Cybersécurité – La sécurité des sites Internet – Partie 2

Cybersécurité

Dans la première partie de ce dossier sur la cybersécurité des sites Internet, David Lesage, Directeur de C2medias à Cambrai & Bapaume et Administrateur du réseau Place de la Communication, abordait les bonnes pratiques humaines et fonctionnelles. Si elles sont indispensables pour une bonne gestion du site au quotidien, elles ne sont rien sans une bonne sécurité au niveau matériel et logiciel.

 

3) Les bonnes pratiques « techniques » :

C’est pour moi le cœur du sujet, car en dehors des personnes proches de l’entreprise (et qui voudraient lui nuire), les attaques auront presque toujours une origine technique.

L’hébergeur :

Tout site internet doit être déployé chez un hébergeur afin d’être accessible par tous. Il en existe beaucoup, mais une dizaine de principaux (pour la France).

Ils fournissent quasiment tous les mêmes services, pour des tarifs assez proches. Il est important, en cas de problème, de pouvoir joindre leur support technique sur un horaire étendu. Selon les contrats que vous avez, ce service peut être variable. Chez Ionos, C2medias dispose d’un service téléphonique avec une équipe dédiée qui se relaye 7j/7.

Chez O2Switch, le support se fait uniquement en ligne, mais est d’une réactivité redoutable. Infomaniak a également très bonne réputation. Vous trouverez également des services de qualité chez Amazon (via AWS), mais les coûts ne seront probablement pas du même niveau. De ce côté-là, un prestataire de type agence digitale aura le devoir de bien vous conseiller selon vos attentes et votre budget.

Un bon hébergeur vous alertera également s’il trouve lui-même des fichiers vérolés, et procédera si besoin à une mise en quarantaine le temps de la correction. Et surtout, il mettra en place des sauvegardes au moins quotidienne, avec une rétention de plus de 15 jours. En effet, si vous partez en vacances 3 semaines et qu’un piratage a lieu au tout début, ça ne servira à rien de remettre une sauvegarde d’il y a 2 semaines, car celle-ci contiendra forcément les failles déjà exploitées ; Et le piratage pourra recommencer.

Enfin, un bon hébergeur vous imposera toujours d’avoir les dernières versions de PHP par exemple (pour les serveurs Microsoft, ça pourra être différent). Par exemple, un hébergeur qui vous permet encore d’utiliser PHP 5.6 alors que nous en sommes à la version 7.4 (au moment d’écrire cet article), vous laisse avec vos failles potentielles.

 

Le CMS :

Le CMS est donc le moteur de votre site internet. Il se compose d’un cœur, de modules (plugins) et d’un thème graphique (template), que voient les internautes quand ils sont sur le site. Chacune de ces 3 parties est régulièrement mise à jour, afin de combler des failles de sécurité et améliorer le fonctionnement global du site.

Dans le cas des sites utilisant WordPress en 2017, près de 40% de ceux-ci ont pu être attaqués car ils disposaient d’une version trop ancienne du cœur. Une mise à jour aurait pu éviter à nombre d’entre eux ce type de désagrément. Si vous regardez l’infographie suivante, vous verrez que les autres CMS ne sont pas mieux lotis. Et si depuis 3 ans cela s’améliore, les chiffres restent toujours préoccupants.

 

Outdated_Platforms_Place_de_la_CommunicationSource : Sucuri

Les plugins sont des fonctionnalités développées par des éditeurs tiers, et qui ont pour but d’ajouter de nouvelles fonctionnalités à votre site. Par exemple, des formulaires de contact, des outils de référencement, des solutions de réservation de chambre pour un site d’hôtel…

Dans le cas de WordPress, la bibliothèque officielle des modules en recense près de 60 000 ! Et sans compter tous les développeurs qui proposent leurs outils via d’autres plateformes (Envato Market par exemple) ou qui les vendent directement. L’inconvénient est que beaucoup d’entre eux ne sont plus maintenus et mis à jour par leurs éditeurs. On retrouve donc déployés sur des sites certains de ces modules qui sont des portes grandes ouverts aux attaques.

 

Hacked_Wordpress_Place_de_la_CommunicationSource : Wordfence

 

Addons_KingComposer_Place_de_la_Communication

Quand on voit ça sur un site, il est urgent de réagir !

 

Vous avez ici l’exemple avec WordPress, mais c’est la même chose avec les autres CMS.

