The #ChromeDevSummit site is live, happening Nov 12-13 in San Francisco, CA
Check it out for details and request an invite. We'll be diving deep into modern web tech & looking ahead to the platform's future.

Glossaire relatif aux sites piratés

Ce glossaire recense les termes techniques employés dans notre documentation consacrée à la sécurité.

Droits d'administrateur
Les droits d'administrateur sont le niveau d'autorisation le plus élevé sur un système. Ces droits permettent de supprimer la totalité du site, de réinitialiser les mots de passe, d'importer des fichiers, etc.

Porte dérobée
Une porte dérobée est un programme qui est installé sur un système dans le but d'en contourner les contrôles d'authentification et d'avoir accès au système.

Techniques de dissimulation (cloaking)
Le "cloaking" est une pratique qui consiste à présenter différents contenus ou URL aux utilisateurs et aux moteurs de recherche.

Par exemple, les scripts dynamiques et les règles .htaccess peuvent renvoyer des codes d'état en fonction des requêtes traitées. Grâce à cette stratégie, les pirates informatiques effacent leurs traces en renvoyant un code d'erreur 404 ou 500 à certaines adresses IP ou à certains navigateurs, tout en envoyant des messages de spam à d'autres adresses IP ou navigateurs.

Fichiers de configuration
Les fichiers de configuration stockent des informations comme l'emplacement des bases de données ou les identifiants des sites dynamiques.

Système de gestion de contenu (CMS)
Les systèmes de gestion de contenu sont des logiciels qui aident les utilisateurs à créer et à modifier facilement des sites Web. WordPress, Drupal et Joomla! n'en sont que quelques exemples. Sachez en effet qu'il en existe beaucoup d'autres, certains étant personnalisés.

Spécialistes en investigation numérique
Les spécialistes en investigation numérique sont des personnes ou des équipes qui peuvent vous aider à nettoyer votre site et à identifier par quel biais il a été piraté.

Page Web statique
Une page Web statique est associée à un fichier constant, unique, qui affiche le contenu d'un site Web.

Page Web dynamique
Une page Web dynamique utilise des scripts pour générer du contenu sur le site. Elle fait appel à un logiciel pour générer des pages à la demande, en utilisant une combinaison de scripts et de modèles pour placer du contenu.

eval()
En PHP et JavaScript, la fonction eval() évalue une chaîne et renvoie le résultat. Les fonctions Eval sont déconseillées lorsqu'un site requiert des saisies de la part des utilisateurs. En effet, elles créent une vulnérabilité qui permet aux attaquants d'infiltrer du code malveillant dans le système (par exemple, par l'injection de commandes PHP nuisibles).

FTP
Le protocole File Transfer Protocol (FTP) est utilisé pour transférer des fichiers d'une machine à une autre.

Fichiers cachés
Les fichiers cachés sont des fichiers qui, par défaut, ne s'affichent pas dans un répertoire. En règle générale, les fichiers comme. htaccess sont masqués pour empêcher la modification accidentelle des informations importantes. Vous devez configurer votre système de fichiers de manière à pouvoir consulter et modifier ces fichiers cachés.

Codes d'état HTTP
Les codes d'état HTTP sont des réponses standardisées que les serveurs Web renvoient avec le contenu lorsque les utilisateurs essaient d'interagir avec une page, par exemple lors du chargement d'une page ou de l'envoi d'un commentaire. Ces codes aident les utilisateurs à comprendre comment le site Web répond ou à identifier les erreurs. Reportez-vous à la page consacrée aux codes d'état du Consortium World Wide Web pour obtenir la liste complète de ces codes et leur signification.

iFrame
Un iFrame permet à une page Web d'afficher le contenu d'une page au sein d'une autre. Les iFrames cachés sont une tactique couramment utilisée par les pirates pour rediriger les utilisateurs vers leur propre site.

Fichier journal
Les fichiers journaux sont stockés sur les serveurs Web. Ils enregistrent les demandes des utilisateurs afin de garder une trace de toutes les activités effectuées sur le serveur. En examinant ces fichiers journaux, vous pouvez identifier les tentatives de piratage ou le trafic suspect vers votre site.

