Comment faire un audit de sécurité de site Web

Pas un jour ne passe sans qu’une histoire de piratage de site ne fasse la une des médias. Bien sûr, nous pensons qu’une telle mésaventure n’arrive qu’aux autres – jusqu’à ce que nous en soyons victimes. À tout moment, des individus malveillants peuvent analyser votre site Web afin d’y détecter les failles. Leur but ? Utiliser votre site et/ou votre serveur à des fins frauduleuses. Pour éviter ces pièges, vous devez absolument réaliser un audit de sécurité de votre site Web.

Avant d’aborder la question des audits de sécurité des sites Web, étudions les différents risques de compromission qu’encourt votre site Internet. Cela vous donnera un aperçu de l’ennemi que vous affrontez et de l’importance de la surveillance de votre site. 

Les six formes d’attaque informatique les plus courantes

Infection par malware

Menace la plus courante, le malware est une vaste notion qui regroupe virus, vers, chevaux de Troie, ransomwares, logiciels espions, et bien d’autres. Un malware peut effacer toutes vos données, subtiliser vos informations client, infecter vos visiteurs… La liste est longue !

Attaque par déni de service distribuée (DDoS)

Une DDoS peut faire sauter votre site en l’inondant de trafic automatisé. La moindre minute d’indisponibilité de votre site signifie pour vous une perte de clientèle et de chiffre d’affaires. 

Force brute

Ces attaques menées sur vos mots de passe consistent à tester toutes les combinaisons possibles. Une fois le mot de passe trouvé, les pirates informatiques peuvent accéder à votre système informatique, voler des données sensibles… bref, faire tout ce qu’ils veulent.

Injection

Les « failles d’injection », de leur côté, permettent à l’attaquant d’envoyer des données malveillantes dans une commande/requête. Celle-ci piège le site en l’amenant à effectuer une action répréhensible (ex. : transmettre au pirate toute votre base de données clients).

Cross-site scripting

Le cross-site scripting (XSS) transmet des données fournies par l’utilisateur à un navigateur Web sans les faire valider préalablement. Ces failles de sécurité sont utilisées par le hacker pour rediriger, à leur insu, les utilisateurs du site ou en « défaçant » ce dernier, ce qui fait perdre de l’argent au propriétaire du site.

Jour zéro

Jour zéro (« zero-day ») est une intrusion informatique lancée dès la détection d’une nouvelle vulnérabilité, avant même que des versions correctives ne soient disponibles. Ces intrusions sont impossibles à prévoir. Cependant, vous pouvez investir dans un WAF (pare-feu d’application Web), qui corrige virtuellement votre site Web dans les instants qui suivent la divulgation d’une attaque jour zéro.

Il est essentiel de faire preuve de proactivité et de pouvoir déployer un processus de protection de votre site.

Beaucoup estiment que le fait de ne posséder aucune donnée les met à l’abri du hacking. Cette supposition est erronée : tout site Web est truffé de scripts et hébergé par un serveur lui-même prêt à exécuter de nouveaux scripts, qui peuvent être téléchargés sans que vous n’en sachiez rien.

Une évaluation du niveau de sécurité de votre site permet de protéger ce dernier en détectant les vulnérabilités sur le point d’être identifiées. Vous avez tout intérêt à tuer dans l’œuf de tels incidents, sous peine de voir Google afficher votre site comme « malveillant » dans les résultats de recherche. La panique s’installe rapidement, dès lors que vous devez à tout prix dénicher un professionnel pour restaurer et nettoyer votre site.

Comment mener un audit de sécurité de site Web

1. Mettez à jour vos scripts et applications.
2. Assurez-vous que votre domaine et votre adresse IP sont propres.
3. Utilisez des mots de passe forts.
4. Supprimez les comptes utilisateur abandonnés.
5. Ajoutez un protocole SSL.
6. Utilisez un protocole SSH.
7. Lancez un scan de sécurité.

Selon votre configuration et votre infrastructure informatique, l’état des lieux de la sécurité d’un site Web peut relever de l’exercice technique. Nous aborderons aujourd’hui uniquement les précautions de base qui vous permettront de vous assurer que votre site Web n’ouvre pas grand la porte aux hackers.

1. Mettez à jour vos scripts et applications

Veillez à ce que vos scripts et applications (ex. : WordPress et plugins) soient tous à jour. Pour renforcer tout particulièrement la sécurité WordPress, lisez How to secure your WordPress website (Comment sécuriser votre site WordPress). Lorsque vous recevez des notifications de mises à jour disponibles, prenez le temps de les appliquer dès que possible. Les attaquants sont à l’affût des versions obsolètes pour y exploiter les points vulnérables (corrigés par les versions plus récentes).

2. Assurez-vous que votre domaine et votre adresse IP sont propres

Vérifiez que votre domaine et votre adresse IP sont propres et non blacklistés. MxToolbox est efficace pour effectuer des vérifications rapides. Les blacklists IP étant rarement régies par une source unique, vous devrez certainement contacter plusieurs entités afin de blanchir votre entreprise (en supposant évidemment que vous êtes blacklisté).

