WordPress, Joomla, Drupal, Shopify et bien d’autres encore, offrent de vraies possibilités pour produire des sites à la fois ergonomiques et performants. Cependant, une image négative reste associée aux sites CMS : ils seraient peu sécurisés et des cibles faciles pour des hackers malveillants.
Quels sont les risques de cyberattaques pour ces sites ? Quels éléments spécifiques des CMS sont à surveiller ?
Si vous êtes en charge d’une plateforme CMS, cet article vous aidera à identifier les risques principaux et vous donnera les points de vigilance pour renforcer le niveau de sécurité.
Vous savez pourquoi le phishing est si redoutable ?
Parce qu’il mêle des compétences IT et des connaissances de la psychologie humaine. En effet, un mail de phishing s’appuie sur des ressorts psychologiques humains pour tout d’abord inciter à l’ouverture du mail et pour ensuite pousser au clic.
Les compétences techniques sont bien entendu nécessaires pour augmenter les probabilités de clics, par exemple pour usurper un expéditeur légitime, pour créer un clone d’interface, pour renvoyer vers des domaines malveillants, etc.
Mais aujourd’hui, nous nous intéressons aux leviers qui poussent à l’action lors d’un phishing. Nous avons repris huit leviers psychologiques couramment utilisés et nous les avons associés à différents sujets qui peuvent servir de prétextes pour un phishing.
Vous pensez que vos applications web et mobiles sont à l’abri des risques de piratage ? En êtes-vous sûr ? Voici notre top 10 des idées reçues sur la sécurité des plateformes web. Contactez nous si vous souhaitez échanger à ce sujet !
1. Les hackers ne s’intéressent qu’aux grandes entreprises
Nous entendons très souvent ces propos. Mais malheureusement, les hackers ne s’intéressent que très peu à la taille de votre entreprise : ils vont saisir toutes les opportunités qui se présentent à eux, quel que soit votre nombre d’employés ou votre chiffre d’affaire. Evidemment, les multinationales sont plus visibles et exposées, mais elles sont par conséquent mieux préparées à contrer les attaques. Les PME sont des cibles privilégiées, en raison notamment de leur manque de préparation. L’un de nos clients ayant un « petit » site de vente en ligne l’a appris à ses dépends lorsqu’il a constaté que tous les paiements effectués sur son site étaient redirigés vers un compte bancaire à l’étranger.
De plus, les données d’une PME peuvent être très intéressantes pour ses concurrents, ce qui peut aussi motiver des attaques.
2. Mes développeurs sont des rockstars
Les meilleurs développeurs produisent du beau code, sans bugs. Leur job est de développer des applications à la fois visuelles et performantes, dans des délais toujours plus resserrés. Mais ce ne sont généralement pas des experts en sécurité. Construire une plateforme et tester ses failles de sécurité sont des démarches bien différentes. D’où l’importance de faire conduire des tests d’intrusion, ce qui permettra aussi aux développeurs de monter en compétence sur le sujet sécurité, et qui peut être complété par des formations spécifiques sur le sujet.
A titre de comparaison, même la meilleure des peintures gagnera à être protégée par une couche de vernis!
3. J’utilise des frameworks solides, donc ma plateforme est sécurisée
Effectivement, mieux vaut utiliser des frameworks solides comportant une couche de sécurité. Cependant, il ne suffit pas de choisir un bon framework : tout dépend de comment celui-ci sera utilisé. Il n’est pas rare que des développeurs désactivent certaines protections incluses dans un framework afin de gagner du temps en évitant certaines contraintes. C’est pour cela que les tests sécurité restent indispensables.
4. Nous ne traitons pas de données sensibles, donc la sécurité n’est pas une priorité
Bien sûr, l’une des priorités en sécurité est de protéger les données les plus sensibles, telles que les données financières ou les données de santé. Mais la sécurité ne se limite pas à cela. Si par exemple vous gérez un site e-commerce, comment réagiriez vous en cas de site indisponible pendant 2 jours ? La réputation d’une entreprise est aussi un point crucial : une fuite d’informations que vous ne classez pas comme « sensibles » pourrait tout de même impacter la confiance de vos clients. Par exemple, une simple fuite d’adresses email et de mots de passe.
La sécurité informatique dans une entreprise n’est pas seulement une affaire de pare-feu et d’équipes de sécurité. Tout collaborateur a un rôle important à jouer pour éviter des fuites de données et d’informations sensibles.
