Un site sécurisé ? C’est quasi une légende ! Préparez-vous !

Quand on commence à travailler dans le monde du web, nous entendons souvent des histoires à propos de la sécurité des sites internet, applications, etc. En effet, que nous soyons développeurs, administrateurs systèmes, webmasters ou autre, nous consultons des articles sur l’ensemble de la toile à propos de plugins vulnérables, de failles découvertes, de techniques pour « sécuriser son site web », et plus encore.

Aujourd’hui, j’ai voulu faire un article concernant cette fameuse sécurité sur le web, surtout avec les derniers débats SEO à propos du protocole HTTPS. Je commencerai donc cet article en dévoilant ma vision des choses, puis je vous présenterai ce qui est pour moi le plus important en matière de sécurité, c’est-à-dire la politique de sécurité. Enfin, je terminerai en mettant en avant un outil afin de régler vos problèmes rapidement en cas de catastrophe (ou à utiliser en prévention).

[alerts title= »Attention ! » type= »info »]Attention, les informations ci-dessous proviennent de mes réflexions et de l’expérience que j’ai pu acquérir au fil des années. En aucun cas, je ne suis consultant en sécurité[/alerts]

Ma vision à propos de la sécurité des sites web et d’internet

Pour commencer, j’aimerais vous mettre face à ma vision des choses en ce qui concerne la sécurité. J’ai souvent vu des articles pour sécuriser son blog, son serveur… et je trouve qu’ils s’orientent souvent vers l’objectif suivant : « Tu fais ceci, ça et cela, et ton site sera sécurisé. ». En clair, on rassure, on donne des pratiques plus ou moins pertinentes, on met en place avec un tutoriel, et nous sommes soit disant sécurisé. Honnêtement, ces articles ne sont pas mauvais, mais je trouve que la plupart d’entre eux ne montrent pas réellement l’aspect fondamental de la sécurité.

Premièrement, beaucoup de techniciens le savent, le web est loin d’être sécurisé et la plupart du net est vulnérable aux attaques en tout genre. En effet, ce serait se mettre des œillères de dire qu’il n’y a pas des centaines de failles découvertes chaque jour, des milliers d’attaques réalisées chaque minute, etc. Que ce soit contre des WordPress, des Joomla, des Symfony, des serveurs web, des infrastructures… Les sites internet et les réseaux ne sont pas réellement protégés et subissent régulièrement des attaques.

Pour aller encore un peu plus loin, sachez que certaines études parlent parfois de 70% du web et des réseaux qui seraient vulnérables. Ce nombre est ahurissant et les sites sécurisés sont bien souvent ceux appartenant aux banques, à la Nasa, et parfois, au gouvernement. Puis, c’est sans compter les personnes qui ont accès à une montagne d’information et qui pourraient s’en servir facilement pour nuire, mais qui ne le font pas par bonne conscience.

Ce n’est pas pour vous paniquer que je dis cela, mais pour vous mettre devant des faits. Même si des attaques ne sont pas orchestrées contre tout le monde, le risque est présent.

Ce que je veux dire, c’est qu’il y a des failles plus ou moins graves dans la plupart des sites internet, applications, objets connectés… elles ne sont juste pas encore utilisées ou découvertes. Il faut juste espérer que ce soit un « gentil » qui passe par là le premier, histoire de corriger le problème avant que quelqu’un en profite.

Bref, tout ça pour dire que ce n’est pas tellement le fait de regarder des tutoriels et de les appliquer qui va faire que votre site sera sécurisé, le plus important est surtout d’adopter une politique de sécurité, ce que je vais vous présenter de suite.

Adopter une politique de sécurité fiable et robuste

Alors maintenant, c’est bien beau, mais comment fait-on pour sécuriser un site ? Et bien, c’est ce que nous allons voir maintenant puisque je vais vous donner quelques pistes pour adopter une bonne politique de sécurité pour votre site web. D’ailleurs, je préfère vous le dire avant que vous me disiez quoique ce soit, ce n’est pas du tout complet, ça ne vient pas non plus d’un livre ou autre. C’est seulement le produit de réflexions provenant en partie de mon expérience, de rencontre… Et c’est simplement une mise à l’écrit.

