Sé­cu­ri­ser vos don­nées

Com­ment sé­cu­ri­ser vos don­nées ?

Les dif­fé­rents types d’at­taques.

De­puis quelques an­nées, les pi­rates in­for­ma­tiques qui s’at­taquent aux sites web changent de com­por­te­ment. Ils ne mo­di­fient plus les pages web en si­gnant leur réa­li­sa­tion (de­fa­cing en an­glais). Au contraire, ils ont ten­dance à res­ter le plus in­vi­sible pos­sible sur le site afin d’y res­ter le plus long­temps pos­sible. Com­ment ? Sur la glo­ba­li­té des in­fec­tions de sites web, deux grands types d’in­fec­tion res­sortent : La mo­di­fi­ca­tion des pages web : Elle est in­vi­sible en termes de ren­du.

Elle se com­pose elle-même de deux types de mo­di­fi­ca­tions :

• L’a­jout d’un iframe poin­tant vers un site web hos­tile, contrô­lé par le pi­rate.
• L’a­jout d’un Ja­vas­cript hos­tile.

En ajou­tant un iframe, par exemple, dans une page web du ser­veur, le pi­rate peut ob­te­nir des in­for­ma­tions sur les vi­si­teurs du site web in­fec­té.

En ajou­tant un Ja­vas­cript hos­tile, lorsque la page est vue par un in­ter­naute, le ja­vas­cript hos­tile s’exé­cute sur le poste de l’in­ter­naute. Il peut donc être vic­time d’un “ex­ploit” de na­vi­ga­teur, d’un té­lé­char­ge­ment de mal­ware sur son poste à son in­su, etc.

L’u­ti­li­sa­tion de ces ou­tils est simple : Il suf­fit de scan­ner tout ou par­tie des adresses IP d’In­ter­net afin de trou­ver des failles dans les ser­veurs web. Une fois la faille trou­vée, il suf­fit d’ap­pli­quer la mé­thode de son ex­ploi­ta­tion pour ac­cé­der aux fi­chiers sto­ckés sur le disque dur du ser­veur web. La mé­thode en ques­tion peut être de l’in­jec­tion SQL, de l’in­clu­sion de fi­chier, de l’in­tru­sion FTP, de l’in­tru­sion du ser­vice web, de l’URL poi­so­ning,… Com­pre­nez que si votre site a une faille, les scan­ners sur In­ter­net la re­pé­re­ront et l’ex­ploi­te­ront ra­pi­de­ment.

Les types de vi­rus qui peuvent vous in­fec­ter :

Tout élé­ment nui­sible per­turbe l’or­di­na­teur, col­lecte des don­nées per­son­nelles ou, dans le pire cas, ac­cède en­tiè­re­ment à la ma­chine. En gé­né­ral, votre ac­tion est re­quise. Ce­pen­dant, en cas de té­lé­char­ge­ment non sol­li­ci­té, le site ins­talle un lo­gi­ciel sans au­to­ri­sa­tion.

Ran­çon­gi­ciel, en fran­çais est un lo­gi­ciel mal­veillant qui prend en otage des don­nées per­son­nelles. Ain­si, le ran­çon­gi­ciel chiffre des don­nées per­son­nelles, exi­geant une ran­çon pour la clé de dé­chif­fre­ment en échange d’argent.

Il peut s’a­gir de :

• l’i­non­da­tion d’un ré­seau afin d’empêcher son fonc­tion­ne­ment
• la per­tur­ba­tion des connexions entre deux ma­chines, em­pê­chant l’ac­cès à un ser­vice par­ti­cu­lier
• l’obs­truc­tion d’ac­cès à un ser­vice pour une per­sonne en par­ti­cu­lier
• éga­le­ment le fait d’en­voyer des mil­liards d’­oc­tets à une box in­ter­net.

Ain­si, elle peut blo­quer un ser­veur de fi­chiers, rendre im­pos­sible l’ac­cès à un ser­veur web ou em­pê­cher la dis­tri­bu­tion de cour­riel dans une en­tre­prise.

Par ailleurs, l’at­ta­quant n’a pas for­cé­ment be­soin de ma­té­riel so­phis­ti­qué. Ain­si, cer­taines at­taques peuvent être exé­cu­tées avec des res­sources li­mi­tées contre un ré­seau de taille plus im­por­tante et plus mo­derne. On ap­pelle par­fois ce type d’at­taque « at­taque asy­mé­trique » en rai­son de la dif­fé­rence de res­sources entre les pro­ta­go­nistes.

Pour­quoi les pi­rates in­for­ma­tiques créent-ils des vi­rus ?

Alors, dans ce cas, po­sez-vous les ques­tions sui­vantes : Y a‑t-il des don­nées sen­sibles dans vos fi­chiers du site web ? Qu’il y a‑t-il dans la base de don­nées ? D’ex­pé­rience, cer­taines en­tre­prises stockent les mots de passe de leurs clients ou four­nis­seurs, no­tam­ment pour l’ac­cès à des zones pri­vées du site. D’autres stockent des de­vis, des de­mandes de contact, des listes de per­sonnes, et même des nu­mé­ros de cartes ban­caires. Toutes ces in­for­ma­tions ont une va­leur pé­cu­niaire, sur­tout vis-à-vis de la concur­rence.

L’autre in­té­rêt est d’a­voir “sous la main” une mul­ti­tude de ser­veurs web dont on ex­ploi­te­ra la puis­sance CPU ou la bande pas­sante.

La puis­sance CPU pour­ra être uti­li­sée pour cas­ser des mots de passe si­mul­ta­né­ment sur plu­sieurs ser­veurs (cra­cking dis­tri­bué).

La bande pas­sante uti­li­sée sur plu­sieurs ser­veurs per­met­tra de per­pé­trer des dé­nis de ser­vice dis­tri­bués par sa­tu­ra­tion du ser­veur vic­time. Elle fa­ci­lite éga­le­ment l’exé­cu­tion d’un scan­ner de failles web pour cou­vrir plus ra­pi­de­ment toutes les adresses IP sur In­ter­net. No­tons au pas­sage que si votre site web est uti­li­sé à des fins de ten­ta­tives de pi­ra­tage vers d’autres sites web, la res­pon­sa­bi­li­té du pro­prié­taire du site at­ta­quant est en­ga­gée.

• Quel est le coût d’un vol des in­for­ma­tions sen­sibles qui se­raient hé­ber­gées sur votre site web ?
• Quel est le coût si ces mêmes in­for­ma­tions sont trans­mises à la concur­rence ?
• Quel est le coût de se voir bla­ck­lis­té par Google ?
• Quelle est la ré­per­cus­sion en termes d’image pour vous ou votre en­tre­prise si votre site web est uti­li­sé à des fins illé­gales ?
• Quel est le coût d’une bande pas­sante sa­tu­rée lors d’un dé­ni de ser­vice ef­fec­tué à par­tir de votre ser­veur web ?
• Quel est le coût de voir son site web fer­mé par l’­hé­ber­geur pour cause de non-res­pect des condi­tions gé­né­rales de vente ?

Ain­si, il y a deux consé­quences di­rectes :

Au-de­là de l’as­pect pu­re­ment fi­nan­cier, si vous êtes pro­prié­taire d’un site web, votre res­pon­sa­bi­li­té peut être en­ga­gée en cas de li­tige. Par exemple, sans votre connais­sance, si votre site web dif­fuse des mal­wares ou mène des at­taques vers d’autres cibles.

En­fin, en tant qu’in­ter­naute, vous pou­vez être in­fec­té par un mal­ware sans vous en rendre compte en vi­si­tant un site pi­ra­té.