A travers notre métier d’auditeurs en cybersécurité, nous avons pu constater que dans la plupart des entreprises, de nombreuses informations se retrouvent librement accessibles sur internet, en raison d’une négligence involontaire et souvent inconsciente de la part des collaborateurs. Ceci concerne autant la direction que les salariés sur tous les types de fonctions.
Les informations accessibles peuvent être de plusieurs types : des coordonnées, des identifiants de connexion, des informations techniques ou des informations liées aux projets d’une société. Ces informations ne sont pas répertoriées, elles sont laissées de manière involontaire et sans aucun suivi. Malheureusement, les pirates sont friands de ces informations, car ils peuvent les utiliser pour mener des cyberattaques combinant des compétences techniques et de la manipulation via l’ingénierie sociale.
Comment éviter la fuite d’informations utilisables par des pirates ? Voici plusieurs exemples de mauvaises habitudes dont vous pouvez vous débarrasser.
1. Utiliser vos coordonnées professionnelles pour des activités personnelles
Le scandale résultant du piratage d’Ashley Madison a confirmé ce que nous savions déjà : de nombreuses personnes utilisent leur adresse email professionnelle afin de s’enregistrer sur des sites web sans aucun lien avec leur métier. Dans le cas des sites de rencontre, il peut notamment s’agir d’une stratégie pour rester discret vis à vis de son conjoint en n’exposant pas sa boite email personnelle…
Hélas, il arrive fréquemment que des sites web se fassent pirater, et que les attaquants récupèrent puis divulguent la liste complète des identifiants et mots de passe des utilisateurs. Certaines personnes utilisent toujours le même mot de passe pour se connecter à différents services, que ce soit sur des sites personnels ou professionnels, afin de ne pas avoir à retenir des mots de passe différents. Si vous utilisez votre adresse email professionnelle ainsi que le même mot de passe pour vous connecter à différents sites, alors vous exposez l’entreprise à des risques d’attaques.
Mais même si vous utilisez des mots de passe différents, utiliser votre adresse professionnelle sur un site potentiellement vulnérable est dangereux. Lorsque la plateforme Ashley Madison a été piratée, les attaquants ont obtenu la liste complète des adresses email. Ils ont alors utilisé ces adresses email afin d’envoyer des emails de phishing proposant des services de sociétés d’avocats. Ce prétexte, pertinent dans le contexte de l’affaire, a poussé de nombreuses personnes à cliquer sur des liens ou à ouvrir des pièces jointes contenant des malwares. L’objectif des pirates était d’aboutir à la compromission de l’ensemble du système d’information de plusieurs entreprises.
La collecte, le stockage et le traitement de données posent des risques pour les entreprises ayant développé des plateformes digitales. Ces risques sont liés aux possibilités de piratage entraînant des vols de données, mais aussi aux possibles décalages avec le cadre juridique des pays où se trouvent les utilisateurs de ces plateformes.
La sécurité digitale suppose donc une approche à la fois technique et juridique, pour prévenir les risques d’incidents.
La sécurité applicative : pourquoi auditer techniquement une plateforme web ?
Le développement de solutions web à l’échelle mondiale ne va pas sans poser des risques majeurs. Les informations échangées et stockées sont à la portée des hackers.
Au delà de la sécurité des réseaux informatiques et des datacenters, la plupart des risques posés par les sites et les logiciels web concernent la couche applicative.
Le darknet est la face cachée du web. Il contient des pages non indexées par les moteurs de recherche, dont une bonne partie concernent des activités illicites. On y trouve notamment des données piratées, ou des données sensibles pouvant servir à élaborer des cyberattaques de plus grande envergure. Des données concernant votre entreprise sont elles disponibles sur le darknet?
Deep web ou Dark web ?
Tout d’abord, il faut distinguer le deep web du dark web (ou darknet). Pour cela, on peut comparer le web à un iceberg:
– une partie est accessible via les moteurs de recherche de type Google : le web visible (la face émergée de l’iceberg)
– une partie contient de très nombreux sites non indexés par les moteurs de recherche: le deep web (la face cachée de l’iceberg)
– la partie la plus cachée contient notamment des pages dédiées à des activités mafieuses, criminelles ou terroristes : le dark net (le fond de l’iceberg)
Pour accéder à des sites cachés, il faut d’abord accéder à un réseau d’anonymisation tel que Tor, via un navigateur spécifique. Le réseau Tor permet notamment d’accéder aux sites dont le nom de domaine se termine en .onion.