[box type= »info » align= »aligncenter » ]Si vous souhaitez voir quelque chose de plus officiel, je vous encourage à regarder sur le site suivant et d’autre que vous pourrez trouver sur le net facilement -> http://www.securite-informatique.gouv.fr/autoformations/securite_reseaux_3/co/secu_reseau_3.html[/box]

Tout d’abord, sachez que j’ai 4 gros points à vous faire découvrir, mais avant ça, j’ai un premier conseil à vous donner : faites les choses proprement dès le départ.

Choisissez votre serveur en fonction de vos besoins, choisissez quelque chose de fiable, rapide, performant, un minimum sécurisé… Et demandez à un bon infogérant de mettre en place tout cela, il saura vous répondre… c’est son métier et un métier. Ensuite, continuez en installant une bonne solution, elle-aussi choisie selon vos besoins et un tas de critères, tout en faisant du développement de qualité et plus encore.

En clair, vous devez faire les choses dans les règles de l’art, avec des bons éléments, des bons outils, des bonnes idées, tout en vous mettant à la page régulièrement (mise à jour, maintenance régulière, etc). Si vous vous pressez, vous allez bâcler. Si vous vous préparez et y allez tranquillement (sans pour autant glander), vous n’aurez pas de soucis et la suite sera profitable et plus simple. Cette partie pourrait d’ailleurs rentrer dans le cadre de la prévention, mais j’ai préféré faire une distinction. Ceci était donc mon premier conseil.

Maintenant, de manière générale, ceci sécurise un minimum et ce sont par la suite les ajouts de code, la vie d’un site, l’évolution des pratiques, etc.. qui vont faire que des failles pourraient apparaître. Voyons maintenant les 4 points que je vous ai préparé sur la politique de sécurité.

#1 – Prévenir

Le fait de prévenir une attaque est tout simplement d’anticiper celle-ci avant qu’elle arrive. Je dirais que c’est le moment T (temps) -X min. L’attaque ne s’est pas encore produite et vous devez savoir si vous allez être une victime dans quelques instants, quelques heures, quelques semaines, etc. Vous avez des tas de moyens d’effectuer cela, mais cela peut être très difficile, car le danger ne prévient pas.

Vous pouvez faire une veille et regarder s’il n’y a pas des menaces qui sont dites à votre encontre, vous pouvez estimer si vos concurrents sont assez idiots pour effectuer des attaques, vous pouvez mettre des systèmes de monitoring pour constater des tentatives ou autre, etc. Bref, vous faites de la prévention. Vous vous devez d’effectuer une veille et de vous informer sur les pratiques courantes, les failles qui apparaissent, etc.

Je dirais donc que le but ici est de savoir à l’avance ce qui va se passer pour pouvoir mieux intervenir au moment où cela va se passer.

#2 – Ralentir

Une fois que l’attaque se produit, nous rentrons dans le fait de ralentir, mais ralentir quoi ? Et bien, c’est ralentir la propagation au sein de tout le site (si possible), ralentir une attaque pour éviter qu’elle nuise trop, trop vite. En clair, à l’instant T où la personne malveillante commence à faire son attaque, votre système doit vous alerter qu’il se passe quelque chose d’anormal.

C’est alors que d’autres systèmes se mettent en route pour ralentir l’attaque pendant que vous corrigez le problème ou le surveillez (partie réagir).

Par exemple, le fait de développer un système anti attaque brute-force empêchera la personne de continuer son attaque comme une lettre à la poste, il devra trouver autre chose ou persévérer tout en étant face à une situation plus difficile qu’elle n’y paraissait. Souvent, le seul fait de mettre en place quelques fonctionnalités, de faire attention à ne pas faire certaine chose, rebute les pirateurs et compagnie.

En clair, ralentir, c’est la phase où soit vous faites échouer l’attaque de la personne malveillante, soit vous lui donner de la difficulté.

