient d’en forcer les portes — non par malveillance personnelle, mais parce que des programmes automatisés font cela en continu, partout dans le monde, 24h/24.

Ce métier exige :

  • Une veille permanente sur les nouvelles menaces et vulnérabilités
  • Une capacité à diagnostiquer sous pression, avec des outils dégradés
  • Des choix cornéliens : ouvrir ou fermer, bloquer ou risquer
  • Une solitude technique face à des décisions qui affectent tous les utilisateurs

L’auto-hébergement associatif, comme celui pratiqué par Landinux, ajoute une dimension supplémentaire : il n’y a pas d’équipe de sécurité, pas de hotline, pas de budget dédié. Juste un engagement bénévole face à des adversaires automatisés et mondiaux.

6. La Splinternet — quand Internet se fragmente

Ce que nous avons mis en place — bloquer des pays entiers — est techniquement identique à ce que font certains États pour censurer l’accès à Internet. La différence est fondamentale dans l’intention : nous nous défendons contre des attaques. Mais ce parallèle invite à une réflexion plus large.

Internet est en train de se fragmenter. Ce phénomène a un nom : la Splinternet (contraction de split — division — et Internet). → Lire l’article Wikipédia

Les grandes fractures

  • La Chine a construit le « Grand Firewall », un Internet parallèle quasi hermétique, coupé des réseaux mondiaux.
  • La Russie a déployé depuis 2019 une infrastructure permettant d’isoler son réseau national (le « RuNet ») du reste du monde en cas de crise.
  • L’Iran et la Corée du Nord fonctionnent pratiquement en intranet national.
  • L’Union Européenne, par ses réglementations (RGPD, DSA, DMA), crée une fragmentation juridique : certains services sont disponibles différemment selon le pays.
  • Les GAFAM fragmentent eux-mêmes le réseau par leurs pratiques de géolocalisation, leurs licences territoriales, et leurs décisions unilatérales de bloquer ou modifier des contenus selon les pays.

Les voix d’alarme

Les pères fondateurs d’Internet tirent la sonnette d’alarme depuis plusieurs années.

Vint Cerf, co-inventeur du protocole TCP/IP — la « langue » qu’utilisent toutes les machines connectées à Internet — a déclaré à de multiples reprises que la fragmentation d’Internet constitue une menace existentielle pour les valeurs qui ont présidé à sa création : l’universalité, l’interopérabilité, la liberté de communication.

Nous devons défendre la liberté sur Internet, par Vinton Cerf — Le Monde

Tim Berners-Lee, inventeur du World Wide Web, défend chaque année l’idée d’un « Contract for the Web » — un contrat mondial pour préserver Internet comme bien commun de l’humanité. Il voit dans sa fragmentation le signe d’un détournement par des intérêts privés et étatiques.

Contract for the Web — Web Foundation

Ce que nous faisons sur notre petit serveur est une réponse défensive à cette réalité. Mais elle illustre bien que l’Internet « universel et neutre » des origines n’existe plus vraiment : chaque nœud du réseau doit désormais se défendre.

7. Conclusion — Résister par l’auto-hébergement

Face à ces défis, l’association Landinux fait un choix politique autant que technique : héberger elle-même ses services, ne pas confier les données de ses membres aux grandes plateformes commerciales, et maintenir une infrastructure numérique indépendante.

Ce choix s’inscrit dans un mouvement plus large, porté notamment par le collectif CHATONS (Collectif des Hébergeurs Alternatifs, Transparents, Ouverts, Neutres et Solidaires), qui regroupe des structures associatives et indépendantes proposant des alternatives éthiques aux services des GAFAM. Landinux envisage sérieusement de rejoindre ce collectif — une démarche qui renforcerait sa visibilité et son ancrage dans un réseau de valeurs partagées.

Auto-héberger un service en 2026, c’est accepter la complexité et la charge que cela représente. C’est aussi affirmer que les données des utilisateurs méritent mieux que d’alimenter les modèles économiques des géants du numérique. C’est, à son échelle, contribuer à maintenir vivante la vision originelle d’Internet : un réseau au service des humains, pas l’inverse.

Sources et références

Rédigé le 30 mars 2026 avec l’aide de Claude Code (Assistant IA)

Agenda

  • Pas d'actions prévues

Actualités