Blog de web-eau.net

Si nous prêtons surtout attention au design, au contenu ou encore au référencement de notre site web, la question de la sécurité devrait pourtant être celle qui requiert le plus notre vigilance. En effet, le nombre exponentiel de sites et d'applications en circulation augmentent d'autant les risques d'être infecté. Et malheureusement, cela n'arrive pas qu'aux autres. Cet article se propose de vous apporter des réponses claires concernant la sécurité et l'intégrité de votre site web.

Pour cela, nous verrons dans un premier temps quelles sont les menaces auxquels nous sommes exposés sur le Net. Dans un second temps, je vous présenterai une série d'outils en ligne gratuits pour tester et vérifier l'intégrité et la proprété de votre site web.

10 outils pour tester la sécurité de votre site

Quels sont les risques encourus sur le net ?

Avant toute chose, il est bon de faire une piqure de rappel à propos de la sécurité sur le web.
La cybercriminalité coûte à l'économie mondiale approximativement 450 milliard de dollars chaque année. C'est une hausse de 200% en cinq ans1,
98% des applications scannées en 2015 par Trustwave présentaient au moins une vulnérabilité en terme de sécurité2,
Le coût d'une cyberattaque pour l'économie américaine est passé de 3.8 millions de dollars (2005) à 11 millions de dollars (2015), soit une hausse de 192% en dix ans3,
Le but de ces chiffres n'est pas de vous effrayer mais simplement de vous démontrer que le risque est bel et bien réel et que les enjeux sont globaux.

Vous n'avez peut-être pas un site qui représente un intérêt stratégique majeur (mais je vous le souhaite). Néanmoins, votre outil web n'est pas à l'abri d'une intrusion ou d'une infection.
Voici les principaux risques auxquels vous pouvez être exposés et pour lesquels vous devez et pouvez prendre des précautions élémentaires.


La faille XSS

Selon Cenzic, ce type d'attaque représente environ 25% des attaques. En quoi cela consiste ?
La faille XSS (plus officiellement appelée Cross-Site Scripting) est une faille permettant l'injection de code HTML ou JavaScript dans des variables mal ou non protégées.

Comment cela se passe ?

  1. le pirate envoie un message piégé avec un lien de redirection vers le site pirate,
  2. l'utilisateur ouvre le message et clique sur le lien,
  3. redirection vers l'URL et récupération des cookies de l'utilisateur dans un document,
  4. le pirate récupère les données contenues dans le document,

L'attaque par force brute

Le principe ici est d'essayer de "casser" votre mot de passe en testant toutes les combinaisons possibles.
Moins utilisée que la faille XSS, cette technique reste cependant relativement courante dans la mesure où un ordinateur personnel est capable de tester plusieurs centaines de milliers voire quelques millions de mots de passe par seconde.

Pour vous défendre :

  • Passoire : ce programme en ligne génère des mots de passe, en évalue et en améliore la robustesse,
  • www.keylength.com: cet outil en ligne permet de calculer la bonne taille d'une clef suivant différentes méthodes.

L'injection SQL

L'injection SQL est une méthode d'attaque très fréquente qui consiste à modifier une requête SQL en injectant des morceaux de code par le biais d'un formulaire.
Cela permet ensuite au pirate d'entrer dans la base de données du site vulnérable et d'y récupérer les données qu'il cherche.

Quelques exemples célèbres :

  • Le 17 août 2009, le département de la justice américaine identifie l'américain Albert Gonzales et deux russes comme étant les auteurs du vol de 130 millions de numéros de cartes de crédit grâce à une attaque par injection SQL. Les principales victimes furent la société de traitement des paiements par cartes Hearland Payment Systems, les chaînes de supermarché 7-eleven et Hannaford Brothers4
  • Le 1er juin 2011, le groupe Lulz Security est accusé d’avoir mené une attaque par injection SQL contre le site de Sony. Au moins 1 million de clients se font voler coupons, clés d’activation et leurs mot de passe5

Comment s'en prémunir ?


Il vous appartient également d'avoir une machine parfaitement saine si vous gérez vous-même votre site web. En effet, un ordinateur infecté peut s'avérer être la porte ouverte à des véritables dangers pour votre outil web. C'est ce que nous allons voir maintenant.


Les vers

Les vers (ou "worms" en anglais) sont des programmes malicieux capables d'envoyer une copie d'eux-mêmes vers d'autres machines. On peut les classer selon leur technique de propagation : les vers de courrier électronique, les vers de réseau et ceux de partage de fichiers. Parmi les plus célèbres, citons le vers "I Love You" qui a connu une propagation fulgurante.

Comment s'en protéger ?