#3 – Réagir

A partir de l’instant T où l’attaque est perpétrée, il faut tout de suite réagir et intervenir. C’est un moment d’évaluation de l’instant. Si l’attaque continue et qu’un problème important est constaté (intrusion, attaque DDOS, paralysie du site, etc), il faudra mettre en place une correction pour palier au problème. Cette partie est très difficile, car il faut comprendre le problème, trouver ce qui fait que le site a un problème, où est ce que le problème se trouve, le corriger, et le surveiller. Et bien sûr, tout cela en un minimum de temps.

Si un problème peut être réglé en 20 minutes, c’est déjà bien, mais il faut à tout prix éviter les longues interruptions de service (plusieures heures) ! En effet, des sites comme Google, Amazon ou autre perdraient énormément d’argent en cas de problème, d’où l’intérêt de payer des consultants en sécurité pour mettre en place des systèmes quasi-infaillibles et réaliser une maintenance constante et régulière.

Réagir, c’est donc se presser à terminer l’attaque et à corriger le problème en un minimum de temps.

#4 – Se remettre en question

Nous arrivons dans cette dernière étape où le stress a souvent disparu et a laissé sa place à la remise en question. Une fois que vous vous êtes fait attaquer, que vous avez réglé le problème, il faut se remettre en question. Pourquoi cela est arrivé ? Pourquoi notre site ? Est-ce que cela peut recommencer ? Combien avons nous perdu ? Est ce possible qu’il y ait eu des informations de nos clients volés ? Doit-on faire un communiqué de presse ? Dur dur l’après… Mais il faut se relever comme lors d’une chute. On s’en sort plus fort !

Enfin voilà, je vous ai dit ce que sont pour moi les 4 gros points à adopter afin d’avoir une bonne politique de sécurité. Il n’y a pas tout, je le sais, mais chaque projet est différent, et je pense que si vous vous renseignez un petit peu, que vous contactez des professionnels de la sécurité, vous comprendrez que je ne peux pas tout marquer, c’est un sujet vaste.

Tu n’as pas un outil pour la sécurité ?

Il y a quelques temps, j’ai fait la connaissance d’une personne qui était plutôt calé dans le sujet, c’est lui qui m’a apprit ces quelques trucs. D’ailleurs, il travaille aujourd’hui pour l’entreprise qui crée les caméras présente dans les Google Car pour la fonctionnalité Street View. J’ai d’ailleurs trouvé cela assez drôle, surtout quand je lui ai dit que j’étais consultant SEO et que je bouffais du Google toute la journée.

Bref, je ne vais pas vous raconter sa vie ni la mienne, il m’a proposé de tester un logiciel appelé Acunetix. Je ne sais pas s’il est encore au top aujourd’hui, mais de ce que j’ai vu, il permet de détecter les failles dans votre site, que ce soit du XSS, de l’injection SQL, des scripts malicieux pour WordPress ou autre. Il est très complet et fonctionne comme un crawler.

Il effectue des tests de pénétration, il balance des scripts en tout genre, etc. Seul hic, il coute très cher ! Je vous conseille donc de tester la version d’essai et de le garder sous le coude si un jour vous voulez vraiment faire un check sur un projet. A noter que beaucoup de consultant semble l’utiliser, donc vous pouvez aussi faire appel à eux !

Sinon, si vous n’avez pas trop d’argent et que vous êtes un Google addict, n’oubliez pas qu’il y a aussi au sein des Google Webmasters Tools un onglet « Problèmes de sécurité ». Vous avez une aide sur la page suivant à propos de la sécurité.

Conclusion

La sécurité est bien trop souvent minoré à sa juste valeur. On ne dit pas tout et c’est bien dommage. On parle souvent de la couche superficielle du problème. Ceci dit, je pense avoir tout de même mis quelques informations essentielles, même si l’on pourrait encore écrire des tas de lignes. Le tout est de retenir qu’il faut bien faire son boulot, bien suivre les règles de l’art, sécuriser un minimum son site, et surtout, se préparer à agir en adoptant une politique de sécurité fiable (il faut prévoir les détecteurs et extincteurs en cas d’incendie si vous préférez).

Voilà, c’est terminé pour cet article sur la sécurité ! J’espère qu’il vous a plu. Si vous avez des informations complémentaires ou des suggestions/critiques, n’hésitez pas à laisser un commentaire ! Merci à tous et à bientôt !