The #ChromeDevSummit site is live, happening Nov 12-13 in San Francisco, CA
Check it out for details and request an invite. We'll be diving deep into modern web tech & looking ahead to the platform's future.

Principales méthodes de piratage des sites Web par les spammeurs

Il est essentiel de comprendre comment votre site a été piraté pour pouvoir le protéger contre de futures attaques. Dans cet article, nous présentons certaines failles de sécurité qui peuvent être exploitées pour pirater votre site.

Mots de passe découverts

Les pirates informatiques peuvent utiliser des techniques qui permettent de deviner les mots de passe en essayant plusieurs mots de passe jusqu'à trouver le bon. Les attaques par découverte du mot de passe peuvent être menées par le biais de différentes méthodes, telles que l'utilisation de mots de passe courants ou la recherche par combinaisons aléatoires de lettres et de chiffres jusqu'à ce que le mot de passe soit découvert. Pour que votre mot de passe reste confidentiel, choisissez un mot de passe sécurisé, difficile à deviner. Reportez-vous à notre article du centre d'aide Google pour savoir comment créer un mot de passe sécurisé.

Deux points sont essentiels. Tout d'abord, il est important d'éviter de réutiliser un même mot de passe d'un service à l'autre. Si des attaquants identifient votre nom d'utilisateur et votre mot de passe, ils les essaieront sur autant de services que possible. L'utilisation de mots de passe différents sur différents services peut donc empêcher les comptes d'autres services d'être piratés.

Ensuite, il est judicieux d'exploiter une authentification à deux facteurs (2FA) comme la validation en deux étapes de Google, si cette option est disponible. Cette technique instaure un second niveau d'identifiants de connexion, généralement sous la forme d'un code envoyé par SMS ou d'un autre code généré dynamiquement. Il est ainsi plus difficile pour les attaquants d'accéder à votre compte uniquement avec un mot de passe volé. Certains fournisseurs de CMS peuvent fournir des conseils sur la configuration de l'authentification à deux facteurs. Reportez-vous à la documentation relative à Joomla!, WordPress ou Drupal.

Mises à jour de sécurité manquantes

Les anciennes versions des logiciels peuvent présenter des failles de sécurité importantes qui permettent aux pirates informatiques d'infecter la totalité d'un site. Les attaquants recherchent activement les vieux logiciels présentant des failles de sécurité. Ignorer une telle faille sur votre site augmente les chances que ce dernier soit attaqué.

Remarque : Il est essentiel de rechercher régulièrement les mises à jour logicielles de votre site afin de corriger les failles de sécurité. Il est même préférable de configurer la mise à jour automatique des logiciels, lorsque c'est possible, et de demander à recevoir les annonces de sécurité relatives aux logiciels que vous exécutez.

Voici quelques exemples de logiciels pour lesquels vous pouvez demander la mise à jour automatique :

  • Logiciels de serveur Web, si vous exécutez vos propres serveurs
  • Système de gestion de contenu (CMS) comme WordPress, Drupal et Joomla!
  • Tous les plug-ins et modules complémentaires utilisés sur votre site

Thèmes et plug-ins non sécurisés

Sur un CMS, les plug-ins et les thèmes offrent des fonctionnalités supplémentaires pertinentes et avancées. Sachez toutefois que les thèmes et les plug-ins obsolètes ou sans correctifs sont très souvent à l'origine de failles de sécurité sur les sites Web. Si vous utilisez ces éléments sur votre site, veillez à les tenir à jour et supprimez ceux qui ne sont plus gérés par leurs développeurs.

Soyez extrêmement prudent avec les plug-ins ou les thèmes gratuits des sites non approuvés. Les attaquants ont souvent l'habitude d'ajouter un code malveillant aux versions gratuites des plug-ins ou des thèmes payants. Lorsque vous supprimez un plug-in, veillez à supprimer tous ses fichiers de votre serveur ; ne vous contentez pas de le désactiver.

Ingénierie sociale

L'ingénierie sociale consiste à exploiter la nature humaine pour déjouer une infrastructure de sécurité sophistiquée. Ces types d'attaques conduisent les utilisateurs autorisés à fournir des informations confidentielles, telles que des mots de passe. La forme la plus courante d'ingénierie sociale est l'hameçonnage. Dans le cadre d'une tentative d'hameçonnage, un pirate informatique envoie un email provenant soi-disant d'une organisation légitime et demande des informations confidentielles.

Remarque : D'après une étude réalisée par Google sur l'ingénierie sociale, les campagnes d'hameçonnage les plus efficaces obtiennent un taux de réussite de 45 %.

Pensez à ne jamais divulguer d'informations sensibles (par exemple, des mots de passe, des numéros de carte de crédit, des informations bancaires ou même votre date de naissance), sauf si vous êtes sûr de l'identité du demandeur. Si votre site est géré par plusieurs personnes, n'hésitez pas à les sensibiliser aux problèmes de sécurité, notamment aux attaques d'ingénierie sociale. Vous pouvez consulter le centre d'aide de Gmail pour obtenir des conseils de base sur la protection contre l'hameçonnage.

Failles dans les règles de sécurité

Si vous êtes administrateur système ou si vous exécutez votre propre site, n'oubliez pas que des règles de sécurité peu efficaces peuvent permettre aux pirates informatiques d'infecter votre site. Voici quelques exemples :

  • Autoriser les utilisateurs à créer des mots de passe peu sécurisés
  • Donner un accès administratif aux utilisateurs qui n'en ont pas besoin
  • Ne pas activer le protocole HTTPS sur votre site et permettre aux utilisateurs de se connecter via HTTP
  • Autoriser les chargements de fichiers provenant d'utilisateurs non authentifiés, ou sans aucun type de vérification

Voici quelques conseils de base pour protéger votre site :

  • Assurez-vous que des contrôles de sécurité élevés sont configurés sur votre site en désactivant les services inutiles.
  • Testez les contrôles d'accès et les droits d'utilisateur.
  • Utilisez le chiffrement pour les pages qui contiennent des informations sensibles, comme les pages de connexion.
  • Recherchez régulièrement les activités suspectes dans vos fichiers journaux.

Fuites de données

Des fuites de données peuvent se produire lorsque des données confidentielles sont importées, et qu'une configuration inappropriée les rend accidentellement publiques. Par exemple, dans une application Web, la gestion des erreurs et la messagerie peuvent donner lieu à des fuites d'informations de configuration dans un message d'erreur non géré. En utilisant une méthode connue sous le nom de dorking, les personnes malveillantes peuvent en effet exploiter la fonctionnalité des moteurs de recherche pour trouver ces données.

Assurez-vous que votre site ne divulgue aucune information sensible à des utilisateurs non autorisés. Pour cela, procédez à des vérifications périodiques et limitez l'accès aux données confidentielles aux entités de confiance par le biais de règles de sécurité. Si vous découvrez qu'une information confidentielle est affichée sur votre site et si vous voulez la supprimer immédiatement des résultats de recherche Google, vous pouvez utiliser l'outil de suppression d'URL pour supprimer les URL concernées de la recherche Google.