Des mesures simples peuvent être prises pour contenir un ver informatique. Vous pouvez analyser tous les fichiers suspect à l'aide de votre antivirus mais vous devez surtout maintenir tous vos logiciels à jour, y compris les logiciels non-antivirus. Ceux-ci peuvent parfois comporter des failles de sécurité qui sont corrigées dans des versions plus récentes du logiciel en question.


Les virus

Les virus sont des logiciels capables de se répliquer, puis de se propager à d'autres ordinateurs en s'insérant dans d'autres programmes ou des documents légitimes appelés "hôtes". Ils se répartissent en plusieurs catégories : les virus de secteur d'amorçage, les virus de fichier, les virus de macro et les virus et de script. Certains intègrent également des rootkits afin de pouvoir se camoufler. Les virus peuvent s'avérer particulièrement dangereux et endommager plus ou moins gravement les machines infectées.

Quelques exemples célèbres:

  • Le virus Tchernobyl ou CIH est connu pour avoir été un des plus destructeurs. Il détruisait l'ensemble des informations du système attaqué et parfois il rendait la machine quasiment inutilisable. Il a sévi de 1998 à 2002.
  • Cryptolocker est un logiciel malveillant dont la présence sur le web a explosé de 700 % entre 2012 et 2014. Selon les calculs du FBI en juin 2014, il a causé pour 27 millions de dollars de pertes aux utilisateurs. Sous couvert d'une mise à jour Adobe Flash, le logiciel malveillant crypte les fichiers des victimes et exige une rançon allant de 100 à 400 dollars pour les décrypter. Il n'y a à ce jour aucun moyen connu pour casser l'algorithme de chiffrement utilisé, ce qui explique le pourcentage élevé de victimes ayant payé la rançon exigée par les pirates. Le logiciel malveillant Locky, qui est similaire à Cryptolocker, est particulièrement actif de fin 2015 à début 20166

Les trojans

Les chevaux de Troie (ou "Trojan horse" en anglais) sont divisés en plusieurs sous-catégories, et comprennent notamment les portes dérobées, les droppers, les notificateurs, les logiciels espions (dont les keyloggers), etc. Certains chevaux de Troie utilisent des rootkits pour dissimuler leur activité.

En 2014, une étude de l'Association of Internet Security Professionnals centrée sur les dangers du live streaming illégal a mise en lumière qu'un ordinateur sur trois est infecté par un logiciel malveillant et que 73 % de ces infections proviennent d'un cheval de Troie7.

Comment s'en prémunir ?

Pour se protéger contre ce genre de programme malveillant, le recours à un antivirus peut s'avérer efficace, mais reste souvent insuffisant. Il est conseillé de faire une analyse complète de son système d'exploitation et un nettoyage profond. Dans certains cas, l'utilisateur peut se retrouver obligé de démarrer sur un autre système d'exploitation, puis de redémarrer en mode sans échec afin de pouvoir reprendre la main.


Afin de vérifier la santé et l'intégrité de votre site web, sachez qu'il existe de nombreux outils. Je vous propose une sélection de 10 outils gratuits en ligne afin de scanner votre site web. C'est ce que nous allons voir maintenant.


Outils de contrôle et de nettoyage


SUCURI

SUCURI est l'un des scanners gratuits le plus célèbre (et le plus utilisé). Grâce à ce test, vous pouvez vérifier si votre site est infesté de malwares, s'il est blacklisté, s'il est utilisé pour spammer ou s'il n'est pas victime d'un défacement.

SUCURI test online


SSL Labs

SSL Labs est l'un des outils les plus utilisés pour scanner les serveurs web SSL. Le rapport vous fournit une analyse complète des vos URL https avec leurs dates d'expiration, leur classement global, Cipher, la version du certificat SSL/TLS, et bien plus encore. Si vous utilisez un site sécurisé (https), vous devriez faire un scan sans plus attendre.

Qualys propose également un FreeScan de votre site web pour détecter les risques les plus importants, les malwares, les failles de sécurité,etc. Vous aurez besoin de créer un compte gratuit afin de pouvoir lancer ce test.


Web Inspector

Web Inspector scanne votre site et vous fournit un rapport complet à propos des menaces telles que le blacklistage, le phishing, les malware, les vers, les backdoors, les trojans, les iframes douteuses, les connections douteuses, etc. Je vous encourage vivement à faire ce test très complet.

Web Inspector test online


Quttera

Quttera vérifie votre site et détecte les malware et les failles de sécurité éventuelles. Vous aurez une vue complète sur les fichiers infectés, les fichiers douteux, les fichiers à risque, etc.

Quttera test online


ScanMyServer

ScanMyServer propose l'un des rapports le plus complet en matière de test de sécurité comprenant l'injection SQL, la faille XSS, l'injection de code PHP, l'injection d'en-tête HTTP, etc. Le rapport d'analyse vous est adressé par courriel avec un résumé du niveau global de vulnérabilité de votre site web.

