CORONAVIRUS : C'est la fête pour les HACKERS ! Comment protéger ses sites ?

Blog

Pourquoi un site est attaqué ? 

Lorsqu’on a un site web, la première question qu’on se pose est : « mon site peut-il être sujet à une attaque ? ». 

Autrement dit, est ce qu’il y a des personnes qui ont un intérêt à attaquer mon site, et pourquoi ? 

Il y a deux types d’attaques : les attaques ciblées et non ciblées.

Les attaques ciblées : Un hacker décide d’attaquer un site en particulier.

Les raisons sont multiples : 

• Vengeance personnelle, par exemple un ancien employé licencié,
• Haine de la marque, du site : un concurrent, une association qui est contre le modèle économique de la société (extrémistes de tous genres) 
• Ransomware (le hacker rend indisponible votre site et demande une rançon pour le débloquer)
• Achat frauduleux (achat dématérialisé notamment)  
• Récupération d’informations commerciales ou stratégique

Les résultats peuvent être multiples : 

• Exploitation d’un fichier client : revente du fichier, exploitation des données bancaires, envoi de mails avec chantage … 
• Défiguration du site : affichage d’injures, de déclarations etc...
• Utilisation du site comme relais ou dépôt : le hacker peut ainsi attaquer un autre site de façon anonyme, ou vendre des contenus illicites hébergés sur le site hacké.
• Hameçonnage ou phishing : l’internaute se trouve sur le site digne de confiance et n’hésite pas à donner des informations confidentielles ou bancaires.

Dans le cas d’attaques ciblées, le propriétaire d’un site peut vite évaluer le risque d’être attaqué.

Mais attention, on a tendance à minimiser son exposition.

Le développement des réseaux sociaux avec un esprit très agressif et insultant a ainsi augmenté l’exposition à ce risque pour des sites qui n’étaient pas concernés il y a peu … (un site de vente de viande par exemple).
 
Les attaques non ciblées : Un hacker va attaquer un site sans raison apparente.

Il s’agit là très souvent d’une attaque par robot : un programme va parcourir un site annuaire pour avoir une liste de domaines à explorer.

Chaque site ainsi récupéré va être scruté pour récupérer d’autres sites, puis la tentative d’intrusion va se faire. 

Le système peut être très évolué et se faire via un virus qui va multiplier les postes susceptibles de faire des attaques.

L’objectif est le plus souvent de constituer un trophée (nombre important de sites hackés). 

Mais aussi de constituer une liste de sites faibles pour réaliser ensuite une attaque manuelle pour des raisons identiques aux attaques ciblées (ransomware entre autre). 

Les types d’attaques

Attaque par deni de service ( DoS et DDoS)

Le principe du deni de service(DoS) est qu’un poste va effectuer une demande démesurée de pages ou d’appels de services au serveur web.

Devant l’énorme volume des demandes, le serveur web va s’effondrer.

Le principe de deni de service distribué (DDoS), est le même, mais avec un nombre important de postes qui attaquent.

Ce nombre est souvent créé par un virus qui va multiplier ainsi de façon exponentielle le nombre de postes. 

Attaque par l’homme au milieu ( MitM)

Ce type d’attaque sophistiquée reste des attaques rares et nécessitant de grandes compétences.

Il s’agit de prendre l’identité d’un poste client lors de l’échange de données entre ce poste et le serveur web.

Attaque par cross scripting, injection sql …

Bien que différentes sur la cible de l’attaque, le principe de cross scripting et d’injection sql est le même :

il s’agit d’exploiter une faiblesse dans le code développé pour réaliser le site web.

Cela va permettre de connaitre les identifiants et mots de passe d’un compte existant, ou bien d’en créer un.

Le hacker pourra alors se faire passer pour un administrateur et hériter de ses droits pour accéder à toutes les informations de la plateforme.

Attaque par mot de passe

L’attaque par mot de passe consiste à se faire identifier en tant qu’internaute identifié sur le site web.

Il s’agit donc de trouver un bon couple identifiant/mot de passe en passant par le chemin normal d’identification.

Une fois identifié, le hacker peut agir sur le site web en restant totalement invisible puisqu’il n’y a pas eu de création d’utilisateur supplémentaire.

Contrer les attaques

Contrer l'attaque par deni de service ( DoS et DDoS)

Contrer les attaques par deni de service est du ressort de l’hébergeur du site web.

C’est au niveau des équipements réseaux de l’hébergement que des actions peuvent détecter ce type d’attaques.

Cela reste très compliqué à éviter, il faut privilégier avant tout le blocage des postes coupables une fois l’attaque lancée.

Contrer l'attaque par l’homme au milieu ( MitM) 

Ce type d’attaque est aussi de la responsabilité de l’hébergeur.

