Société de Sécurité Informatique - Audit Firewall Appliances
La sécurité informatique - La sécurité des informations

Le piratage de sites web : motivations des pirates,
conséquences pour les entreprises


Le serveur web : une donnée sensible du système d'information


Le site internet est la vitrine sur le web de chaque entreprise. Il informe les clients, les fournisseurs, les futurs salariés sur la société et participe à l'image et la notoriété de votre structure et de vos marques.
C'est pourquoi, les sites web ont toujours été des éléments sensibles de la sécurité. En effet, par définition, un site web est un serveur public. N'importe qui dans le monde est sensé pouvoir y accéder. Y compris les hackers.

Les sites web sont donc continuellement sollicités en terme de tentatives de piratage. Pour s'en convaincre, il suffit de regarder les logs de votre serveur web : Les tentatives d'accès à des pages web "pas très orthodoxes" sautent au yeux. Et il y en a une multitude dans chaque tranche de 24 heures...

Exemple de logs d'attaques d'un site web
Exemple de recherche de failles applicatives dans les logs d'un site web.


Le piratage d'un serveur web : Un acte simple


Sans rentrer dans de purs détails techniques, il faut savoir qu'il existe des trous de sécurité dans la plupart des logiciels applicatifs web, tels que Zope, SPIP ou Joomla par exemple.
Certains logiciels de piratage sont dédiés à la recherche de ce type de failles. Généralement, un tel outil peut détecter plusieurs centaines de failles dans une multitude de logiciels applicatifs web.
L'utilisation de ces outils est simple : Il suffit de scanner tout ou partie des adresses IP d'Internet afin de trouver des failles dans les serveurs web. Une fois la faille trouvée, il suffit d'appliquer la méthode de son exploitation pour accéder aux fichiers stockés sur le disque dur du serveur web. La méthode en question peut être de l'injection SQL, de l'inclusion de fichier, de l'intrusion FTP, de l'intrusion du service web, de l'URL poisoning, etc. Étant donné que des scanners de failles tournent en permanence sur Internet, il faut bien comprendre que si votre site web comporte une faille de sécurité, elle sera trouvée et exploitée rapidement !

Pour allez un peu plus loin, nous vous conseillons ces statistiques détaillées sur les attaques de serveurs web.

Ce qui a changé


Depuis quelques années, les pirates informatiques qui s'attaquent aux sites web ont changé de comportement. Ils ne modifient plus les pages web en signant leur réalisation (defacing en anglais). Au contraire, ils ont tendance à rester le plus invisible possible sur le site afin d'y rester le plus longtemps possible. Comment ? Sur la globalité des infections de sites web, deux grands types d'infection ressortent : Voyons en détail ces deux types d'infection.

La modification des pages web


En ajoutant un iframe dans une page web du serveur, le pirate peut obtenir des informations sur les visiteurs du site web infecté. Par exemple : Bien entendu, l'iframe peut pointer aussi sur un script hostile, de nature HTML ou PHP, qui pourra par exemple, télécharger un malware à l'insu de l'internaute.

En ajoutant un Javascript hostile, lorsque la page est vue par un internaute, le javascript hostile s'exécute sur le poste de l'internaute. Il peut donc être victime d'un "exploit" de navigateur, d'un téléchargement de malware sur son poste à son insu, etc.

Le dépôt d'un fichier hostile


Dans la très grande majorité, les fichiers hostiles déposés sur les sites web sont de nature exécutables (.exe Windows, ELF Linux, ...) ou interprétés (HTML, PHP, Perl, Javascript, ...).
On y retrouve les types de malwares suivants :

Quel est l'objectif visé par le pirate ?


Pourquoi les pirates dépensent-ils autant d'énergie pour modifier les pages web d'un serveur ou y déposer un fichier ? Il y a plusieurs réponses à cela.

Le principal intérêt est financier. En effet, si un pirate peut lancer des commandes sur un site web, alors il peut voir le contenu des fichiers, et accéder à la base de données. Souvent sans même décrypter le mot de passe d'accès de la base de données : soit parce qu'il n'y en a pas, soit parce qu'il est stocké "en clair" dans un des fichiers du serveur web. Alors, dans ce cas, posez-vous les questions suivantes : Y a-t-il des données sensibles dans vos fichiers du site web ? Qu'il y a-t-il dans la base de données ? D'expérience, nous savons que dans certains cas, des entreprises stockent les mots de passe de leurs clients ou fournisseurs (pour accéder à une zone privée du site web par exemple). D'autres stockent des devis, des demandes de contact, des listes de personnes, et même des numéros de cartes bancaires... Toutes ces informations ont une valeur pécuniaire, surtout vis-à-vis de la concurrence.
Dans le cas des "Mailers", le fait d'envoyer des emails de phishing permet au pirate un gain financier rapide. En effet, il est de notoriété publique de pouvoir récupérer des comptes Paypal valides, et autres comptes bancaires, via le phishing.

