Certains aspects fonctionnels de votre plateforme web peuvent en dire long sur son niveau de sécurité.
La sécurité d’un site internet ne se cantonne pas aux aspects fonctionnels, mais le niveau de “sécurité fonctionnelle” est généralement très proche du niveau de “sécurité technique”.

L’importance que l’on accorde à la robustesse des parcours utilisateurs, notamment, est un élément déterminant.

Des signes plutôt négatifs

Mots de passe envoyés par email

Certains sites envoient le mot de passe d’accès lors de la création d’un compte utilisateur.
Bien que pouvant parfois s’avérer pratique, cette habitude n’est pas recommandée, car le précieux sésame est alors visible dans les emails de l’utilisateur. Si la boîte email se fait pirater, le mot de passe n’est plus fiable.

Pire encore : renvoyer régulièrement le mot de passe aux utilisateurs, par exemple dans les newsletters. Bien que pouvant faciliter la connexion à des utilisateurs ayant perdu leur mot de passe, cette pratique est un désastre pour 2 raisons :
– Le mot de passe est accessible dans plusieurs emails, ce qui démultiplie les risques de vols d’identifiants.
– Si le mot de passe peut techniquement être renvoyé aux utilisateurs, c’est qu’il n’est pas assez protégé dans la base de données du site. Si le site est piraté, alors tous les mots de passe seront exploitables par les attaquants (comme dans le cas de l’attaque du site Ashley Madison). Un mot de passe correctement stocké dans une base de données ne doit pas pouvoir être décrypté.

Mots de passe visibles en clair

Afin d’être correctement protégés, les mots de passe ne doivent pas être visibles à l’écran lors de leur saisie. Cela évitera à des yeux indiscrets de les observer!
Bien que devenant assez rare de nos jours, certains sites web montrent encore aujourd’hui le mot de passe à l’utilisateur par exemple dans la gestion de leur compte, ou lors de la connexion.

Site web : signes d'insécurité

Complexité des mots de passe

Toujours en rapport direct avec la gestion des mots de passe, le choix de ce dernier doit imposer certains règles d’hygiène minimale.
Sans ces règles, beaucoup d’utilisateurs iront au plus simple et choisiront “motdepasse”, “123454321”, ou encore “azerty”, qui figurent dans les mots de passe les plus utilisés.
Des règles minimales doivent être imposées, et des conseils donnés lors du choix du mot de passe.

Le pire mot de passe autorisé par un site web que nous ayons pu voir lors d’un audit de sécurité est le mot de passe vide (aucun mot de passe!).

Autres points sur la gestion des mots de passe

De nombreuses autres “mauvaises pratiques” de gestion des mots de passe font baisser le niveau de sécurité du site et augmentent le potentiel d’usurpation d’identité.

Au contraire certains bonnes pratiques améliorent la situation, en particulier :
– Obligation de choisir un mot de passe de plus de 8 caractères, contenant des lettres minuscules, majuscules et chiffres
– Refus des mots de passe “classiques” figurant dans le top 100 des mots de passe les plus utilisés
– Refus également de mots de passe anciennement utilisés
– Apport de conseils lors du choix des mots de passe, et indications sur la “robustesse »
– Limitation des tentatives de connexion (ralentissement des tentatives de connexion après des échecs)
– Pas d’envoi par email de mots de passe, mais uniquement des liens sécurisés pour choisir un nouveau mot de passe (lien vers article)
– Envoi de confirmations email lorsqu’un changement de mot de passe est effectué
– Gestion des déconnexions automatiques, pour que les utilisateurs ne restent pas authentifiés indéfiniment

Echanges de données non cryptés (HTTP vs HTTPS)

Si votre site propose au moins une section “authentifiée” (où l’utilisateur s’est connecté et est identifié), alors il est nécessaire d’utiliser une connexion HTTPS.
En effet, il n’est pas nécessaire d’effectuer des transactions bancaires sur un site pour devoir mettre en place HTTPS.

Voici quelques raisons pour mettre en place HTTPS :
– L’image de votre site : les utilisateurs sont de plus en plus sensibles à l’aspect sécurisé des sites, et sont plus confiants si le navigateur affiche un petit cadenas à côté de l’URL.
– L’identification de votre site : Avec certains certificats SSL hauts de gamme (certificats EV – Extended Validation), il est possible de faire vérifier l’identité de votre entreprise, et de renforcer encore plus la confiance.
– Lors de l’utilisation de connexions nomades (tel qu’un Wifi public, dans un café ou dans la rue), les utilisateurs se connectent via une connexion potentiellement espionnée. Leur mot passe, souvent utilisé sur plusieurs sites dont certains critiques, mérite la meilleure protection.

Par ailleurs, HTTPS est devenu un critère de référencement sur google (voir notre article sur ce sujet).

Affichage de messages d’erreur

Un site web affichant régulièrement des messages d’erreur trahit un manque de rigueur dans la gestion des exceptions, ces cas non prévus par les concepteurs de l’application, et dont les pirates raffolent.
Pour un développeur, les messages les plus bavards et précis sont les meilleurs, car ils permettent de comprendre d’où les problèmes viennent. Malheureusement ces messages sont également très intéressants pour des attaquants, car ils fournissent des informations techniques précieuses.
Généralement incompréhensibles pour les utilisateurs du site, ces messages ne doivent pas être affichés.

Vos utilisateurs se plaignent

Les utilisateurs de votre site peuvent se plaindre de beaucoup de choses, mais s’ils commencent à mentionner certaines actions sur leur compte, dont ils ne seraient pas à l’origine, alors il devient urgent d’investiguer!
Les attaques peuvent être plus ou moins visibles, et vos utilisateurs sont aux premières loges.

En présentant ces faiblesses de sécurité, votre site montre également par ailleurs à des hackers (expérimentés ou non) que la sécurité n’est pas votre priorité. Ce qui signifie que des failles techniques plus sérieuses y sont probablement présentes, permettant éventuellement des vol de données ou une détérioration du contenu du site.

Notre expérience des tests d’intrusions nous montre qu’il existe en effet un lien entre ces failles fonctionnelles et la sécurité plus “globale” d’une plateforme web.

Attention à ne pas envoyer de signes qui encourageraient les esprits malveillants à vous attaquer!