Attention également aux mises à jour de plugins. Il arrive parfois que la dernière version apporte des problèmes qui n’étaient pas présents sur la version précédente. Ne faites pas de mise à jour les yeux fermés (faites au moins une sauvegarde complète avant) et assurez-vous de pouvoir revenir en arrière cas de besoin. Si vous n’avez pas les connaissances nécessaires, faites appel à un spécialiste.

Il en va de même pour le thème graphique de votre site. Faites d’autant plus attention si vous l’avez acquis sur une marketplace payante. Il est dans ce cas très souvent fourni avec des plugins dont certains vous seront inutiles. Mais intégrés directement dans le thème, ils sont aussi une source critique d’attaque (surtout que ce sont souvent des plugins payants, qui vous imposeront de renouveler votre achat tous les ans pour être maintenus à jour).

Notre conseil pour le thème graphique : Prenez-en un simple et facilement modulable, et demandez à votre prestataire de l’adapter à votre charte graphique (ou aux maquettes graphiques si elles existent). C’est aussi le rôle de votre prestataire de vous proposer l’approche la plus adaptée et la plus optimale.

 

L’accès à l’interface d’administration :

Pour gérer votre site, vous passez forcément par l’interface d’administration. Celle-ci a une adresse définie par défaut lors de l’installation du site. Pour WordPress, l’adresse par défaut est www.monsite.com/wp-admin

Il est important de changer l’adresse par défaut, afin de rendre plus difficile l’accès, que ce soit à des personnes mal intentionnées, ou aux automatismes qu’elles auront mis en place pour essayer de trouver vos accès.
Il existe des modules dédiés à cette fonctionnalité, n’oubliez pas de les utiliser.

 

Le recaptcha :

C’est un petit outil proposé gratuitement par Google, que vous utilisez régulièrement sans toujours vous en rendre compte.

La version la plus connue est celle-ci :

Captcha_1_Place_de_la_Communication

Captcha_2_Place_de_la_Communication

 

Pas des plus jolies, mais efficace. Elle permet de bloquer nombre de tentatives d’accès. Et comme cela s’applique pour l’accès à l’administration, la sécurité prime sur l’esthétique.

Ce système peut également être utilisé pour valider l’envoi d’un formulaire (inscription, contact…) et éviter au gestionnaire du site d’être envahi de courriers indésirables. Google propose aujourd’hui une version « invisible » de sa ReCaptcha. Cette fenêtre n’apparait pas (ce qui est plus beau esthétiquement parlant), sauf s’il y a un doute sur le côté « humain » de l’utilisateur qui la valide.

 

Double authentification :

La double authentification, appelée aussi authentification à 2 facteurs (ou 2FA) est utilisée par bon nombre d’entre vous. Sur Facebook, AirBnB, Amazon… vous devez souvent valider un code reçu par SMS, e-mail ou application smartphone après avoir saisi vos identifiants.

Il est tout à fait possible de mettre en place un système identique sur votre site. Cela empêchera un utilisateur qui aurait accès à vos codes, de pouvoir entrer sur l’interface d’administration, car vous seul recevrez le code complémentaire à saisir.

Cette sécurité repoussera nombre de tentatives, surtout si elle est couplée à un système de Recaptcha (les robots qui tentent les intrusions se retrouvent un peu plus en difficulté).

 

Wordpress_Place_de_la_CommunicationCrédit : miniorange.com

 

C’est aujourd’hui une évidence car ces derniers temps Google a beaucoup insisté là-dessus, mais avoir un site en HTTPS (et non plus en HTTP) est devenu presque obligatoire. Outre le fait que les navigateurs mettent en lumière les sites non sécurisés, le HTTPS permet la transmission d’informations de manière plus sécurisée. Indispensable sur des sites e-commerce ou enregistrant des données sensibles, le HTTPS est également fort appréciable sur des sites plus simples (pour une question d’image et de sérieux).

Pour avoir un site en HTTPS, il faut entre autres utiliser un certificat SSL. Bonne nouvelle, la majorité des hébergeurs en proposent au moins un dans quasiment toutes leurs offres. Ce serait dommage de ne pas en profiter…

Ci-dessous le cadenas qui s’affiche généralement dans un navigateur, indiquant que le site est sécurisé.

lien_wordpress_Place_de_la_Communication

Le HTTPS ne sécurise pas à proprement parler votre site Internet, mais il chiffre les données transmises, et c’est déjà un point important.

 

Sauvegarde régulière :

Ici il s’agit plutôt de bon sens. Si votre site vient à tomber, ou vos données à être effacées, avoir une sauvegarde vous permettra de le remonter très vite.

