Accueil » Blog » Analyses » La sécurité d'un site web, un travail de long terme

La sécurité d'un site web, un travail de long terme

Article commis le 07-06-2011 par Fabien Crépin
[title]

Le Web évolue, les attaques elles aussi se multiplient et la sécurité ainsi que la veille dans ce domaine sont primordiales. Quelques pistes dans ce billet.

Actuellement, les sites Internet doivent faire face à deux problèmes majeurs : la confidentialité et la sécurité. L’avènement des pratiques communautaristes peut simplifier le travail des cybercriminels : il convient donc de connaître la nature du danger et entreprendre quelques tâches protectrices.

Le Web 2.0 exacerbe les failles de sécurité des sites Web

Le Web 2.0, impliquant que les utilisateurs deviennent créateurs de contenu, génère de nombreux risques sécuritaires. Même si la plupart de ces risques existaient avant, les sites Web d’aujourd’hui sont plus exposés.

Dans l’ère du « Web 1.0 », la création de contenu était l’apanage de quelques initiés alors qu’elle est devenue aujourd’hui accessible à tous, et ce, sans passer par des applications locales et sans connaissances technologiques. Grâce à l’AJAX (Asynchronous Javascript And XML), une combinaison de technologies utilisées conjointement, on peut désormais ne récupérer que les données nécessaires, sans avoir à charger l’ensemble de la page. Cette avancée a permis le développement d’applications en ligne assez complexes, comme les suites bureautiques de Google ou Zoho Office, les outils de retouche d’image ou encore les webmails, avec de grandes fonctionnalités. Le Web 2.0 réunit donc les avantages du web (disponibilité universelle, mobilité et partage des documents) et la rapidité et les fonctionnalités d’une application locale.

Naturellement, cette multiplication d’outils disponibles sur Internet, a un coût : la saisie et la publication de nombreuses informations personnelles, qui peuvent se retourner contre leur propriétaire, par le jeu d’un cybercriminel ingénieux.

Attaques et solutions

Quelques types d’attaques courantes

Parmi les attaques les plus fréquentes :

  • Attaques de type XSS (cross site Scripting) qui consistent à injecter du code dans une page web existante pour exécuter un code malveillant ;

  • Attaques de type XSRF ( Cross Site Request Forgery), qui reposent sur l’absence de vigilance des utilisateurs. Le cybercriminel se lie à l’utilisateur pour connaître ses habitudes et utilise ses informations contre lui, pour cibler son attaque.

Il existe de nombreux autres types d’attaques, mais l’intérêt n’est pas tant, ici, de les connaître, que de savoir qu’elles sont nombreuses, et qu’il convient de prendre des mesures pour adapter son comportement et sécuriser au maximum son ordinateur.

Les solutions

Face aux problèmes de confidentialité, il est conseillé, naturellement, de conserver au maximum les informations sensibles pour vous. Par défaut, évitez déjà de divulguer vos coordonnées personnelles à n’importe qui, comme l’adresse, le téléphone, le pseudo MSN ou le mail. Les méthodes d’ « ingénierie sociale » (arnaques XSRF) consistent à pénétrer le « cercle de confiance » pour faire appel ensuite, à des techniques diverses reposant sur la vulnérabilité, l’autorité ou encore les centres d’intérêts.

En tant qu’utilisateur, vous devez prendre vos responsabilités concernant la divulgation de données confidentielles. Vous devez également veiller à la mise à jour consciencieuse de votre système d’exploitation : votre ordinateur doit être correctement armé pour combattre. Naturellement, le recours à un logiciel de sécurité est un paravent supplémentaire aux attaques. A l’image d’une ceinture de sécurité, vous pouvez conduire sans elle, sans avoir d’accident, mais elle devient indispensable et salvatrice en cas d’incident.

