Règles du défi : Web Killer's.

Chaque élève qui participe doit :

  • Installer un serveur de page Web, avec la version 5 (ou plus récente) de PHP.
    • Sur ce serveur Web, un espace Web sera créé pour chaque participant au défi. A priori, cet espace Web devrait seulement servir à faire quelques "expérimentations PHP".
    • Le choix du logiciel (Apache, IIS, etc.) est à la libre apréciation du participant, de même que le choix du système d'exploitation qui héberge ce serveur (Windows 2000, Windows Server 2003, Linux, etc.).

  • Installer un serveur FTP.
    • Sur ce serveur FTP, un compte sera créé pour chacun des participants au défi.
    • Le compte FTP devra autoriser un accès en lecture et écriture à l'espace Web de l'utilisateur.
    • Le choix du logiciel serveur est libre (TypSoft FTP Serveur, Filezilla Serveur, etc.).

  • Installer un serveur MySQL, en version 5 (ou plus récente) :
    • Sur ce serveur MySQL, un compte sera créé pour chaque participant au défi.
    • Ce compte possèdera au moins une base de données (on peut éventuellement limiter à une seule base par compte, donc empêcher les utilisateurs de créer des bases supplémentaires).
    • On pourra se connecter au compte MySQL à partir de PHP.

  • Installer l'application PHPMyAdmin, de façon à ce que chacun puisse gérer sa base de données.

  • Ces trois serveurs doivent offrir le maximum de disponibilité, et les ressources qu'ils contiennent ne doivent pas être détruites. Pour mesurer cette qualité de service, un robot logiciel développé par le prof testera régulièrement les éléments suivants :
    • est-ce que le port 80 (HTTP) répond ?
    • est-ce que le port 21 (FTP) répond ?
    • est-ce que le port 3306 (MySQL) répond ?
    • est-ce que les fichiers placés à la racine de l'espace Web de l'utilisateur spastore n'ont subi aucune altération ?
    • est-ce que la base de données de l'utilisateur spastore n'a subi aucune altération ?

  • Si les ports par défaut ne sont pas utilisables (par exemple si plusieurs participants partagent la même adresse IP publique parce qu'ils habitent ensembles, ou s'il y a déjà un serveur Web en production sur la machine), le participant peut choisir d'autres ports, il doit alors en informer le prof qui retransmettra l'information aux autres participants.

  • Attention : un serveur utilisé pour d'autres services (serveur de jeu, serveur UltraVNC, etc.) pourra se faire attaquer sur ces autres services.

  • Cette disponibilité devrait être assurée 24h/24. Toutefois, nous pourrons décider d'un créneau horaire plus restreint, pour éviter à chacun de devoir laisser son ordinateur allumé en permanence.
    Note pour 2009-10 : le créneau horaire choisi est 20 heures à 22 heures, 7 jours sur 7.

  • Les résultats de ces mesures seront, autant que possible, mises à disposition de tous, 24 heures sur 24. Cela signifie que les mesures seront effectuées et affichées en permanence (24h/24), mais elles ne seront comptabilisées (pour le classement final) que pendant le créneau horaire indiqué ci-dessus.

  • Les participants devront trasmettre au prof les informations nécessaires à la mise en place du défi, notamment : l'adresse IP du serveur, le chemin d'accès aux espaces Web de chacun, etc. Le prof demandera ces informations en temps voulu, vous n'avez pas à vous préoccuper de ça pour l'instant.
    Note pour 2009-10 : vous devez commencer à envoyerpar mail (spastore2@free.fr) toutes ces informations.

  • Chaque participant a le droit de faire des attaques à volonté pour essayer de rendre indisponible les serveurs des autres participants. Tous les moyens sont bons sauf dégrader physiquement le matériel du participant (et le participant lui-même). Sont autorisées notamment :
    • attaques de DOS (Deny Of Service)
    • attaques à partir du code PHP
    • attaques à partir des requêtes SQL, ou de SQL Injection
    • saoûler l'administrateur pour lui soutirer le mot de passe de son serveur
    • couper l'électricité du quartier pour diminuer la disponibilité
    • etc.

  • Si certains habitent ensemble, ils ont le choix :
    • soit d'avoir chacun leur serveur, ils s'engagent alors à ne pas s'attaquer mutuellement,
    • soit d'avoir un même serveur pour deux administrateurs, ils auront alors la même note.

  • Dans un objectif pédagogique, un participant qui aura mené une attaque devra obligatoirement, si le prof le demande, expliquer à tous les autres comment il s'y est pris. Cela permettra à chacun de se rendre compte des failles de sécurité qui existent, et de réfléchir à la façon de s'en prémunir.

  • Pour 2009-10, les mesures de disponibilités s'étaleront du 10 janvier à fin avril (avec une période blanche de quelques jours pour commencer). On arrête à cette date pour que vous puissiez vous consacrez aux révisions des écrits du BTS. Le classement définitif sera établi et annoncé dimanche 29 avril.

  • A la fin de l'année scolaire, le défi donnera lieu à une note :
    • Celui qui aura le meilleur taux de disponibilité aura 20/20.
    • Celui qui a une disponibilité moins bonne aura 19/20, puis 18/20, et ainsi de suite.
    • Cette note dégressive implique que s'il n'y a que n participants, la plus mauvaise note sera 20 - (n - 1). Par exemple pour 5 participants, la plus mauvaise note sera 16/20.
    • Cette note comptera pour la moyenne du deuxième semestre, avec un coefficient deux fois moindre qu'une interro.

  • Un participant a le droit de se retirer du défi au plus tard le 15 mars (envoyer un courrier au prof) s'il estime que c'est incompatible avec le bon fonctionnement de son réseau informatique personnel. Mais dans ce cas, il n'aura pas du tout de note et il n'a plus le droit d'attaquer les autres.

  • Ceux qui ne participent pas au défi n'ont pas le droit de mener des attaques contre ceux qui y participent, c'est puni par la loi.

Sébastien PASTORE.
Page exécutée en 0.01 seconde