Pourquoi et comment faut-il absolument sécuriser son site Web
Avant de parler de la sécurité d'un site réalisé sous WordPress, parlons d'abord de la sécurité d'un site web
Je ne vais pas vous faire un cours détaillé sur la sécurité et tous les risques qui y sont liés.
Je souhaite juste vous "brosser un tableau" sur la sécurité et les risques, suffisamment détaillé pour que vous preniez conscience, non seulement de vos responsabilités en tant que propriétaire de site web (en tant que propriétaire de site, vous devez être informé des risques) et mais aussi que vous preniez conscience de l'importance d'appliquer un minimum de règles de sécurité.
En cas de piratage et de dépôt de plainte contre vous, devant la loi, vous devez être en mesure de démontrer que "vous avez fait tout ce qui était en votre pouvoir pour assurer la sécurité des données de vos clients / utilisateurs".
La sécurité d'un site Web
La sécurité est très souvent négligée et le plus souvent un propriétaire de site se rend compte de cette nécessité quand il est trop tard. Et il faut savoir que malheureusement, il n'y a rien à faire pour revenir en arrière, sauf dans de très très rares exceptions, et encore, même dans les hypothèses dont je vais vous parler plus bas dans cet article, il n'est pas évident de revenir en arrière et retrouver une solution sécurisée.
La première règle à savoir quand on parle de sécurité en matière de site internet c'est que :
LA SÉCURITÉ TOTALE D'UN SITE INTERNET N'EXISTE PAS
et dites vous bien que, quelle que soient votre script, votre hébergeur ou la renommée de votre webmaster ou webagency, celui ou celle qui vous promettra la sécurité totale n'est qu'un(e) charlatant(e).
Si la sécurité totale était possible, le Pentagone, la CIA et autres agences d'espionnage n'emploieraient pas autant de monde pour assurer la sécurité de leurs systèmes informatiques, et si, eux, en mobilisant tous leurs moyens financiers pour assurer un maximum de sécurité, se sont faits pirater, c'est bien qu'il est impossible de la garantir totalement.
Et si c'est une notion qu'il ne faut surtout pas négliger, il ne faut pas verser dans la parano inverse et se dire qu'il est trop risqué d'avoir un site internet. Non.
Il faut juste être conscient que d'une part, il existe des moyens, plus ou moins complexes, pour mettre en oeuvre une sécurité très efficace contre la très grosses majorité des attaques.
Sécurité : Quels sont les risques?
Les risques sont variables et dépendent souvent du type de contenu de votre site, mais aussi de leur "contenant" (CMS).
Les techniques de piratage d'un site sont variables, et il en existe autant qu'il existe de failles potentielles (autant dire... beaucoup!).
Les données client
Pour envoyer des spam (que vous recevez tous dans votre boite aux lettres), l'expéditeur du spam doit détenir un fichier de contacts. Pour envoyer leur spams, ils peuvent utiliser plusieurs techniques plus ou moins efficaces, mais s'ils peuvent récupérer des adresses confirmées et validées, c'est à dire des adresses email fournies et confirmées par leur propriétaires, cela signifie qu'ils seront sûr d'envoyer leur spam sur une adresse existante et que l'utilisateur consulte.
Donc, ce que la majorité des pirates recherchent, ce sont les fichiers clients avec leurs adresses mail. et pour y parvenir, ils doivent, soit, accéder à votre backoffice, soit utiliser d'autres techniques leur permettant d'extraire des données de votre base de données.
Les fichiers client sont ensuite revendus à prix d'or.
Les données clients, en fonction du contenu de votre base de donnée, peuvent augmenter le risque pour vos abonnés / clients ou utilisateurs. Par exemple, si vous conservez leurs coordonnées bancaires, vous avez de grosses responsabilités.
Sachez que vous êtes non seulement responsable légalement des données que vous fournissent vos utilisateurs, mais aussi que vous avez l'obligation de déclarer le piratage de votre site aux autorités, ce qui pourra potentiellement nuire à la notoriété de votre entreprise.