Il s’agit d’attaques très élaborées, donc plus rares aussi, et mises en œuvre le plus souvent dans des attaques de sites très stratégiques.

La première action simple est avant tout d’utiliser le protocole ssl (https) sur le site web.

Cela devient incontournable aujourd’hui.

Contrer une attaque par cross scripting, injection sql …

Ces attaques exploitent les failles du site web.

Les failles sont des développements réalisés sans que les développeurs de ce site pensent à tous les cas d’utilisation du site.

Penser à tous les cas est impossible, c’est pourquoi il existera toujours des failles dans le code d’un site web.

Pour contrer ces attaques, il est nécessaire de réaliser les mises à jour de sécurité du site. 

Pour les plateformes CMS TYPO3 et Drupal, il existe des équipes dédiées à la détection des failles.

Ces équipes déploient ensuite des mises à jour de sécurité qu’il faut déployer sur le site. 

L’application de ces mises à jour de sécurité doit être réalisée dans la plupart des cas rapidement, car elles donnent des indices au hacker sur des failles potentielles.

Cependant, il peut y avoir une mitigation de cette urgence : si la faille exploite une faiblesse au niveau de l’identification des comptes clients et que vous n’avez pas de gestion de comptes clients, la faille est, pour le site en question, inexploitable. 

Contrer l'attaque par mot de passe

Les attaques par mot de passe ont tendance à augmenter depuis quelques années.

Il s’agit donc de tenter de s’authentifier de façon « normale », comme n’importe quel utilisateur autorisé du site web. 

Pour contrer ces attaques, plusieurs actions sont réalisables. 

Recommandations à l’utilisateur

Au niveau de l’utilisateur, certaines recommandations peuvent lui être données.

Ce sont les bonnes pratiques concernant la gestion des mots de passe.

C’est une démarche nécessaire mais pas suffisante, car on compte sur la bonne volonté des utilisateurs, et le non-respect de ces règles par une seule personne suffit à rendre inutile les recommandations… 

Parmi les recommandations, voici celles souvent retenues : 

• Ne pas stocker le mot de passe près du poste de travail (post it, cahier) 
• Choisir un mot de passe long (minimum 8 caractères, 12 caractères minimum dans l’idéal)
• Complexifier le mot de passe en utilisant à la fois des majuscules, minuscules, chiffres, caractères spéciaux.
• Changer le mot de passe régulièrement
• Ne pas utiliser des données personnelles évidentes pour la constitution du mot de passe : date de naissance, nom de jeune fille, prénoms des enfants …

Améliorations des sites sur les CMS TYPO3, DRUPAL, WordPress, etc...

Au niveau du site web, plusieurs évolutions peuvent être faites pour augmenter significativement la sécurisation de l’authentification ou faire respecter les règles de sécurisation du mot de passe. 

Respect de la complexité des mots de passe

Une extension permet de respecter un nombre minimum de caractères (en général 8 minimum, 12 est préférable) et contenir au moins une majuscule, une minuscule, un chiffre, un caractère spécial

Changement périodique des mots de passe

Une extension bloque l’internaute s’il n’a pas changé son mot de passe tous les x jours (en général 3 mois)

Mise en quarantaine

Une extension va placer en quarantaine les comptes des utilisateurs qui auraient « subi » plus de x échecs d’authentification (en général 5).

Une fonctionnalité permet ensuite de débloquer cet utilisateur de façon manuelle.

Renouvellement du mot de passe

Une extension va permettre via un lien de renouveler un mot de passe en cas de perte.

Un mail est alors envoyé au détenteur du compte avec un accès unique au renouvellement de son mot de passe. 

Alerte mail sur authentification

Une extension va automatiquement alerter par mail le compte qui vient d’être utilisé pour une connexion.

Ainsi le propriétaire du compte utilisateur va immédiatement savoir que son compte est utilisé par une tierce personne et pouvoir prévenir l’administrateur du site.

Alerte mail sur absence de connexion

Une extension va automatiquement alerter par mail l’administrateur des comptes qui n’ont pas été utilisés depuis x jours (en général 3 mois).

Des comptes non utilisés sont parfois des comptes de salariés qui ont quitté l’entreprise, de stagiaires qui ont terminé leur stage.

Cela permet de désactiver alors ces comptes inutiles.

Double authentification

La double authentification est de plus utilisée dans les secteurs à forte contrainte de sécurité.

Il y a notamment le secteur bancaire et le secteur médical, mais de plus en plus de secteurs envisagent de le mettre en application.

Le principe est de garder une authentification par identifiant/mot de passe, mais d’ajouter une deuxième authentification.

Après la première authentification réussie, un code est envoyé sur un autre media, principalement par sms.

L’internaute doit ressaisir ce code qui est à usage unique. Le terme employé est ainsi le One Time Password.

Sur le site web, il s’agit donc d’une extension ajoutée à l’authentification principale.