Les risques de piratage sur les sites web modernes

Les sites Web sont devenus un lieu de mixité de services. De simples sites "vitrines", ils sont capables d'évoluer jusqu'à l'interconnexion de services de types boutique, de gestionnaires de bases de données de contacts et d'e-mailing, de support d'exploitation de CRM, etc. Quels risques dans le piratage des sites Web?

Les risques peuvent être de nature très différente. L'objectif des pirates est en général de prendre possession du site en tant qu'administrateur afin de pouvoir réaliser des opérations diverses et variées depuis votre site Web. Cela commence par l'utilisation de votre compte pour envoyer des spams à la planète entière mais cela peut être pire. Votre site peut être remplacé par un autre, vos données partiellement ou entièrement effacées. Autre cas, vous pouvez devenir le relais d'information pour des causes que vous ne cautionnez pas ou qui sont interdites, voire des transactions financières peuvent être opérées vers d'autres banques que la vôtre, etc. Prendre d'assaut votre site Web et y établir un quartier général est aussi pour un pirate une tête de pont pour attaquer à moindres risques des cibles plus intéressantes que votre site.

Le système de paiement en ligne de votre site peut être détourné...

Pour bien comprendre la manière dont les choses se passent, il faut voir que tout site Web est administré par différents moyens qui commencent par l'accès à un serveur d'hébergement sur Internet. Il se charge de stocker les fichiers d'images, de vidéos, les sons, les pages Web, etc. Dans bien des cas, les sites sont administrés par un "expert" du Web qui fera manuellement les modifications de pages qui lui seront demandées au fur et à mesure. Si cette génération existe encore, elle a souvent vécu, sauf éventuellement pour de très gros projets de sites très lourds, très spécialisés. Depuis au moins 4 ans, la plupart des sites Web sont créés sur une base de plateformes logicielles que l'on appelle les CMS ou Content Management System, ou, en français, "gestionnaire de contenus". Ces programmes parmi lesquels les plus prisés sont Wordpress, Drupal ou Joomla sont installés sur les serveurs d'hébergement. Ils gèrent l'affichage des pages qui peuvent être créées par le propriétaire du site comme s'ils l'avaient directement fait avec un logiciel comme Word.

Dans les deux cas de types de sites Web et dans d'autres, il y a des risques de piratage. Le nom de compte, le mot de passe et l'adresse du serveur de transfert de fichiers (appelé FTP) sur lequel peuvent être copiés les fichiers sont le premier risque et vraiment le plus essentiel. Tout ou presque peut être opéré avec ces quelques informations ; la possibilité d'avoir les codes d'accès pour accéder à une base de données, la possibilité d'implanter ses propres scripts sur votre site, régénérer des mots de passe pour l'administrateur du site Web, et donner ainsi possibilité d'accéder aux données sécurisées depuis un endroit réputé sain, etc. Avec l'accès à l'administration intrinsèque de votre site Web, un pirate peut détourner par exemple le système de paiement en ligne de votre site vers sa propre banque.

Parmi les autres risques, ceux qui proviennent directement d'un mot de passe de mauvaise qualité dans un CMS : même sans forcément connaître les éléments relatifs à l'accès FTP décrit précédemment, des actions peuvent être entreprises pour copier des scripts sur le serveur. La désactivation de certaines fonctions d'accès du CMS au serveur de fichiers au moment de son installation sera garante d'une grande fiabilité pour des sites pouvant être très sensibles. Certains hébergements de CMS tiennent compte de ces risques dès lors que vous prenez l'abonnement chez un hébergeur. Cela peut être un moyen de s'assurer d'une meilleure sécurisation si vous n'y connaissez pas grand-chose et si vous ne passez pas par un professionnel pour réaliser le site.