Le détournement de visiteurs.
Globalement, celà consiste, pour le pirate à rediriger vos visiteurs vers des sites factices, sur lesquels, ils pourront, en votre nom, demander aux clients de fournir des informations (technique appelée le Fishing). Sur ce site factice, les pirates pourront faire ce qu'il veulent : implanter un virus, un espion, subtiliser des informations, etc.
Hacktivism (defacement de site internet)
Les actions de piratage de site a pour objectif de permettre au hacker d'utiliser votre site pour propager des messages et des informations politiques.
Blackhat SEO spam
Il est question ici de détourner vos visiteurs vers des publicités pour faire gagner de l'argent au hacker.
Attaques Ddos : utilisateurs de votre serveur pour envoyer des spams
C'est une attaque fréquente. Le hacker pirate votre site pour utiliser votre serveur afin d'envoyer des campagnes de spam.
Vente détournée
Certains hacker mettent en place de faux site web (ou vrais... c'est arrivé) sur lesquels ils vendent les mêmes produits / services que vous. Ils mettent en place un "robot" d'exploration chargé de récupérer toutes les données de vos produits pour les afficher sur leur site.
Les inconvénients peuvent être la nuisance à la notoriété de votre produits / services car, ils peuvent, sur ces sites, réaliser de fausses ventes de votre produits, et le client se trouvant avoir acheté votre produit sans le recevoir propagera autour de lui une mauvaise image de vous ou de vos services / produits.
Un autre inconvénient, majeur pour les sites avec de petits hébergement, c'est que leurs robots interrogent votre serveur de manière quasi-constante, consommant de la bande passante de manière importante, provoquant alors un fort ralentissement de votre site.
Vos visiteurs, gênés par le ralentissement de l'affichage de votre site le quitteront sans avoir acheté ou consommé.
Vous êtes alors perdant sur tous les tableaux.
Les risques sont vastes
Je ne vais pas faire la liste de tous les risques encourus par un sécurité défaillante, tant il sont nombreux. Mais que les hackers se servent de votre site pour accéder aux données de vos clients, à leur machine, qu'ils le fasse pour vous nuire en bloquant votre système et ainsi favoriser votre ou vos concurrents, ou pour se faire de l'argent facilement, rien ne change le fait que vous êtes responsable des données perdues et de l'utilisation qui sera faite par la suite.
Il faut donc être conscient que les risques sont nombreux, fréquents et bien réels.
Les attaques la plus fréquentes sur le Web
Ce sont donc les attaques auxquelles votre site aura le plus de "chances" d'être confronté.
- La attaques par déni de service : ces attaques ont pour but de bloquer les services en utilisant diverses méthodes.
- Les attaques de type "TCP SYN FLOOD" : inondation de requêtes de connexion pour faire planter un système.
- Les attaques de type "Botnets" : utilisation d'un réseau massif et disséminé dans le monde entier, de machines infectées pour mener des attaques Ddos et submerger les bandes passantes des machines visées.
- Les attaques de type "TearDrop" : technique visant à se faire chevaucher des champs du protocole IP sur la machine cible qui est alors incapable de reconstruire les paquets de données et plante.
- Les attaques de type "Smurf" : Vise à submerger un réseau par usurpation d'adresse IP et envoi massif de requete echo ICMP, en poussant la machine à répondre sur une trop vaste plage d'adresses IP.
- Les attaques de type "PingOfDeath" :Technique envoyant des paquets fragmentés, qui, une fois rassemblés sur la machine cible se trouvent être largement supprieurs à la taille maximum autorisée provoquant ainsi un plantage.
- Les attaques de type "Homme au milieu" (MtiM) : le hacker se glisse frauduleusement entre un visiteur et le serveur
- Détournement de session : Le visiteur se connecte au site. Ensuite, le hacker prend la place du serveur du site sans que le visiteur ne s'en rende compte et qui se trouve à continuer sa navigation sur le serveur pirate. Le hacker peut alors faire ce qu'il veut sur la machine du visiteur.