3. Utilisez des mots de passe forts

Cela peut sembler évident, mais il convient d’insister sur le fait que des mots de passe forts offrent un avantage indéniable. Comptes utilisateur personnels, comptes d’autres utilisateurs, tableaux de bord d’hébergeur, ou encore accès FTP : tous ces éléments doivent être sécurisés. Évitez les noms de conjoint ou d’animal domestique… et, par pitié, plus jamais de mot de passe « motdepasse » ! Plus le mot de passe est difficile, mieux c’est. En panne d’inspiration ? Le recours à un outil de création de mots de passe peut être une bonne idée.

4. Supprimez les comptes utilisateur abandonnés

Supprimez tous les comptes utilisateur abandonnés, et ne partagez aucun identifiant de connexion. En cas de nouveaux utilisateurs, créez toujours des comptes que vous pourrez résilier lorsqu’ils seront devenus inutiles. Consultez l’article Here’s how to safely share user access to a WordPress site (Partager en toute sécurité un accès utilisateur à un site WordPress).

5. Ajoutez un protocole SSL

Vous avez mis en place un protocole SSL ? Si la réponse est non, il est temps de vous y mettre ! Un protocole SSL va chiffrer les données entre les navigateurs des visiteurs de votre site et ce dernier. Son rôle est surtout essentiel si vous disposez de connexions utilisateur et stockez des données utilisateur sensibles. Loin d’être réservé aux sites Web d’e-commerce, le protocole SSL est devenu une procédure opérationnelle normalisée pour tous les sites.

6. Utilisez un protocole SSH

Utilisez toujours un protocole SSH lorsque vous accédez à votre serveur par FTP. Qu’est-ce que le SSH ? Selon SSH Communications Security (entreprise ayant créé le SSH),

« le protocole SSH (ou Secure SHell) est une méthode de connexion sécurisée à distance entre deux ordinateurs. Outre diverses alternatives d’authentification forte, le SSH garantit la cybersécurité et l’intégrité des communications grâce à un chiffrement puissant. Le SSH est une alternative sûre aux protocoles de connexion non sécurisés (ex. : telnet, rlogin) et aux méthodes de transfert de fichier non sécurisées (comme le FTP). »

La pire des choses serait qu’un individu intercepte vos identifiants de connexion et puisse ainsi accéder au serveur !

La note du rédacteur : Si vous utilisez un créateur de sites Web comme Créateur de sites Web, vous n’avez pas à vous soucier du SSH. Vous êtes hors de danger !

7. Lancez un scan de sécurité

Lancez un scan de sécurité sur votre site Web. L’outil d’analyse SiteCheck de Sucuri recherche sur votre site Web les malwares, les statuts « blacklisté », les erreurs de site et les logiciels obsolètes. Pour une meilleure sécurisation, vous pouvez opter pour le plan Sécurité site Web de GoDaddy afin de scanner et de supprimer les malwares.

Facile, n’est-ce pas ? Ne laissez pas les tâches quotidiennes éclipser l’analyse de sécurité de votre site Web, qui est capitale. Les tâches mentionnées ci-dessus ne sont pas exhaustives. Cependant, elles constituent des fondamentaux qui, appliqués régulièrement, permettent d’améliorer la sécurité informatique.

Solution de sécurité permanente

Les malwares ne prennent pas de vacances : votre site peut se retrouver infecté dès le lendemain d’un contrôle de sécurité exempt de tout reproche ! C’est pourquoi certains services, comme le plan Sécurité site Web de GoDaddy s’occupent de tout à votre place, moyennant un abonnement mensuel raisonnable.

En ayant recours à un tel service capable d’effectuer pour vous la surveillance quotidienne, vous pouvez réduire les risques d’immobilisation au maximum. Le plan Sécurité site Web offre des avantages indéniables, comme la prévention/suppression des malwares ou encore la surveillance et le retrait de la blacklist Google. Il comprend également :

• Analyse et suppression en continu. GoDaddy analyse votre site jour après jour, non seulement en front-end (où les clients peuvent être infectés), mais également au niveau serveur (où les infections peuvent vous coûter vos plus précieuses ressources).
• Surveillance avancée de la sécurité. Les malwares ne représentent pas la seule menace. En surveillant les services associés (DNS, WHOIS, SSL), GoDaddy s’assure que les visiteurs ne sont pas redirigés vers un autre site ou amenés à donner leurs données confidentielles.
• Prévention des malwares. Arrêtez les malwares avant qu’ils infectent votre site ! Le pare-feu d’application Web (WAF) GoDaddy intercepte et inspecte toutes les données entrantes, et supprime automatiquement tout code source malveillant.

Quelle que soit votre décision, optez pour une solution adaptée à vos horaires et capable de protéger votre site Web. Vous avez le temps d’effectuer des sauvegardes régulières ? Tant mieux ! Si ce n’est pas le cas, un service automatisé pourra vous convenir. Dans tous les cas, votre réputation et votre clientèle en dépendent. 

Image : Keith Allison via Visualhunt.com / CC BY-SA