7 bonnes résolutions pour améliorer la sécurité de mon site

Même si la sécurité sur Internet est un état d'esprit à avoir en permanence, les bonnes résolutions qui accompagnent généralement le début d'année sont une bonne occasion de refaire un point sur la question et de mettre en place des - nouvelles - procédures de sécurité efficaces et pérennes.

Nous vous proposons donc une liste de 7 bonnes résolutions à prendre pour assurer votre tranquillité d'esprit cette année, du moins en ce qui concerne votre site Internet.

1. Mon nom de domaine, je sécuriserai

Après tout, si vous avez un site, c'est que vous avez un nom de domaine et c'est même le bien le plus précieux de votre patrimoine Internet. Sans lui, pas de site ni d'adresses email qui vous soient propres. Pas de données données analytiques pour vous aider dans vos actions de marketing ni de campagnes publicitaires en ligne non plus. Il est donc le premier"objet" dont il faut assurer la sécurité.

Pour commencer, êtes-vous sûr d'en être le propriétaire ? La question peut paraître stupide mais notre expérience a montré que, plus d'une fois, le véritable propriétaire du nom de domaine était l'ami, le cousin qui vous avait, il y a bien longtemps, créé la première version du site. Ou bien c'est l'hébergeur chez qui vous avez un contrat "tout-en-un" (hébergement + le nom de domaine "gratuit"). Nous avons rencontré tous ces cas et il n'a pas toujours été facile ou rapide de récupérer la pleine propriété du domaine.

Vérifiez également que les données de contact enregistrées pour votre domaine sont correctes. C'est non seulement une obligation que vous avez vis à vis de l'ICANN, l'autorité de régulation de l'Internet, mais c'est aussi indispensable pour recevoir les notifications de renouvellement de l'enregistrement. Si vous manquez une échéance, non seulement votre site Internet et les comptes emails associés cesseront de fonctionner mais ne croyez pas que vous pourrez récupérer votre domaine facilement s'il a été racheté par quelqu'un d'autre. Cela peut vous coûter (très) cher, soit en frais de procédure, soit en cas de rachat. Et si vous pensez qu'il n'y a pas de vie après la mort d'un nom de domaine, lisez cet article.

Finalement, assurez-vous que vous savez chez qui votre nom de domaine est enregistré, que vous avez bien accès à sa gestion et que vous comprenez au moins les mécanismes qui sont en jeu (enregistrement, DNS, hébergement, redirection, ...). Cela vous évitera aussi de tomber dans les arnaques liées aux renouvellements de domaines qui ont été très nombreuses en 2019.

2. A jour mon site je garderai

Maintenant que tout est bien en ordre au niveau de votre domaine, il faut s'occuper de la sécurité du site lui-même et, pour cela, la première chose à faire est de veiller à garder le "moteur" du site à jour. Le CMS Joomla!^®, mais c'est valable aussi pour Wordpress, Drupal, Typo3,..., est en réalité un logiciel et, comme tous les logiciels complexes, nécessite des mises à jour régulières pour corriger des bugs et combler des failles de sécurité. Ces dernières sont les causes principales du piratage des sites qui utilisent ces systèmes. C'est pour cela que les mises à jour sont aussi importantes et qu'il ne faut pas attendre pour les effectuer car, dès que la résolution d'une faille de sécurité est annoncée, on assiste à une vague d'attaques visant les sites qui ne sont pas protégés.

Il existe aussi une autre raison pour procéder à ces mises à jour au fur et à mesure de leur parution : Joomla!, depuis longtemps déjà, a réduit le processus de mise à jour du noyau à seulement quelques clics, dans un composant dédié à cet usage. Mais l'opération n'est cependant pas sans risque, un message d'avertissement vous le rappelle d'ailleurs. Mais s'il est minime lorsque l'on passe d'une version à celle qui la suit directement, il augmente au fur et à mesure que s'allonge l'écart entre la version actuellement utilisée et la nouvelle à installer, surtout si on passe d'une version "intermédiaire" à une autre. Concrètement, passer de la version 3.9.13 à la 3.9.14 ou même de la 3.9.3 à la 3.9.14 ne présente pratiquement aucune difficulté, tandis que le passage de la 3.7.3 à la 3.9.14 ou surtout de 3.3.3 à la 3.9.14 ne se fera pas nécessairement en deux coups de cuiller à pot. Enfin, dans les cas d'écarts encore plus grands, de Joomla! 2.5 à 3.9 ou - surtout - de Joomla! 1.5 à 3.9, on ne parlera plus de mise à jour mais de migration et cette opération devrait être confiée à un professionnel.