- Usurpation d'adresse IP : Le hacker modifie son système pour qu'il soit en mesure de fournir l'adresse IP d'un hôte fiable. Le système du visiteur ne se rend pas compte qu'il est connecté au mauvais serveur puisque l'IP fournie est celle d'un hôte fiable. En gros, c'est comme si un garagiste mettant une enseigne "Norauto" sur le pignon de son garage de campagne. "Le client n'y voit que du feu"
- Le phishing (hameçonnage) : consiste à envoyer des emails frauduleux ou amener le visiteur sur un site frauduleux, se faisant passer pour fiable, afin d'amener l'utilisateur piégé à fournir des informations confidentielles.
- Le spear-phishing (harponnage) : extrêmement difficile à combattre, puisqu'il s'agit d'une technique de fishing personnalisée. La victime a été précautionneusement étudiée, et le mail ou le site créé sont fait pour donner confiance à une personne spécifique. L'utilisateur est donc leurré et fourni les informations souhaitées par le pirate.
- Attaques par téléchargement furtif : un programme malveillant est installé sur la machine piratée lors d'une visite d'un internaute sur un site ou lors de la lecture d'un email avec un pièce jointe. Le visiteur ne voit pas le téléchargement qui se fait en arrière plan. En tant que propriétaire de site, le risque est donc que votre site se fasse pirater par un hacker qui insère un code malveillant dans le code de votre site lançant un téléchargement furtif sur la machine qu'utilisent vos visiteurs.
- Attaques par mots de passe : elle consiste, pour le hacker à trouver le mot de passe pour accéder à ce que protège le mot de passe (compte client, accès backoffice...)
- Attaque par dictionnaire : utilisation d'un dictionnaire de mot de passe les plus fréquents. Le hacker peut programmer un robot test des mots de passe, ou récupérer le fichier crypté des mots de passes de la cible et y appliquer le même code de chiffrement de manière à identifier le mot de passe concerné.
- Attaques par BruteForce : Ce genre d'attaque consiste à programmer un robot qui va tester, de manière aléatoire ou suivant une logique choisie, une série de mot de passe. Ces attaques sont massives, et infinies. Tant que rien ne le bloque, le robot continuera de tester les mots de passe jusqu'à arriver au résultat voulu.
Comme vous le constatez, il existe une grande quantité de techniques d'attaques, et (encore, je n'ai cité ici que les plus courantes.
(Pour réaliser ce petit article, je me suis inspiré de cet excellent article dont vous pourrez retrouver tous les détails ici : les 10 cyberattaques les plus courantes)
Protéger son site internet
Après avoir lu tout ceci, je pense que vous serez convaincu de la nécessiter de protéger votre site internet.
Il y a donc essentiellement trois choses à protéger sur votre site web:
- L'accès aux comptes clients, si votre site en possède
- L'accès au backoffice (interface d'administration de votre site)
- l'accès aux fichiers de votre site.
Et il y a plusieurs techniques différentes de protection, et si vous vous renseignez un peu plus en profondeur sur le web, vous constaterez que, malheureusement, certaines protections peuvent empêcher quelques fonctionnalités de réaliser leur objet. Et dans certains cas, il conviendra de faire un choix entre sécurité et fonctionnalité.
Pour protéger votre site, il y a quelques règles simples à appliquer comme :
- les autorisation d'accès aux fichiers et au répertoire( chmod) que vous pouvez réaliser grâce à Filezilla (outil gratuit de transfert de fichier)
- paramètres dans le htaccess
- réglages dans le php.ini
- s'assurer qu'aucun répertoire ne reste sans fichier "index.php".
Et enfin, pour assurer le gros de la protection, que ce soit sous WordPress ou sur Prestashop, il existe de très très bon modules qui permettront de mettre en place toutes les règles de sécurité.
Derniers commentaires