Comment protéger son site web d’une attaque informatique ?

securité site web

Expertise

La sécurité informatique n’est pas un sujet de tout repos. Régulièrement, de nouvelles vulnérabilités sont découvertes, et aucun éditeur n’est épargné… Pour rester protégé contre l’exploitation de celles-ci par des pirates, des mises à jour (qui peuvent souvent être automatisées) des solutions utilisées pour vos applications et sites web sont nécessaires. Cependant, il n’est pas toujours possible de monter en version de manière immédiate : indisponibilité de correctifs, contraintes métier… C’est pourquoi il existe des solutions de sécurité permettant de temporiser avant de pouvoir mettre à jour sereinement vos applicatifs. Découvrez nos conseils !

Mesure de sécurité informatique : qu’est-ce que le virtual patching ?

Lorsqu’une vulnérabilité est découverte sur un logiciel, l’éditeur produit en général un correctif, ou « patch », permettant de corriger la vulnérabilité ou de la rendre inexploitable. L’application de ce correctif, le plus rapidement possible après sa publication, nécessite souvent une mise à jour du logiciel en question, ce qui peut être relativement compliqué dans certains cas (coupure d’activité impossible, développements supplémentaires trop longs…).

Il existe une méthode qui permet de protéger les systèmes vulnérables beaucoup plus rapidement : le virtual patching, ou « correction virtuelle ». Le virtual patching consiste à développer un correctif protégeant les systèmes sans toucher au code du logiciel, sans mise à jour, et même parfois sans attendre le correctif de l’éditeur ! Il reste toutefois vivement recommandé d’appliquer les correctifs dès que possible.

Chez NBS System, nous utilisons cette méthode pour protéger nos clients. Concrètement, comment sécuriser un site de cette manière ? Étude de cas.

Faille de sécurité : un correctif virtuel pour Drupal

Prenons l’exemple de la faille Drupal dont le correctif a été publié le mercredi 28 mars 2018 au soir, faille très critique touchant les versions 6 à 8. Une semaine auparavant, Drupal avait annoncé la publication de ce patch en précisant l’importance pour leurs utilisateurs de l’appliquer très rapidement, soupçonnant de potentiels pirates informatiques de pouvoir exploiter la vulnérabilité en quelques heures ou jours.

Aucune information précise ou analyse n’a été divulguée sur la faille, afin de minimiser les risques d’exploitation. Seul le correctif a été publié. Cependant, en étudiant ce patch, nos experts ont pu comprendre les actions mises en place pour corriger la vulnérabilité, et donc en quoi cette dernière consiste : c’est ce que l’on appelle le « reverse engineering », ou ingénierie inverse.

Sans rentrer dans trop de détails, ils ont pu découvrir l’ajout d’un « Request Sanitizer », permettant de « nettoyer » les requêtes en interdisant l’utilisation du caractère spécial # dans certains cas. Cela leur a permis de comprendre que la vulnérabilité informatique en question consiste à injecter du code dans certains formulaires, et donc permettrait à des potentiels pirates d’exécuter du code à distance sur les systèmes vulnérables.

Grâce à cela, ils ont pu créer un correctif virtuel adapté à cette faille web, le « virtual patch », et le mettre en place seulement un quart d’heure après la publication du correctif applicatif de Drupal. Les correctifs virtuels sont généralement appliqués au niveau système, sur un WAF (Web Application Firewall ou pare-feu applicatif). Chez NBS System, il s’agit de NAXSI, outil open source développé par nos experts. 

Pensez à mettre à jour très rapidement leur applicatif, pour être protégé des attaques !

Protection informatique efficace, rapide… et durable !

Autre point positif, ces correctifs virtuels sont suffisamment précis et légers pour permettre de les laisser activés en permanence sur les outils systèmes qui composent, par défaut, une architecture.

Prenons un nouvel exemple concret : la fin du support pour Magento 1 en juin 2020. Il est devenu nécessaire de passer sous Magento 2 pour limiter les failles de sécurité.

Hébergement web sécurisé : l’isolation des systèmes, une bonne pratique

Mais les pare-feux applicatifs ne sont pas la seule solution permettant d’apporter une couche de sécurité « simple » mais efficace sur le web. Une autre bonne pratique, c’est de ne pas exposer ses serveurs web directement sur Internet, grâce notamment aux reverse proxies. Ces derniers constituent une ligne de défense contre l’exploitation de failles de sécurité informatique, faisant constamment l’intermédiaire entre les internautes et le serveur web, et filtrant tous les échanges.

Menaces informatiques : un système durci pour une meilleure résistance

Enfin, nous conseillons également d’utiliser des systèmes durcis. Le durcissement d’un système (hardening en anglais) consiste à régler plus finement son système pour rendre la vie des attaquants plus difficile. Il est également possible d’ajouter des couches de protection au cœur même du système pour contrer les risques d’attaque informatique.

Vous souhaitez sécuriser vos sites web ?
Contactez-nous !