Suivez les conseils d’un hacker pour sécuriser vos données web

Vous l'avez sans doute remarqué, ces derniers jours la presse a relayé des chiffres effrayants sur le phénomène du piratage informatique s'attaquant aux entreprises, et plus particulièrement aux PME. La RTBF montrait d'ailleurs dans un de ses récents reportages le témoignages d'une PME victime de hacking qui a décidé de payer une rançon pour pouvoir continuer à utiliser ses fichiers de travail.

Pourquoi les PME sont-elles la cible privilégiée des pirates informatiques?

D'une part, elles représentent 98% des entreprises. Ensuite, le système de protection des infrastructures IT des petites entreprises, souvent moins sophistiqué, autorise des attaques moins perfectionnées et donc plus faciles. Il apparaît notamment que le ransomware domine actuellement le marché des malwares (les logiciels malveillants que les pirates informatiques placent dans les machines de leurs victimes). Qu'est-ce que le ransomware? Ces "logiciels rançons" bloquent l'accès aux fichiers qui sont cryptés et donc inutilisables. La victime est alors invitée à payer pour récupérer l'accès à ses fichiers.

Plus de 1.000 incidents par mois

La menace est bien réelle. Il ne s'agit pas de cas isolés selon les chiffres avancés par la Cyber Security Coalition. Alors que les données partagées en ligne sont chaque jour plus abondantes, l'enjeu de la sécurité digitale n'a jamais été aussi d'actualité. Toutes les 10 minutes, 5 exaoctets sont générés (alors qu'en 2011, cela se faisait en 2 jours) entre 3,7 milliards d’internautes. Il apparaît que seules 0,5% de ces données sont analysées.

Comment se prémunir contre les attaques de pirates informatiques?

Nous avons demandé l'avis d'un hacker professionnel. Luigi Scarpinati a lancé Althree Solutions pour accompagner les entreprises dans la sécurisation de leurs infrastructures IT. Depuis 2009, Luigi oeuvre en tant qu'indépendant pour une meilleure sécurisation des systèmes informatiques.

" Avant même de se poser la question de sécurisation des données, il faut se demander quelles sont les données qui transitent par mon site et celles qui pourraient être sensibles. En gros, de quelles façons un pirate IT pourrait tirer profit de mes données?" nous conseille Luigi Scarpinati.

3 niveaux à distinguer dans la sécurité web:

1. la sécurité des visiteurs du site. Une faille majeure à ce niveau est celle du XSS. Elle est liée à l'utilisation du javascript qui permet une meilleure ergonomie et interaction avec les utilisateurs. Seulement, un site qui présente une faille XSS permet l'utilisation du javascript au détriment des visiteurs et utilisateurs du site. Comment cela s'illustre-t-il? Imaginons un site qui autorise un système de commentaires. Classique. Si ce sytème de commentaires permet d'inclure des balises html, c'est une porte d'entrée pour un pirate qui pourrait insérer une balise de type "<script>...</script>". Si le site stocke le script dans sa base de données, chaque fois que quelqu'un va visiter la page le script pourrait bien exécuter un malware. Très classique comme faille.
2. la sécurité des utilisateurs. On retrouve couramment des sites qui proposent une interface privée à laquelle les utilisateurs se connectent. Les sites internet utilisent un système de gestion des sessions pour gérer les connections de leurs utilisateurs. Une des failles pourrait résider dans la façon dont le site gère les sessions ou les cookies. Ce type de faille permet à un pirate de voler la session d'un utilisateur et d'effectuer des actions au nom de cet utilisateur.
3. et celle de l'infrastructure qui supporte le site. Ici, il n'est pas question de la sécurité du site en lui-même mais du serveur qui l'hébèrge, de sa base de données et celle de ses membres, ... Un pirate pourrait se rendre compte de failles sur les serveurs qui supportent le site et attaquer l'infrastructure afin de prendre la main sur le site. Il peut aussi arriver à ses fins par le site web. Il arrive que certains sites présentent une faille permettant de parcourir les dossiers sur le serveur en incluant des commandes dans les requêtes émises par le site. D'autres sites permettent via des formulaires de rentrer des "commandes" qui seront exécutées par la base de données. Ce commandes sont alors effectuées par le serveur et peuvent permettre un accès au pirate.
   

5 conseils pour se prémunir d'attaques malveillantes de la part des pirates:

• s'assurer que tout formulaire web ou url de site ne permette pas d'inclure des balises html ou autre commande sensible.
• pour les commandes liées à la base de données, le site doit contenir des mécanismes évitant qu'un utilisateur n'entre des commandes de tye SQL ou ne puisse générer des commandes sur la base de données
• gérer les sessions des utilisateurs de façon à ce qu'elles ne permettent pas l'usurpation d'une session, avec par exemple une gestion des cookies qui impose un délai d'expiration à la session et au cookies
• le serveur qui hébèrge le site doit interdire l'accès aux autres dossiers sur le serveur. Il ne doit permettre aucun autre accès qu'aux fichiers nécessaires au fonctionnement du site. Pour cela, il faut supprimer certains fichiers ou dossiers d'installation après avoir installer le CMS
• en cas d'utilisation d'un CMS opensource, maintenir à jour ses plugins.

Avec la numérisation des processus de communication, nous ne pouvons plus aujourd'hui prendre l'enjeu de la sécurité des données à la légère. Si vous souhaitez aller plus loin dans la prévention et la gestion de votre sécurité digitale, le Centre for Cyber Security in Belgium a rédigé un guide utile à l'attention des entreprises. Il conseille en matière de prévention, gestion et communication sur les incidents de cybersécurité.

Sources: 

• http://www.ccb.belgium.be
• http://www.rtl.be/
• http://www.blogdumoderateur.com/

Merci à Luigi Scarpinati de chez Althree Solutions, pour sa contribution à cet article.