Pour ne pas surcharger vos espaces de stockage, il est conseillé de prévoir des sauvegardes incrémentielles (seul le contenu modifié depuis la précédente sauvegarde est pris en compte), et de manière régulière, une sauvegarde complète (fichiers et base de données). Il existe de nombreuses solutions pour automatiser tout cela. Mais pensez de temps en temps à faire des sauvegardes manuelles. Vous n’êtes jamais à l’abri d’une mauvaise sauvegarde qui ne pourrait pas être remise en cas de problème.

Enfin, n’oubliez pas d’exporter vos sauvegardes sur divers supports, et surtout, ailleurs que dans un dossier de votre site Web. Le cloud est une bonne solution de stockage.

Dans tous les cas, faites attention aux sauvegardes effectuées avant un piratage. Avant de les remonter, assurez-vous qu’elles ne contiennent pas de fichiers corrompus ou vérolés. Sinon le problème ne sera pas du tout résolu et vous repartirez pour un tour de galère.

 

Le firewall :

Malgré toutes les actions mises en place précédemment, il y aura toujours des possibilités d’accéder à votre site et de tenter de le faire tomber ou de voler des données. C’est pourquoi il est indispensable de mettre en place un Firewall. Il aura pour but d’empêcher un maximum d’attaques, de bloquer les tentatives d’intrusion, et de vérifier régulièrement l’état de santé du site.

Plusieurs modules dédiés existent, et la plupart se valent. Les prestataires travaillent généralement avec des modules dont ils maitrisent les particularités.

Les outils avec lesquels nous travaillons nous permettent de définir des listes blanches et noires pour les accès, de bloquer automatiquement et pour une durée définie les tentatives d’accès avec un login inexistant, de cacher des données sensibles des CMS affichées par défaut sur Internet… Ils nous alertent immédiatement en cas de tentative d’intrusion, de connexion d’un compte utilisateur, et nous fournissent des rapports réguliers et détaillés des tentatives d’attaques.

Le firewall reste l’un des derniers remparts de votre site.

 

De manière non exhaustive, le WAF (Web Application Firewall) vous protégera des types d’attaque suivants :

  • Brute force (tentative de rentrer en saisissant des milliers de combinaisons login/mot de passe sur votre formulaire de connexion)
  • Cross Scripting (via des failles XSS)
  • Injection SQL (pour attaquer directement la base de données)
  • DDOS (envoyer un nombre important de requêtes pour faire tomber le site, voir le serveur sur lequel il se trouve)

Il existe bien d’autres types d’attaques qu’un WAF saura éviter, n’hésitez pas à vous rapprocher de votre agence web pour connaitre son périmètre d’action et ses possibilités.

 

Failed_Login_Place_de_la_Communication

Un résumé du firewall permet de connaitre les origines des attaques et les actions à mener

 

Cas particulier à WordPress : le protocole XML-RPC

La plupart des gestionnaires de site n’en ont jamais entendu parler, même si le terme est présent dans les réglages du site. Le protocole XML-RPC a été mis en place au début de WordPress afin de permettre de gérer les contenus en dehors de l’administration classique. Aujourd’hui il n’est quasiment plus utilisé mais est toujours présent dans le système. C’est malheureusement une porte d’entrée importante pour les tentatives d’intrusion. Donc à moins que vous utilisiez des services qui en ont absolument besoin, il est fortement déconseillé de le désactiver. Normalement la plupart des Firewall le font d’office. Mais dans le cas contraire, un développeur vous le fera en quelques minutes avec un bout de code.

Evitez-vous des ennuis en interdisant l’accès à ce protocole.

En résumé :

  • Ne confiez pas vos codes à n’importe qui
  • Utilisez des mots de passe forts
  • Choisissez un bon hébergeur, à jour et réactif
  • Gardez votre site à jour
  • Sécurisez votre interface d’administration
  • Sauvegardez, sauvegardez et sauvegardez !!

Et surtout, faites appel à un professionnel pour vous accompagner sur ces sujets sensibles

Dans certains cas, préférez des services externes déjà bien établis plutôt que de vouloir les reproduire à tout prix dans votre système (billetterie en ligne, réservation de salle ou de table…). Non seulement ces services ont normalement une équipe sécurité qui gère les problèmes en temps réel, mais ils prennent également la responsabilité technique des données stockées (coucou le RGPD), ce qui vous retire ce poids.

 

Si vous souhaitez échanger autour de ce sujet, c’est avec un grand plaisir que nous nous rendrons disponibles. N’hésitez pas à nous contacter.

David Lesage, Directeur de C2medias à Cambrai, Cysoing & Bapaume et Administrateur du réseau Place de la Communication

Contact : 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Lettre d’information

Retour haut de page