Et les mises à jour ne concernent pas uniquement le "noyau" de Joomla! mais également les - parfois nombreuses - extensions installées. Les développeurs sérieux ne manqueront pas de vous informer dès qu'une mise à jour de sécurité est publiée et, même avec les extensions payantes, vous pourrez bénéficier de solutions pour sécuriser le composant sans payer une nouvelle licence. Néanmoins, cela nécessite de modifier le code de certains fichiers, ce qui n'est pas forcément une chose que tout le monde se sente capable de faire.

3. Au grand nettoyage je procéderai

Enfin un autre point qui est beaucoup moins abordé que celui des mises à jour est celui de la "propreté" de l'installation. Comme vous rangez votre bureau ou votre maison, pour faire de la place, pour y voir plus clair ou pour être plus efficace, il est important de "nettoyer" votre site de toutes les extensions obsolètes ou inutilisées. Nous intervenons très souvent sur des sites que nous n'avons pas créés et sommes toujours frappés d'y trouver une quantité de composants, modules, plugins ou templates qui n'ont pas - ou plus - leur raison d'être. Toutes ces extensions sont les "traces" laissées par les différentes évolutions (et souvent par les différents prestataires) qui ont jalonné la vie, parfois longue, du site : migration d'une version Joomla! à une autre, refonte graphique, fonctionnalités abandonnées, ...

Ces extensions obsolètes, même désactivées peuvent causer différents problèmes :

• les fichiers sont toujours présents sur le site et peuvent contenir des failles sécurité non corrigées et encore exploitables
• les composants s'accompagnent souvent de nombreux plugins disséminés un peu partout dans le système et si certains ne sont pas désactivés, ils peuvent provoquer des erreurs (par exemple en cas d'évolution de la version PHP du serveur) ou générer des avertissements qui ne bloquent pas le site mais monopolisent inutilement les ressources du serveur
• tous ces fichiers inutiles alourdissent les sauvegardes du site, rendant ainsi une restauration éventuelle plus longue qu'il ne faudrait.

La meilleure solution est donc de les désinstaller complètement, ce qui supprimera aussi les fichiers du serveur. Éventuellement, vous pouvez conserver les tables enregistrées dans la base de données : si vous changez d'avis et que vous ré-installez le composant, vous retrouverez vos anciennes données. Néanmoins, n'oubliez pas qu'encombrer inutilement votre base de données risque de nuire aux performances du site. A vous de peser le pour et le contre et d'opter plutôt vers une sauvegarde séparée des tables concernées.

Enfin, la désinstallation ne suffit pas toujours à éliminer tous les fichiers obsolètes du serveur et il est recommandé de procéder à une inspection visuelle en utilisant un logiciel FTP. Mais ici, en cas de suppression, il est impératif de savoir ce que l'on fait !

4. Mon site je protégerai

Avoir un site et ses extensions à jour est la chose la plus importante du point de vue de la sécurité. Mais cela ne suffit pas nécessairement. Les hackers sont de plus en plus nombreux et les techniques employées de plus en plus efficaces. Il convient dès lors de renforcer la sécurité avec une extension dédiée. Sur tous nos sites, nous utilisons l'extension Admin Tools Pro (disponible aussi pour Wordpress) qui propose un large éventail de fonctions et de parades contre les tentatives d'intrusion des pirates : WAF (pare-feu d'application Web), éditeur de fichier .htaccess, scanner de fichiers, ... C'est un peu comme installer une porte blindée à l'entrée de votre maison : cela n'empêchera pas un voleur expérimenté et déterminé d'entrer mais ça lui rendra la tâche beaucoup plus difficile et gardera les novices à l'écart. De plus, cette extension est aussi un véritable système d'alarme qui vous prévient lors de différents événements (programmables) : connexion à l'administration du site, création de Super Utilisateur, modification de fichiers importants, ...