Avec le Web 2.0, il serait intéressant de préconiser une protection multicouche. Au-delà du poste en lui-même, il faudrait repenser la sécurité pour offrir un système de réputation des sites web, par exemple. Ainsi, les sites Web changeant sans arrêt de lieu géographique ou ayant subitement un grand nombre de visiteurs (traduisant une redirection involontaire), pourraient être repérés et mis en marge.

Les réseaux sociaux élargissent le « cercle de confiance »

Les réseaux sociaux offrent, aux cybercriminels, un nouveau terrain de jeu. En effet, ils sont attractifs pour trois raisons :

  • Ils sont en perpétuelle évolution et ne disposent pas d’une version sans faille sur laquelle se reposer ;

  • La popularité de ces sites offre une manne de cibles potentielles importante ;

  • La liberté d’action de l’utilisateur pour publier du contenu sous-entend des marges de manœuvre plus grande pour le cybercriminel.

Aujourd’hui, Facebook est le premier réseau social du monde. Même s’il dispose de nombreux réglages en matière de vie privée (il définit qui peut avoir accès, qui peut faire des recherches et quelles actions entreprendre avec les résultats obtenus, qui peut voir les vidéos et les photos, etc.), la tendance est malheureusement d’accepter n’importe qui sur sa liste d’amis.

Basée sur une publication sous son vrai nom, Facebook repose sur le principe d’offrir une amitié au sens le plus large du terme : tu es l’ami d’un ami d’un ami, etc. Mais en donnant l’accès à des inconnus, vous encouragez, malgré vous, la cybercriminalité, et réduisez à néant les réglages de protection établis au moment de l’inscription. Citons par exemple l’histoire d’un utilisateur d’un site de courtage, amateur et adepte du réseau social. Après avoir ajouté un nouvel ami à sa liste, cette personne commence à se nouer d’amitié avec lui. Il commence ainsi à découvrir son emploi du temps et apprend qu’il fréquente un site d’actualités sportives, tout en laissant sa session de courtage ouverte pour émettre des ordres. Le cybercriminel envoie donc un lien vers une actualité de son site de prédilection, qui cache un code lui permettant de récupérer les identifiants de connexion de l’utilisateur sur le site de courtage et de passer les ordres à sa place.

Aujourd’hui, la plupart des propriétaires de solutions logicielles et autres applications 2.0 font appel à la communauté de développeurs (que certains rémunèrent, comme Google pour Chrome et Mozilla pour son navigateur Firefox) pour détecter les failles de sécurité, et conserver au maximum un outil fiable pour ses utilisateurs.

Cette précaution est d’autant plus nécessaire face à la montée en puissance des réseaux sociaux, que l’on peut imaginer, également, une augmentation des attaques, par le biais des téléphones portables avec notamment le système Android ou l’Iphone.

  • partager

Vos réactions

Poster un nouveau commentaire

Le contenu de ce champ sera maintenu privé et ne sera pas affiché publiquement.
  • Les adresses de pages web et de messagerie électronique sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Images can be added to this post.
  • Internal paths in double quotes, written as "internal:node/99", for example, are replaced with the appropriate absolute URL or relative path.

Plus d'informations sur les options de formatage

CAPTCHA
Cette question sert à tester si vous êtes un visiteur humain plutôt qu'une soumission automatique de spam.
Image CAPTCHA
Enter the characters shown in the image.

Blog

A lire aussi...

Banques, médias, gouvernements : ils choisissent Drupal

[title]

Au risque de passer pour une agence web mono-maniaque, voici quand même quelques références encore qui passent sous Drupal... Promis le prochain billet sera consacré à autre chose, en même temps, quand un outil est la référence du moment, il faut bien en parler!

Lire la suite »

Recommandations SEO / SEM

Lire la suite »

Bonnes pratiques avec Drupal

Mieux vaut-il utiliser le rendu du noeud dans une vue ou plutôt des champs? Quels alias choisir? Retour d'expérience après deux ans d'utilisation.

Lire la suite »

Sur FaceBook...

Accès Directs

Qui sommes-nous?

Notre métier

Pratique

Soyez informés