Dec 17, 2018
167 Vues
0 0

Sécurisation de site …. ne passez pas à coté !

Ecrit par

Si vous n’avez pas penser à sécuriser un site (le votre) c’est le moment !

Dans de nombreux cas c’est la vitrine de votre entreprise sur le web. Un lien fort entre vos clients et votre pme qui participe à l’image et la notoriété de votre marque.
C’est aussi un élément sensible de sécurité car par définition, un site web est un serveur public. N’importe qui dans le monde peut y accéder, y compris les hackers, il y a donc des chances que vous subissiez des tentatives de piratage et …. Que vous ne le sachiez pas ! 

Un acte simple ► le piratage d’un serveur web 

Il faut savoir qu’il n’y a rien de parfaitement sécurisé, les technologies évoluant, il existe toujours des trous de sécurité dans la plupart dans système nécessaire pour rendre accessible un site.
D’ailleurs certains logiciels de piratage (outil qui peut détecter plusieurs centaines de failles) sont dédiés à la recherche de ce type de failles.
Un simple scanne de tout ou partie des adresses IP d’Internet permet de trouver des « brèches », « des portes ouvertes » dans les serveurs web et l’affaire est presque faite  !

La faille une fois trouvée, on applique une méthode pour accéder aux fichiers stockés sur le disque dur du serveur web. (pour être technique injection SQL, de l’inclusion de fichier, de l’intrusion FTP, de l’intrusion du service web, de l’URL poisoning, etc.)

Alors étant donné que des scanners de failles tournent en permanence sur Internet, il faut bien comprendre que si votre site web comporte une porte ouverte non-sécurisé, elle sera trouvée et exploitée rapidement !
Ce qui n’est pas rassurant … sécuriser un site s’avère donc vital pour la survit de votre ets.

Ce qui a changé et ce dont vous devriez avoir peur !

Depuis quelques années, les pirates informatiques qui s’attaquent aux sites web ont changé de comportement. Ils ne modifient plus les pages web en signant leur réalisation (defacing en anglais). Au contraire, ils ont tendance à rester le plus invisible possible sur le site afin d’y rester le plus longtemps possible.

Là je vous sens un peu perplexe, car si la lecture de cet article n’était pas une priorité, vous commencer à vous sentir plus concerné.

Comment font-ils pour rester invisible ?

Sur la globalité des infections de sites web, deux grands types d’infection ressortent :

  • La modification des pages web : Elle est invisible en terme de rendu. Elle est elle même constituée de deux types de modifications :
  • L’ajout d’un iframe pointant vers un site web hostile, contrôlé par le pirate.
  • L’ajout d’un Javascript hostile.
  • Le dépôt d’un fichier hostile sur le serveur.

Il faudra donc ici êtes attentif à quelques éléments qui peuvent vous mettre la puce à l’oreille et vous alerter que votre site vient d’être hacker.

Modification de l’affichage, ralentissement de la vitesse de votre site, augmentation de trafic subitement, requêtes en augmentation de la base de données ou encore commande de votre tableau de bords inaccessibles… autant d’indication qui peuvent souvent éviter le pire.

A grande échelle parfois c’est pire !

On se souvient du piratage en  2016 des sites extraconjuguales  Asley Madison et aussi AdultFriendFinder (une communauté mondial de sexe échangiste) ou le pirates à divulgué l’identité de plusieurs millions de membres ….

Mais aussi Facebook avec ces 15 millions de profils ( on fiat été de 50 millions au total)…et leurs données utilisés pour on ne sait quoi …

Ça sert à quoi, quel est l’objectif visé par le pirate ?

Et surtout pourquoi dépenser autant d’énergie pour modifier les pages web d’un serveur ou y déposer un fichier ?

L’argent, l’intérêt financier, en effet si un hacker peut lancer des requètes sur un site web, il peut voir le contenu des fichiers, accéder à la base de données et souvent accéder au mot de passe d’accès de la base de données qui est …. “en clair”

D’expérience, nous savons que dans certains cas, des entreprises stockent souvent des données sensibles en clairs (mots de passe de leurs clients ou fournisseurs, devis, des demandes de contact, des listes de personnes, et même des numéros de cartes bancaires… )

Des informations qui ont une valeur pécuniaire, surtout vis-à-vis de la concurrence.
L’autre intérêt est d’avoir “sous la main” une multitude de serveurs web dont on exploitera la puissance (CPU ou la bande passante) pour faire quoi ? Du cracking de mot de passe ! En clair on utilise vos ressources pour pirater ! Ce qui aboutit souvent à saturer le serveur.

Elle peut aussi être utilisée par l’exécution d’un scanner de failles web pour couvrir une autre grande part des adresses IP d’Internet, et ainsi, couvrir plus rapidement la totalité des adresses IP qui composent Internet.

Juste en passant la responsabilité du propriétaire du site attaquant est engagée… vous êtes donc complice de l’acte de piraterie.

Ne pas avoir un site sécuriser … les conséquences

securiser-un-site-piratageDans la majorité des cas si votre site est détecté comme piraté, votre site sera rétrogradé
S’il ne l’ai pas, cet avertissement flagrant aura un impact flagrant sur les résultats de la recherche et sur votre trafic. Les gens vont, à juste titre, se garder de visiter votre domaine.

