CYBERWORLD AWARENESS &
SECURITY ENHANCEMENT
SERVICES

ALERTES

RSS

25. 03. 2014

Office - Vulnérabilité dans le traitement des fichiers RTF

Mettez à jour votre ordinateur avec les mises à jour Microsoft

26. 02. 2014

Faille critique sur Mac OS et iOS

Une vulnérabilité critique a été découverte sur les produits Apple. Patch m...

19. 02. 2014

Fritz!Box

Mettez à jour le firmware de votre Fitz!Box. Changez le mot de passe de l'a...

Sécuriser son site web : les bases essentielles

Sécuriser son site web est plus compliqué que de sécuriser un poste de travail. Identifier les vulnérabilités et mettre en place des protections requiert des connaissances techniques approfondies. Et pourtant, la sécurité d’un site web est un enjeu très important car elle ne concerne pas seulement la personne (physique ou morale) qui gère le site, mais potentiellement tous ses utilisateurs.
Dès l’instant où un site récolte des données personnelles, la responsabilité de son propriétaire est engagée au cas où ces données seraient compromises. Mais quels sont les risques ?
Il s’agit principalement :
  • d’attaques par phishing qui peuvent affaiblir ou rendre inexistant les contrôles d'authentification ou d'autorisation ;
  • de violations de vie privée  et vols d’identité dus à des faiblesses dans l’authentification des utilisateurs ;
  • de compromission de systèmes, d’altération de données, ou de destruction de données par injection et inclusion de fichier à distance ;
  • de perte financière à travers des transactions non autorisées;
  • de perte de réputation ;

Tous ces risques proviennent de menaces connues depuis longtemps et répertoriées chaque année par l’OWASP (Open Web Application Security Project) dans son rapport (pdf, 1,23 Mo). La branche luxembourgeoise de l’OWASP constate plus ou moins les mêmes tendances locales en termes de menaces. Le top 3 luxembourgeois est :
  1. Injection de code
  2. Mauvaise configuration de sécurité
  3. Exposition de données sensibles
Saviez-vous que la plupart des attaques sur les CMS les plus largement utilisés (tels que Joomla, Wordpress, Typo 3 et Drupal dans une moindre mesure) sont principalement dues à des défauts de mise à jour ?
La plupart de ces menaces peuvent être facilement mitigées en observant quelques règles de base.

La mise à jour : c’est évident, et pourtant…

Il faut d’abord veiller à mettre à jour correctement le serveur web qui héberge le site. Si vous faites appel à un hébergeur professionnel, c’est son travail. Si vous hébergez votre site vous-même, c’est à vous de faire les mises à jour nécessaires. Ensuite, le système de gestion du site doit également être à jour, ainsi que toutes les applications qui interviennent dans l’administration du site. Certains systèmes de gestion de contenu comme Wordpress permettent de faire facilement les mises à jour soi-même. Ils offrent aussi une quantité impressionnante de plugins… dont certains présentent des failles béantes. Veillez donc à bien vous renseigner sur la qualité d’un plugin avant de l’installer. Pour Wordpress, un plugin gratuit doit figurer dans le répertoire de wordpress.org qui effectue une revue qualité.

Back up et protection

Il en va pour un site web comme pour toutes vos informations : un back-up régulier doit être réalisé. Sa fréquence dépendra de la fréquence de mise à jour du site. Ce back-up aura une valeur inestimable le jour où, malgré vos précautions, votre site aura été hacké.
Enfin, l’accès au serveur web doit être protégé pour éviter les tentatives d’attaque du site.


L’authentification http est l’une des protections possibles pour votre serveur web
 

Données sensibles

Lorsque vous collectez des données sensibles (données personnelles, mots de passe, données financières…), il faut les protéger mieux que tout le reste. Il s’agit non seulement d’une obligation vis-à-vis de vos utilisateurs, mais aussi d’une contrainte légale. Consultez la CNPD pour savoir précisément quelles sont vos obligations en la matière.
Selon l’analyse des risques que vous ferez sur les données stockées, il pourra être nécessaire de les chiffrer sur vos serveurs.
La connexion doit elle aussi être chiffrée (ssl) pour éviter que des données soient interceptées lors de la communication entre l’utilisateur et votre site.
Les mots de passe doivent être l’objet d’un soin tout particulier pour éviter qu’ils ne soient corrompus :
  • Ils doivent être encryptés avant d’être stockés ;
  • Ils doivent être « hachés » et salés avec un algorithme approprié (évitez les usuels MD5 et SHA1, mais passez plutôt à des  algorithmes comme bcrypt ou scrypt qui ne pourront être attaqués qu’avec de gros investissements en temps et/ou en mémoire);
  • Leur qualité doit être contrôlée à la source (obligation pour l’utilisateur de se doter d’un mot de passe fort) ;
  • Les identifiants des utilisateurs doivent également être protégés (pour éviter qu’ils puissent être utilisés avec un mot de passe dérobé).
 
Vous l’aurez compris : maintenir la sécurité d’un site web nécessite une attention et une vigilance régulière de votre part.