Scan My Server test online


Detectify

Detectify est une application Web en SaaS qui analyse le niveau de sécurité de votre site et qui génère un rapport avec les résultats. La période de gratuité est de 21 jours.


SiteGuarding

SiteGuarding scanne votre serveur pour y détecter d'éventuels malwares, vérifie si votre site est blacklisté, utilisé pour spammer, victime de defacement, etc. L'outil est compatible avec les principales plateformes web : WordPress, Joomla, Drupal, Magento, osCommerce, VBulletin, phpbb, etc.

SiteGuarding test online


Site Lock

Site Lock scanne votre site pour trouver et fixer d'éventuels malwares et autres vulnérabilités. Cet outil est gratuit pendant une période d'essai de 30 jours.


Acunetix

Acunetix procède à une analyse complète de votre site web, incluant le réseau et ce depuis les serveurs d'Acunetix . Le scan en ligne est accessible pour une période de 14 jours.


AsafaWeb

AsafaWeb est un outil plus particulièrement destiné aux sites ASP.NET. Le scan apporte des informations précises concernant de très nombreux points de sécurité.


Conclusion

Avant toute chose, j'espère sincérement que votre site est en parfait état de marche et que vous n'aurez jamais besoin de ces outils. Mais ne vous arrêtez pas ici - un bon résultat d'analyse ne signifie pas que vous êtes en sécurité. N'oubliez pas qu'un système parfaitement à jour est le premier garant d'un niveau de sécurité satisfaisant.

Si vous avez trouvé cet article interessant et utile, n'hésitez pas à en faire profiter vos amis en le partageant.


Sources

1 : Hamilton Place Strategies - Cybercrime Costs More Than You Think
2 : Trustwave - 2015 Trustwave Global Security Report
3 : Hamilton Place Strategies - Cybercrime Costs More Than You Think
4 : Macnn - LulzSec hacks Sony Pictures, reveals 1m passwords unguarded
5: BBC - US man 'stole 130m card numbers'
6 : Symantec 2014 - Security Response Publications, Internet Security Threat Report
7 : Documentcloud - Illegal Streaming and Cyber Security Risks : a dangerous status quo ?

 

A PROPOS DE L'AUTEUR :
Webmaster freelance passionné par Joomla depuis 2007, Daniel défend la veuve et l'orphelin du web en créant des sites respectueux du W3C. Fort d'une expérience de plusieurs années, il partage ses connaissances avec les néophytes aussi bien qu'avec les personnes plus expérimentées.

1 1 1 1 1 1 1 1 1 1 Rating 5.00 (1 Vote)

Ajouter vos commentaires

Poster un commentaire en tant qu'invité

0
Vos commentaires sont soumis à la modération de l'administrateur.

    Participant à cette conversation

    • martinez

      Bonjour,
      Voilà, je suis débutant et j'ai bossé sur un site que j'ai conçu en HTML, PHP avec une base de donnée MYSQL.
      Ayant presque terminé, je ne sais pas ce que je dois faire pour le sécuriser et le mettre en ligne via FREE. Je vais supprimer tout formulaire ou admin pour accès à la base de donnée afin de ne pas laisser de portes d'entrée aux indésirables. Faut-il acheter un nom de domaine ?
      Je suis néophyte quant à la mise en ligne et tout ce qui touche la mise en place du site..j'apprends facilement grâce aux tutos, et côté design j'ai de bonnes bases en Photoshop et photographie. En vous remerciant si vous avez quelques conseils ou tutos à me recommander, ce serait sympa..cordialement Stef

      Dernière édition du commentaire il y a environ 1 an par Daniel
    • Bonjour,
      Vous êtes donc un néophyte capable de créer un site web en HTML, PhP et MySQL. Je dirais que cela fait de vous un débutant plutôt modeste....
      Le débutant que vous êtes se demande s'il lui faut un nom de domaine pour son site. A première vue, je dirais oui.
      Pour la mise en ligne, un client FTP devrait vous aider.
      Bon courage !

    • Bonjour, je viens de me rendre compte que mon site est spammé : un article a eu 5700 commentaires en 10 jours, que je viens de trouver dans ma boite mail en attente d'approbation. Ce sont des commentaires en anglais ventant divers produits pharmaceutiques.
      Comment puis-je me débarrasser efficacement de ce fléau ?
      Le site est fait avec wordpress... je suis complètement paumée !
      Merci pour vos idées
      Alice

      Dernière édition du commentaire il y a environ 9 mois par Daniel
    • Bonjour Alice,
      je ne suis pas spécialiste de WP mais je dirais qu'il existe un plugin qui doit pouvoir vous venir en aide : Askimet :)

    web-eau.net is not affiliated with or endorsed by the Joomla! Project or Open Source Matters. The Joomla! name and logo is
    used under a limited license granted by Open Source Matters the trademark holder in the United States and other countries.