En plus de la sécurité réelle apportée par ce type d'extension, un de ses avantages est qu'elle vous oblige à réfléchir sur la façon dont vous, et peut-être aussi vos collaborateurs, prenez en compte l'aspect sécuritaire de votre travail. Elle vous aidera à faire les compromis justes entre confort d'utilisation et protection maximale.

N'oubliez pas non plus de tester, sur le site Security Headers, un autre facteur important de la sécurité des pages Web, les en-têtes HTTP. Ces en-têtes permettent au client (le navigateur du visiteur) et au serveur (sur lequel se trouve le site) d'échanger des informations en complément de la requête (la demande d'affichage d'une page) et de sa réponse (le contenu de la page demandée). Ces informations concernent, entre autres, des protections contre certaines attaques : X-XSS-Protection, Content-Security-Policy, Referrer-Policy, ...

Ici aussi, l'éditeur de fichier .htaccess d'Admin Tools Pro vous aidera à ajuster au mieux ces paramètres.

5. Mes accès je verrouillerai

Si vous avez suivi les recommandations du point 4 ci-dessus, vous venez d'installer une porte blindée. C'est parfait mais pas très efficace si vous laissez la clé sous le paillasson !

Les mots de passe sont les outils les plus couramment employés pour verrouiller les accès sur Internet mais les mots de passe "faibles" sont comme les clés glissées sous les paillassons. Bien sûr, il faut penser à regarder en-dessous mais ne comptez pas trop sur la chance ou la naïveté de vos visiteurs mal intentionnés. Si vous voulez vraiment être sérieux avec la sécurité, utilisez un mot de passe "fort", c'est-à-dire :

• qui soit un "mot" impossible à deviner et qui n'existe dans aucun dictionnaire d'aucune langue
• qui ne soit utilisé que pour protéger un seul accès
• qui soit changé régulièrement

Si on peut encore imaginer retenir une (ou deux) suite aléatoire de lettres, chiffres et symboles, il est illusoire de croire qu'on pourra le faire pour la série, tous les jours grandissante, de mots clés réclamés par notre vie connectée. Et si en plus il faut se rappeler de les changer régulièrement, cela en découragera plus d'un. Une étude récente a montré que, malgré tout, la plupart des gens comptent encore sur leur mémoire pour conserver leurs mots de passe mais sans beaucoup de succès puisque plus de 75 % des utilisateurs font régulièrement appel aux fonctions de récupération de codes d'accès existants sur les différents services.

Au lieu de perdre du temps dans ces procédures, qui parfois n'aboutissent pas, et générer des échanges inutiles d'informations confidentielles par des moyens peu sécurisés (emails), nous vous recommandons l'utilisation d'un gestionnaire de mots de passe. Notre choix s'est porté depuis des années sur LastPass dont, malgré une augmentation sensible du coût de l'abonnement, nous avons toujours apprécié la fiabilité pour retenir à notre place les plus de 500 mots de passe (différents !) que nous utilisons dans le cadre de notre travail.

Mais les mots de passe ont aussi leurs limites et, pour des comptes ou services importants, une protection supplémentaire peut s'avérer nécessaire. On parle alors de double authentification parce qu'on utilise deux "clés" au lieu d'une seule. C'est comme ajouter une deuxième serrure sur votre porte blindée. Il peut s'agir de l'introduction d'un code généré par une application, comme Google Authenticator, d'une clé USB comme les YubiKey, de scanner d'empreintes digitales,... Bien sûr ces moyens introduisent de nouvelles contraintes qui peuvent perturber votre travail mais elles offrent une réelle protection supplémentaire. Depuis septembre 2019, cette authentification forte est devenue obligatoire dans toute l'UE pour toutes les transactions financières en ligne. Les banques belges l'utilisent depuis des années pour le "online banking" (combinaison de mot de passe + digipass) mais les banques françaises sont encore à la traîne (combinaison numéro de client + mot de passe).

Comme toujours en matière de sécurité, il faut évaluer les risques et adapter les mesures de protection en fonction de la valeur des biens ou des données concernées.

