Une augmentation des risques avec le Web 2.0 et le contexte économique et politique
Les sites, jadis vitrines, se sont complexifiés avec le Web 2.0 : bases de données internes de type MySQL, intégration de commentaires qui peuvent comporter des liens vers des sites malveillants, code PHP et Javascript, etc. Cette augmentation du champ des possibles mais aussi son corollaire, la complexité, entraînent potentiellement plus de vulnérabilités. Qui plus est les données dans lesquelles réside la valeur sont une source d'intérêt pour les cyberattaquants.
Parmi les menaces figurent :
- Le vol de codes ftp (pour le téléchargement des pages HTML où le site est hébergé)
- L' injection de code SQL pour les sites comportant des bases de données ainsi que l'attaque ou l'altération de la base de données
- Les vulnérabilités intrinsèques du code (PHP, etc.)
- Les attaques par fixation de session et toute attaque par des robots tentant de se connecter sur votre site souvent avec des techniques dites par dictionnaire où plusieurs combinaisons de mots sont essayées.
Depuis les attentats du 7 janvier dernier, les statistiques laissent apparaître une forte croissance des cyberattaques. Selon le ministre de l'Intérieur plus de 25 000 sites français auraient été piratés. Même si la plupart concernent du défacement (modification non sollicitée d'un site consécutif à un piratage et se matérialisant par une modification de la page d'accueil n'entraînant pas de perte de données), les plus graves occasionnent des vols de données qui peuvent avoir de lourdes conséquences notamment pour le site e-marchand.
Des parades pour assurer la sécurité des données de vos sites
Dans ce contexte, il convient d'opérer une série d'opérations de prévention en amont et régulièrement :
1. Utilisation de sites de contrôle comme l'excellent Sucuri pour vérifier que votre site n'est pas victime d'une Infection par des malwares, savoir si votre site n'est pas mis en liste noire, n'a pas été victime d'une injection de code ou de défacement. Un amateur de jeu en ligne pourra par exemple s'assurer que le site Casino.com est sûr avant de s'y rendre
2. Opter pour des mots de passe difficiles à deviner mêlant caractères alphanumériques et spéciaux mais faciles à mémoriser pour soi
3. Effectuer des sauvegardes régulières de votre site (pages PHP ou HTML, base de données, etc.)
4. Installer et mettre à jour des utilitaires de surveillance (anti-virus, anti-spam, anti-spyware) sur son équipement informatique
5. Effectuer une mise à jour régulière des logiciels et des outils de réalisation des sites qui comprennent des corrections de vulnérabilités (dernières versions de WordPress, des plug-in, etc.)
6. Assurer une veille régulière sur les forums et Twitter pour connaître les vulnérabilités des logiciels, des navigateurs, des plug-in utilisés.
Par ailleurs, tout webmestre devrait paramétrer son site pour bloquer les accès après plusieurs tentatives erronées pour ne pas permettre aux pirates (ou robots logiciels) d'essayer plusieurs combinaisons de mots de passe indéfiniment. Il devrait également analyser les informations fournies par les outils d'administration et Google Analytics tant pour la connaissance client que la prévention des menaces. Tout site marchand doit faire l'objet d'un certificat SSL pour être accessible en HTTPS pour l'internaute et le rassurer quant au paiement. Enfin, les identifiants et mots de passe des cyberclients ne devraient pas être envoyés en clair sur les messageries électronique, ce qui est encore le cas pour un site sur deux en France. Un pirate ayant accès à la messagerie pourrait faire ses achats sur Internet en utilisant les données personnelles et bancaires le cas échéant des internautes piratés.