Meetic vs Smartdate : les dessous techniques des sites de rencontre Comment garantir la sécurité d'un site de rencontre ?

Des grands sites de rencontre américains comme eharmony et plentyoffish se sont récemment fait pirater. Comment protégez- vous votre site ?

Smartdate : En interne, nos responsables de la sécurité n'ont en effet pas manqué d'analyser cette attaque. Sa simplicité n'a d'ailleurs pas manqué de les étonner, il est en effet surprenant que de tels grands sites soit si mal protégés

Nous avons donc une force opérationnelle dédiée à la sécurité et effectuons une veille concurrentielle minutieuse en la matière, mais nous ne réalisons pas d'audit. Si nous avons pu subir des attaques Ddos sur le service de tchat lorsque nous n'avions pas encore la redondance nécessaire, le problème est désormais résolu.

meetic indique que la sécurité est l'une de ses priorités.
Meetic indique que la sécurité est l'une de ses priorités. © Meetic / capture JDN

Meetic En matière de sécurité informatique, tout commence par un développement très rigoureux. Cela aurait pu éviter l'attaque par injection SQL qu'ont subi ces sites américains, ou plus exactement une sous partie de ces derniers. 

Nous faisons de notre côté en outre appel à des cabinets pour des audits réguliers et utilisons aussi les technologies Qualys pour assurer la sécurité de nos sites. Je précise que nous sommes aussi certifiés PCI DSS, ce qui nous oblige à suivre certaines bonnes pratiques et impacte donc aussi la sécurité globale du site.  

Comment gérez-vous la charge sur les infrastructures du site ?

Smartdate : Nous sommes hébergés chez Amazon via son service Cloud Amazon Web Service. Nous payons un abonnement pour un nombre fixe de serveurs, déterminé à l'avance, soit une trentaine de serveurs. Mais nous louons aussi certaines ressources complémentaires. Cette élasticité nous permet ainsi de faire face à nos montées en charge.

C'est aussi pour mieux répondre à cette problématique que nous sommes en train de changer de système de gestion de base de données. Nous utilisons MySQL mais nous sommes en train de migrer vers la technologie NoSQL qui devrait notamment nous permettre d'avoir une meilleure stabilité lors des montées en charge.

Traditionnellement notre approche était d'utiliser la même solution pour tous les problèmes, même si ce ne sont pas les meilleurs outils pour. Le mouvement NoSQL présente des alternatives qui sont de meilleures approches pour certains problèmes, notamment en termes de maintenance, de scalabilité, de disponibilité et de performance.

"L'offshore nous aide à appliquer des méthodes agiles." (Smartedate)

Ensuite, notre équipe en back end mène aussi plusieurs réflexions sur l'optimisation de l'utilisation des ressources ce qui nous a déjà permis de réduire les ressources nécessaire de 60%. Nous sommes aussi aidés par des sous traitant offshore, en Amérique du Sud, qui nous ont permis d'améliorer la gestion de notre base de données afin qu'elle supporte mieux les charges.

Il n'est pas rare que nous utilisions des sous traitants Ces prestataires n'ont généralement pas toute la responsabilité sur une fonctionnalité ou un process, il s'agit plus de partenariat. Leur rôle doit nous aider à améliorer des services existants. Ce sont des tandems très efficaces qui s'allient bien avec nos méthodes agiles. En effet, nous pouvons ainsi développer et avancer vite, puis solliciter un prestataire chargé de perfectionner le service.

Meetic Meetic compte près de 860 000 abonnés en Europe. Et chaque soir, plus de 100 000 personnes se connectent simultanément sur le site Meetic en France.

Compte tenu du nombre considérable de requêtes à traiter et de nos montées en charge, nous avons préféré opter pour la solution 11g d'Oracle. La solution MySQL est plus légère et plus agile mais sa scalabilité est plus limitée. En outre, MySQL est moins sécurisé, en gérant par exemple moins bien les points de reprise. Elle reste utile, mais elle ne peut être pas utiliser pour supporter toutes nos activités.

Afin d'optimiser notre architecture, nous avons aussi récemment consolidé notre matériel dédié avec la technologie de Fusion IO. Quant à notre hébergement, nous avons quant à nous 400 serveurs hébergés chez Colt et chez Level 3 dans deux datacenters, l'un au sud, l'autre au nord de Paris.