Depuis que nous avons mis en place une sorte de caméra de sécurité virtuelle (en prévention) sur notre serveur, nous mesurons encore plus l’importance de sécuriser nos sites web en général. Cela nous a permis d’abord de dresser le constat suivant et de notre expérience vous préconiser quelques recommandations:
Constats
1°) Nos sites web sont quotidiennement attaquées et probablement tous les sites web existants sur la planète.
2°) Que ces attaques viennent de tous les pays ou supposémment (certains se cachent derrière des serveurs).
3°) Que ces attaques sont automatisées (pour la plupart) ou manuelles dans certains cas.
Concernant les attaques automatisées, cela s’apparente à un sorte de robot qui coure le web en testant les vulnérabilités des sites web et tentent d’y faire éxécuter du code externe pour récupérer informations et données en provenance de votre serveur. Le pirate lui n’a plus qu’à récupérer les informations extraites. Après analyse de certains scripts, on découvre que ces programmes peuvent jusqu’à parcourir votre serveur identifiant toutes les failles possibles (dossiers non protègés, liste de mot de passe, etc) voir y implanter un “cheval de troie” pour de futures opérations.
Concernant les attaques manuelles, des pirates ou apprenti pirates tentent d’exploiter des failles de sécurité sur votre serveur. Soit un pirate s’en prend spécifiquement à votre site web soit il ne fait que profiter d’une faille connue qui n’a pas été encore corrigé sur votre serveur (ce qui est à notre avis plus fréquent).
En effet, les spécialistes de la sécurité avertissent régulièrement la communauté des failles de sécurité afin que tous puissent la corriger rapidement. L’effet pervers étant que certains en profitent pour utiliser cette information pour tenter de pénétrer votre site web.
La logique du pirate rentable
Un pirate qui souhaite être “rentable” ne va pas s’attarder sur un site apparemment sécurisé, il va passer son chemin et va plutôt se diriger ves d’autres sites moins sécurisés où il a plus de chance d’avoir “son retour sur investissement” (comme un voleur). D’où l’interêt d’exploiter des failles connues pas encore corrigées. Comme dans le monde physique, il faut être assez disuassif, pas forcément totalement sécurisé comme une forteresse style du coin d’un oeil: “qui va la? montrez patte blanche” ce qui pourrait être alors disuassif pour vos visiteurs classiques.
De notre côté, récemment, une faille a été publiée concernant un script particulier et ne vous inquiétez pas, dans les jours ou semaines suivants la publication de cette faille, vous êtes surs que la faille a êté testée (et va encore l’être) à maintes reprises, cela est notre cas. Heureusement pour nous que nous sécurisons un minimum notre site web et cela n’a eu aucun effet.
4°) Des motivations différentes à l’origine de ces tentatives d’intrusion
Les motivations semblent différentes. Il y a les ‘hackers éthiques’ et les non éthiques. Il a été reporté que certains “hackers” éthiques alors préviennent alors le webmaster de la faille, d’autres essayent de vendre leurs services après détection du problème et d’autres saisissent l’opportunité pour voler informations et données confidentielles.
Nos conclusions
1°) Rassurant: Pas d’informations bancaires sur notre serveur
C’est là que nous sommes contents qu’aucune information bancaire n’est stockée sur notre site et que toute cette partie est externalisé à notre partenaire bancaire. Nous partons du principe que personne n’est à l’abri d’une faille de sécurité (c’est pas la Société Générale qui pourra nous contredire). Pour le client, bien qu’il doit resaisir à chaque fois ses coordonnées bancaires, cela est bien plus sécurisant.
2°) Faire de la veille sécuritaire.
Soit vous (ou votre responsable informatique) êtes responsable de vos scripts, à vous de faire de la veille sécuritaire. Si vous avez un site complètement externalisé (c’est à dire que vous ne vous occupez pas de la partie scripts web), discutez en avec votre prestataire pour voir sa politique sur la question. N’hésitez pas à regarder ce que dit le contrat en la matière car personne n’est à l’abri d’une faille de sécurité.
3°) Faites les mises à jour le plus rapidement possible.
Si les mises à jour concernent un aspect de la sécurité du site web, alors le plus tôt, le mieux.
4°) Faites de la prévention
Des milliers de visiteurs visitent chaque jour votre site. Impossible de repérer qui fait quoi… alors essayez de détecter en amont les comportements suspicieux sur votre site. Attention à veiller entre un subtil équilibre entre sécurité et performance de votre site web.
5°) Essayez de garder vos messages d’erreur pour votre responsable informatique
Quand un programme /script plante à l’écran, nous vous conseillons de garder vos messages d’erreur explicites pour vous car tout plantage peut donner signal à un pirate des failles potentielles de votre site. Evitez donc d’afficher les messages d’erreur explicites (celui qui dit pourquoi techniquement votre page web a planté) de votre site (ou alors faites le de manière plus discrète ou par email).
Jeu de briques
Snake
Pacman
Bubble