L'autre intérêt est d'avoir "sous la main" une multitude de serveurs web dont on exploitera la puissance CPU ou la bande passante.
La puissance CPU pourra être utilisée pour casser des mots de passe simultanément sur plusieurs serveurs (cracking distribué).
La bande passante utilisée sur plusieurs serveurs permettra de perpétrer des dénis de service distribués par saturation du serveur victime. Elle peut aussi être utilisée par l'exécution d'un scanner de failles web pour couvrir une autre grande part des adresses IP d'Internet, et ainsi, couvrir plus rapidement la totalité des adresses IP qui composent Internet. Notons au passage que si votre site web est utilisé à des fins de tentatives de piratage vers d'autres sites web, la responsabilité du propriétaire du site attaquant est engagée.

Les conséquences


Comme nous l'avons évoqué dans les paragraphes précédents les conséquences sont principalement financières. Comment calculer l'impact de ce type d'incident ? Posons-nous rapidement ces quelques questions :
blacklist firewall malware website
Exemple de blacklist d'un site web sous Firefox.



Il y a deux conséquences directes :

Protégez-vous efficacement de cette menace



Gardez vos serveurs web à jour


Tout serveur web doit être impérativement à jour. Cela parait évident et simple au premier abord, mais quand on regarde de plus près, c'est un peu plus compliqué que cela. En effet, pour être efficace, il faut mettre à jour :

Installez un antivirus


On ne le dira jamais assez : Procurez vous un antivirus pour votre station de travail, mais aussi pour vos serveurs !
Nous entendons souvent dire "Notre serveur web ne craint pas les virus, il est sous Linux (ou Mac OS)". Sauf qu'avec un serveur Linux ou Mac OS, il est possible de propager des malwares pour le système d'exploitation Windows...
Et mieux vaut un antivirus gratuit plutôt que rien !

Dans le cadre d'une entreprise, notre appliance de sécurité permet le filtrage antiviral en temps réel du surf sur internet. L'intégrité du poste de travail en est renforcée.


Optez pour de l'hébergement dédié


L'hébergement mutualisé comporte un certain nombre de risques de sécurité pour votre site web. Par exemple :
Pour toutes ces raisons, nous vous conseillons d'utiliser un hébergement dédié pour votre site web. Ainsi, le périmètre de sécurité de votre site web vous appartient !

Nos solutions d'hébergement incluent une détection quotidienne des fichiers indésirables. Cette détection est basée sur des signatures antivirales propres à notre organisation, et dédiées à ce type de menace. N'hésitez pas à nous contacter concernant ces offres d'hébergement.


Auditez régulièrement votre site web


Un audit de votre serveur web permet de faire un état des lieux des failles présentes, de leur implications, et de la mise en oeuvre permettant leur correction.
Il est conseillé d'en effectuer régulièrement, notamment avant la mise en production d'une nouvelle version de votre site web. Par exemple après la mise à jour d'un gestionnaire de contenu.
SecuriteInfo.com est spécialisé dans les audits des serveurs web. N'hésitez pas à nous contacter pour un devis gratuit.

Des détails concrets


Retrouvez le TOP10 des malwares les plus courants retrouvés sur des sites web infectés et la liste de tous ces malwares en notre possession sur notre fiche de statistiques des malwares Internet.

Arnaud Jacques 2010 - 2018

Partagez cet article

Envoyer cet article par Email ! Imprimer cet article ! Exporter cet article en PDF ! Facebook Twitter Google Bookmarks

SecuriteInfo.com est une entreprise française de sécurité informatique. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...
Facebook SecuriteInfo.com
Twitter de SecuriteInfo.com
Github de SecuriteInfo.com
Calculs scientifiques distribués contre les maladies, équipe SecuriteInfo.com
Profil Virustotal de SecuriteInfo.com
© 2004-2019 - Tous droits réservés - SecuriteInfo.com