Enfin, sécuriser les accès, si vous ne travaillez pas seul, peut concerner vos collaborateurs ou vos sous-traitants. N'oubliez pas de vérifier régulièrement qui a accès à quoi et pensez à désactiver les codes d'accès qui n'ont plus de raison d'être. De plus, un CMS comme Joomla! possède nativement un très puissant gestionnaire d'accès (ACL) qui permet de déterminer très finement ce que les utilisateurs peuvent voir (contrôle d'accès) et ce qu'ils peuvent faire (contrôle d'actions). Dans votre organisation, un chef de service n'a pas les mêmes privilèges qu'un simple employé. Vous pouvez, grâce à cet ACL, reproduire exactement, dans le site, la même structure hiérarchique.

6. Des sauvegardes je ferai

Tout le monde est persuadé de l'utilité des sauvegardes mais, curieusement, cette conviction ne survient bien souvent que le jour où l'on souhaite récupérer un document, un dossier, un site perdu, effacé ou corrompu. Et c'est, malheureusement, bien souvent pour s'apercevoir que cette sauvegarde est elle-même perdue, effacée ou corrompue.

C'est pour cela qu'il est important de bien maîtriser les aspects techniques de cette procédure et de mettre en place une politique de sauvegarde cohérente et efficace. Pour cela, une sauvegarde doit répondre à 3 critères :

1. La procédure doit être automatique : vous aurez toujours une excuse pour ne pas faire la sauvegarde quand elle devrait être faite. Une machine ne procrastine pas.
2. Les sauvegardes doivent être testées régulièrement : vous pensiez subir une catastrophe en perdant votre site ? Attendez de voir ce que vous éprouverez quand vous vous rendrez compte que les sauvegardes effectuées consciencieusement depuis des années (sans test) sont cryptées avec une clé de chiffrement dont vous n'avez aucune idée.
3. Les sauvegardes doivent se trouver sur un support séparé : si vous les conservez sur le serveur qui vient d'être détruit par une malencontreuse (ou malveillante) manœuvre, il n'y aura sans doute plus que Sainte Rita, la patronne des causes perdues, qui pourra vous aider dans la récupération des données.

Comme vous le voyez, cela ne s'improvise pas (automatisme), c'est quelque peu contraignant (tests) et cela nécessite une certaine infrastructure (support séparé). Mais il existe une extension formidable, disponible pour Joomla! et Wordpress, Akeeba Backup (Pro de préférence) qui pourra vous aider à mettre tout cela en place.

7. Le RGPD je respecterai

Cela peut surprendre que nous abordions ce règlement dans un article sur la sécurité mais n'oubliez pas que les lettres "P" et "D" de l'acronyme signifie "Protection des Données". Il s'agit donc bien de sécurité et c'est un aspect important de cette législation entrée en vigueur le 25 mai 2018.

Depuis cette date en effet, en tant que propriétaires de sites, vous êtes responsables de la sécurité des données qui vous sont confiées (les nom, adresse, email, date de naissance, ... de vos membres par exemple). Bien sûr, si vous êtes une petite association, on ne vous demandera pas d'appliquer à votre site une sécurité digne d'une agence de renseignements mais on ne vous pardonnera pas non plus de ne rien faire : une politique laxiste en matière de mot de passe, un accès public à des données personnelles confidentielles, une absence de maintenance du site, ... pourront vous être reprochés et vous en subirez éventuellement les conséquences sous la forme d'une amende. Peut-être jugez-vous que les informations que vous récoltez ne sont pas importantes ou sensibles mais les gens qu'elles concernent peuvent avoir une opinion différente. Ils ont désormais la possibilité de porter plainte dans un cadre légal (relativement) bien défini.

En addition au traitement des données, il y a aussi celui des cookies qui s'apprête, en 2021, à voir l'apparition (et l'application) de nouvelles règles, du moins en France. Un simple bandeau laconique ne suffira plus pour la majorité des sites et nous vous recommandons de consulter les sites des organismes compétents dans votre pays de résidence, la CNIL en France ou l'APD en Belgique, pour vous informer des procédures à suivre pour être en conformité avec le RGPD et la gestion des cookies. Rappelons qu'en ce qui concerne le premier, aucune "période de transition" n'était prévue et qu'à présent les contrôles s'intensifient et que les amendes commencent à tomber.