Pire encore, vous ne le verrez probablement pas venir parce que vous étiez à peine conscient de ce qui se passait.Aussi, pendant que vous travaillez sans relâche à la construction d’une entreprise dynamique, rappelez-vous que les cybercriminels travaillent d’arrache-pied pour y accéder. C’est leur métier après tout.
La dernière chose que vous souhaitiez pour votre présence en ligne est le spamvertizing, des liens vers du contenu spam, comme des médicament ou produits ilicite ou encore Air Jordans, ou pire encore, que vos informations personnelles ou celles de vos clients soient exposées au reste du monde. .
Ici c’était la mauvaise nouvelle, la bonne nouvelle est que vous pouvez faire quelque chose aujourd’hui à ce sujet.(voir à la fin de l’article)

Les conséquence peuvent être aussi principalement financières, mais comment calculer l’impact de ce type d’incident ?

  • Quel est le coût d’un vol des informations sensibles qui seraient hébergées sur votre site web et quel est le coût si ces mêmes informations sont transmises à la concurrence ?
  • Quel est le coût de se voir blacklisté par Google ?
  • Quelle est la répercussion en termes d’image pour vous ou votre entreprise si votre site web est utilisé à des fins illégales ?
  • Quel est le coût d’une bande passante saturée lors d’un déni de service effectué à partir de votre serveur web ?
  • Quel est le coût de voir son site web fermé par l’hébergeur pour cause de non-respect des conditions générales de vente ?

En fait, il y a d’autres conséquences directes :

  • Au delà de l’aspect purement financier, si vous êtes propriétaire d’un site web, votre responsabilité peut être engagée en cas de litige. Par exemple, même si c’est à votre insu, si vous divulguez des malwares via votre site web, ou si vous perpétrez des attaques vers d’autres cibles.
  • Si vous êtes un internaute, vous pouvez être infecté par un malware sur votre poste de travail, de façon transparente, sans vous en rendre compte, par le simple fait de visiter le site web piraté.
  • Bien souvent vous n’avez pas de sauvegarde et vous perdez tout votre contenu … Quand on pense à l’investissement que représente la création d’un site, il est dangereux de rester approximatif sur cela. Pensez au temps que vous avez investi pour cela !

Comment se protéger avec le plus d’efficacité possible de cette menace ?

Sécuriser un site en gardant vos serveurs web à jour

Tout serveur web doit être impérativement à jour. Cela parait évident et simple au premier abord, mais quand on regarde de plus près, c’est un peu plus compliqué que cela. En effet, pour être efficace, il faut mettre à jour :

  • Le système d’exploitation
  • Le service Web (Apache, IIS, etc)
  • Les briques logicielles du serveur web (PHP, MySQL, et toutes les extensions utilisées par le service web)
  • etc ….

Lorsqu’un logiciel /CMS est utilisé pour la publication de contenu, il est souvent modifié pour coller au besoin de fonctionnalité, ou d’esthétisme. C’est d’autant plus tentant si l’applicatif web est open source (worpress par exemple).

Cependant, non seulement les modifications peuvent engendrer de nouvelles failles de sécurité (les mise à jour par exemple de théme ou de plugins) , mais en plus cela complexifie énormément la maintenance du logiciel !

Par exemple, comment mettre a jour une nouvelle version de Joomla lorsqu’une page PHP sur trois à été modifiée ?

Cerise sur le gâteau si vous êtes en hébergement mutualisé cela ne sera pas possible car vous n’avez pas la main sur tout cela ! (si vous l’avez il faudra des compétences techniques)

Installez quand c’est possible un plugin de sécurité

Installer quand c’est possible un plugin de sécurité, pour wordpress il en existe des tas secuPress, Wordfence,Sucuri etc …

Installez un antivirus

On ne le dira jamais assez :

J’imagine que vous avez un anti-virus sur votre poste de travail (que vous soyez sous Windows ou sous Mac) alors pourquoi n’en auriez-vous pas pour vos serveurs, votre site ?
Nous entendons souvent dire “Notre serveur web ne craint pas les virus, il est sous Linux (ou Mac OS)”. Sauf qu’avec un serveur Linux ou Mac OS, il est possible de propager des malwares pour le système d’exploitation Windows…

Optez pour un hébergement de qualité et réactif

securiser-un-siteIci il n’y a pas photos, bien souvent comme pour la sécurité, tant que vous n’êtes pas au pieds du mur vous ne vous en souciez pas.

En matière d’hébergement c’est la même chose, tant que tout va bien, vous vous vanterez d’avoir un superbe hébergement et dés que des problèmes apparaîtront  vous vous apercevez que ça n’est pas vraiment ça ….

Un simple test pour juger de la qualité de votre hébergement, envoyer leur un simple message de support en prétextant que votre site est lent.

Juger ensuite de la rapidité de leur réponse, dans l’heure ► extra, dans la journée ► pas si mal, Plus de 48 h ► changez d’hébergement !

Pour vous évitez de chercher un hébergement sur la pente montante  Planethoster  un des meilleurs rapport qualité-prix actuel

Vous voulez avoir plus d’informations concernant la sécurité de votre site ?  Voici une offre limité dans le temps,  celle réservé habituellement aux grosses entreprises  …. mais enfin accessible au PMe

Cliquez ici pour   Voir si c’est encore dispo ► 


Catégories d'articles :
Sécurisation de site PME
Découvrez la SEULE méthode efficace qui a fait ses preuves. Si vous avez des objectifs et des aspirations, que vous avez essayé de plusieurs méthodes sans résultats.
Découvrez comment utiliser "Kaizen" pour transformer complètement votre vie.
Rendez-vous sur cette adresse "Kaizen, de petits changement pour obtenir des résultats"pub-1% meilleur chaque jour

Leave a Reply

Your email address will not be published. Required fields are marked *

4 × quatre =