Sécurité site web : pourquoi protéger votre site ?

 

Le site web : la porte d’entrée la plus utilisée par les pirates

La plupart des intrusions qui mènent à une compromission profonde d’une société et de son SI démarrent sur la couche Web.

Les rapports internationaux sur la sécurité (Ponemon, Verizon Data breach, Whitehat security, Akamai State of Internet), dénotent tous cette tendance massive.

Sécuriser son site Web revêt une importance d’autant plus grande quand celui-ci contient des données sensibles. En effet, perdre de l’image de marque par cyber-vandalisme n’est jamais agréable,
même si cela porte un préjudice difficilement quantifiable, sauf si l’on est une marque de luxe par exemple. Mais perdre des données sensibles comme des secrets de fabrication, des commandes clients ou des produits devient plus gênant.

Le plus important cependant reste les coordonnées et fiches de vos clients. Ces données sont revendues au marché noir et utilisées par la suite pour des vols d’identité, business très lucratif.
Si la déontologie n’a globalement pas suffi à rendre le sujet de la sécurité des données des particuliers une priorité, le RGPD (Règlement Général sur la Protection des Données) devrait lui être plus incitatif, avec des amendes très significatives en cas de manquement.

Comment sécuriser son site Web ?

    • Les failles de sécurité pouvant toucher un serveur hébergeant un applicatif Web peuvent avoir des cibles de plusieurs natures :
    • 1/ Le noyau (kernel, hyperviseur)
      2/ Les démons (apache, mysql, redis, etc.)
      3/ Les interpréteurs de langages (PHP, Perl, Python, etc.)
      4/ Le core des applicatifs eux-mêmes (Magento, WordPress, Drupal, etc.)
      5/ Les extensions qui y sont installées (librairies javascript, plugins de fonctions, …)
      6/ Le code ajouté au core pour le spécialiser pour un besoin

D’une manière générale, pour sécuriser un site et le serveur qui le fait tourner, il convient de se protéger sur tous ces points, ce qui est l’essence même de CerberHost. Plus on monte dans ces couches de 1 à 6, plus les failles de sécurité sont courantes et facile à exploiter. Pour ce qui est des noyaux & hyperviseurs, sous Linux, le meilleur moyen reste de compiler et configurer Grsecurity & PAX. Ces deux patchs vont venir renforcer le noyau contre de multiples classes d’attaques, le rendant beaucoup plus résilient contre des vulnérabilités 0days, des overflows par exemple.

Pour les démons et les interpréteurs de langages, Grsecurity & Pax aideront aussi, mais il convient de maintenir la version de ces logiciels à jour et de les configurer de manière avancée pour éviter les erreurs classiques, comme par exemple le directory traversal avec Apache ou les openbasedir avec PHP.

Le core / coeur des applicatifs est maintenu par l’éditeur dudit logiciel. Le point ici est de rester à jour des versions, le plus souvent possible. Sans cela, ces applicatifs se mettent à vieillir et le travail de correction des failles de sécurité réalisé par l’éditeur est inutile. L’entreprise est alors vulnérable à des failles dont le correctif est pourtant déjà disponible. Les environnements de pré-production peuvent tout à fait servir à déterminer si une nouvelle version engendre une régression fonctionnelle ou un bug, avant de remettre sereinement son site en production.Les extensions & plugins sont un nid à problème.

Beaucoup d’applicatifs se sont vu trahir par un plugin mal pensé, mal sécurisé ou non maintenu. Il convient donc de bien les choisir, avec des éditeurs sérieux, et de faire un rapide audit de code avant de les utiliser.Enfin, la catégorie reine, le « custom code », les lignes de programme ajoutées par les développeurs. Il y a toutes sortes de développeurs, du plus concerné par la sécurité à celui qui n’en a aucune notion et a fait un patch rapide et peu testé. Mais c’est souvent ici que le bât blesse et que les vulnérabilités se multiplient, en général dans les formulaires, et provoque XSS (Cross Site Scripting) et SQL Injections. Le WAF (Web application Firewall) reste le meilleur rempart contre ces failles.