Une barrière de sécurité très utile !

– Bonjour, je ne suis pas très content ! Mon site web a été piraté, alors que vous dites que vos serveurs sont sécurisés ! C’est inadmissible !

Voici une entrée en matière assez courante, en matière de site web piraté, lors d’un appel auprès du support.

De nombreux clients se reposent sur le fait que les serveurs soient sécurisés, sans pour autant se soucier de ce que signifie « cette sécurité du serveur ».

La plupart des hébergeurs compétents disposent sur leurs serveurs d’hébergement mutualisé ou infogérés d’une architecture qui a été élaborée pour être sécurisée. C’est-à-dire qu’elle est pensée pour éviter qu’une attaque ne puisse avoir de conséquences sur le serveur en lui-même (vol d’informations du serveur, de mots de passe, …) et que celle-ci ne puisse avoir de conséquence sur les éventuels autres utilisateurs (ralentissement du service, accès aux données d’un autre client, …).

La plupart des sites piratés (détournement de trafics, modification de contenu, utilisation à des fins de spams, …) le sont par l’intermédiaire d’une faille de sécurités sur le site web d’un client : il est souvent plus simple d’exploiter une faille laissée ouverte sur un site que de s’attaquer au serveur directement, dont l’architecture est un minimum pensée pour être sécurisée.

L’utilisation de systèmes de gestions de contenus connus (WordPress, Joomla, Drupal, …) rends également le travail des pirates plus simple. En effet, bon nombre de webmasters n’appliquent pas rapidement les correctifs de sécurité, ce qui laisse le champ libre aux pirates pour tenter d’exploiter la faille et faire ce qu’ils veulent de cet espace web. Malgré tous les efforts de l’hébergeur, le dernier maillon de la chaine de sécurité reste le code du site web. Et il ne sert à rien de mettre en place une barrière de sécurité à l’entrée si le mur d’enceinte est inexistant.

Malgré cela, certains hébergeurs commencent à mettre en place des protections, ou des configurations pour éviter l’exploitation de certains failles qui se trouvent sur les CMS les plus courants, voire même à mettre en place des règles spécifiques pour les nouvelles failles découvertes qui sont dévoilées. Ces sécurités, bien que louables, protègeront les sites web tant que celle ci ne seront pas contournées à leur tour : un grand panel de failles sera à disposition de l’attaquant, libre d’exploiter la faille de son choix !