Logiciels malveillants
Un logiciel malveillant est un logiciel spécialement conçu pour endommager un ordinateur, perturber le programme exécuté ou nuire à ses utilisateurs. En savoir plus sur les logiciels malveillants

Obscurcissement (Obfuscation)
La technique d'obscurcissement (ou d'obfuscation) est utilisée pour tromper les utilisateurs lors de l'interprétation du code en rendant ce dernier plus difficile à lire. Les méthodes d'obscurcissement couramment employées par les pirates informatiques incluent la substitution de caractères, l'utilisation de noms de variables prêtant délibérément à confusion ou d'encodages comme base64, rot13, gzip, le codage des URL ou le codage hexadécimal, ou une combinaison de ces techniques. Parfois, ces méthodes, telles que base64 et gzip, sont également utilisées pour compresser et cacher de grands volumes de code, par exemple des web shells.

Hameçonnage (phishing)
L'hameçonnage, ou phishing, est une forme d'ingénierie sociale qui conduit les utilisateurs à divulguer des informations confidentielles (par exemple, leur nom d'utilisateur ou leur mot de passe) à un pirate informatique se faisant passer pour une source digne de confiance. Par exemple, un fraudeur envoie à une victime potentielle un email supposé provenir de sa banque et lui demande les informations d'identification de son compte bancaire. En savoir plus sur l'hameçonnage

Search Console
Google Search Console est un service gratuit qui vous aide à contrôler et à maintenir la présence de votre site dans les résultats de recherche Google. Google utilise également la Search Console pour communiquer avec les webmasters au sujet des problèmes rencontrés sur le site. En savoir plus sur la Search Console

Sitemap
Un sitemap est un fichier qui contient la liste des pages Web d'un site et qui fournit aux moteurs de recherche des informations sur la structure du contenu du site. En savoir plus sur les sitemaps

Ingénierie sociale
L'ingénierie sociale est une technique qui permet d'accéder à des informations sensibles ou de les contrôler en conduisant les utilisateurs à communiquer leurs identifiants d'accès plutôt qu'en attaquant le code directement. L'une des formes les plus courantes de l'ingénierie sociale est le hameçonnage. En savoir plus sur l'ingénierie sociale

Pic de trafic
Les pics de trafic correspondent à une augmentation soudaine ou inattendue du trafic sur un site Web.

Authentification à deux facteurs (2FA)
L'authentification à deux facteurs est un mécanisme de sécurité qui vise à protéger la connexion à un compte en exigeant au moins deux niveaux d'authentification. Par exemple, un utilisateur bénéficiant d'une authentification à deux facteurs doit indiquer son mot de passe et un code de sécurité reçu par SMS pour accéder à son compte.

Service d'hébergement Web
Un service d'hébergement Web fournit aux utilisateurs un espace pour héberger leur site Web sur un serveur Web, par exemple Google Sites. D'autres fonctionnalités ou outils peuvent être disponibles en fonction du service.

Langages de script Web
Les langages de script Web sont généralement combinés au code HTML pour ajouter des fonctionnalités supplémentaires à un site. Par exemple, des langages de script sont utilisés pour le traitement des formulaires, la modération de commentaires ou pour des effets visuels spécifiques. En contexte, les guides de récupération des sites piratés utilisent le terme "langage de script" pour faire référence à PHP ou JavaScript.

PHP est un langage de script côté serveur, ce qui signifie que le serveur Web interprète et exécute ses commandes.

JavaScript est principalement un langage côté client, ce qui signifie que le navigateur de l'utilisateur interprète et exécute ses commandes.

Serveur Web
Un serveur Web désigne l'ordinateur et les logiciels qui hébergent et contrôlent les pages Web et les autres fichiers associés à un site Web.

Web shell
Un Web shell est un script de porte dérobée qui permet aux pirates d'avoir accès à un serveur.

Spam Web
Le spam Web est une tactique de piratage par SEO (optimisation pour les moteurs de recherche) ou par spam, qui tente d'améliorer le classement ou la popularité d'un site en trompant et en manipulant les moteurs de recherche.