La navigation sur Tor s’effectue en total anonymat, ce qui explique que ce réseau underground attire non seulement des criminels, mais également des activistes et des internautes en provenance de pays où l’accès à internet est censuré.
Certains aspects fonctionnels de votre plateforme web peuvent en dire long sur son niveau de sécurité.
La sécurité d’un site internet ne se cantonne pas aux aspects fonctionnels, mais le niveau de “sécurité fonctionnelle” est généralement très proche du niveau de “sécurité technique”.
L’importance que l’on accorde à la robustesse des parcours utilisateurs, notamment, est un élément déterminant.
Des signes plutôt négatifs
Mots de passe envoyés par email
Certains sites envoient le mot de passe d’accès lors de la création d’un compte utilisateur.
Bien que pouvant parfois s’avérer pratique, cette habitude n’est pas recommandée, car le précieux sésame est alors visible dans les emails de l’utilisateur. Si la boîte email se fait pirater, le mot de passe n’est plus fiable.
Pire encore : renvoyer régulièrement le mot de passe aux utilisateurs, par exemple dans les newsletters. Bien que pouvant faciliter la connexion à des utilisateurs ayant perdu leur mot de passe, cette pratique est un désastre pour 2 raisons :
– Le mot de passe est accessible dans plusieurs emails, ce qui démultiplie les risques de vols d’identifiants.
– Si le mot de passe peut techniquement être renvoyé aux utilisateurs, c’est qu’il n’est pas assez protégé dans la base de données du site. Si le site est piraté, alors tous les mots de passe seront exploitables par les attaquants (comme dans le cas de l’attaque du site Ashley Madison). Un mot de passe correctement stocké dans une base de données ne doit pas pouvoir être décrypté.
Mots de passe visibles en clair
Afin d’être correctement protégés, les mots de passe ne doivent pas être visibles à l’écran lors de leur saisie. Cela évitera à des yeux indiscrets de les observer!
Bien que devenant assez rare de nos jours, certains sites web montrent encore aujourd’hui le mot de passe à l’utilisateur par exemple dans la gestion de leur compte, ou lors de la connexion.
La question peut paraître superflue : en effet, toute faille technique est en quelque sorte « humaine » puisqu’elle provient de ceux qui ont développé l’application ou conçu l’architecture d’un réseau.
Cependant, les hackers conçoivent et déploient leurs attaques à différents niveaux: les infrastructures, les applications, et les relations humaines. Dans la mesure où les solutions techniques de cybersécurité sont en plein essor, l’humain est un accès privilégié pour réussir à entrer dans des systèmes de plus en plus sécurisés.
Les surfaces d’attaques du point de vue d’un hacker
Attaquer l’infrastructure informatique d’une entreprise permet d’avoir accès à toutes sortes de données clés. Une attaque massive peut potentiellement « faire tomber » un réseau, avec des conséquences très lourdes pour la cible. Mais face à ces risques, les efforts des experts en cybersécurité se sont avant tout concentrés sur la sécurisation des serveurs et des architectures réseaux.
Il est donc dans l’intérêt d’un attaquant de rechercher des portes d’entrée plus vulnérables, telles que les applications web.
Une faille logique se produit lorsqu’une application web (site web, application mobile, webservice…) ne se comporte pas comme prévu.
Cela arrive généralement lorsqu’une étape logique ou un workflow peut être évité ou contourné.
Imaginez un simple site web permettant d’acheter des t-shirts.
Le workflow normal est le suivant :
Le consommateur ajoute des t-shirts à son panier d’achat.
Le consommateur paye avec sa carte de paiement.
Le consommateur finalise la commande.
Une personne malintentionnée arrive sur le site web et fait les choses suivantes :
Ajoute deux t-shirts à son panier.
Paye avec sa carte de crédit.
Ajoute des t-shirts supplémentaires au panier (10).
Finalise la commande et reçoit au final 12 t-shirts, pour le prix de 2.
Nous pouvons comparer cet exemple e-commerce à ce qui peut arriver dans un supermarché “physique” :
Le workflow normal du supermarché suppose que le consommateur ajoute les articles de son choix dans le caddie et qu’il les mette ensuite sur le tapis roulant de la caisse.
Mais que se passe-t-il si un consommateur malintentionné cache un article dans son caddie au moment du passage en caisse? L’hôtesse de caisse ne verra pas l’article, et le consommateur ne le paiera pas.
