Pourquoi la sécurité du web est la responsabilité de chacun ?

Je suis un professionnel de l'Internet. A ce titre, je visite beaucoup de sites pour me tenir au courant des nouvelles tendances de design, pour des recherches sur des produits ou pour prospecter de nouveaux clients. C'est en me livrant à cette dernière activité que je suis tombé sur le site d'un commerçant de mon département. Et j'ai tout de suite pu constater que son site était victime d'un piratage : dès que vous arrivez sur le site, vous êtes redirigé vers un autre domaine avec une extension .tk. Cette extension concerne les domaines situés aux îles Tokelau, un archipel de l'Océan Indien sous souveraineté de la Nouvelle-Zélande ! Pas grand-chose à voir avec mon commerçant nîmois.

Il s'agit d'un cas classique de hameçonnage (peut-être plus connu sous le nom de phishing) : sur la page vers laquelle vous êtes redirigé, un message vous indique que votre ordinateur est infecté et que vous devez appeler d'urgence un numéro de téléphone pour le débloquer ou cliquer sur un gros bouton vert portant le label "Retour vers la sécurité".

Inutile de vous dire que quand vous rencontrez ce genre de message, il ne faut surtout pas cliquer sur le bouton, ni appeler le numéro de téléphone ! Mais alors que faire ?

 Que faire si vous n'êtes pas le propriétaire du site

Vous pourriez très bien vous dire : "Ce n'est pas mon site, tant pis pour lui". Je crains que ce soit, hélas, une attitude plutôt répandue de nos jours. Mais pensez-y : vous n'êtes pas tombé dans le piège, mais d'autres, peut-être même des amis ou connaissances, ne l'éviteront pas. Et puis aujourd'hui il s'agit du site d'un quidam mais, demain, il s'agira peut-être du vôtre. Ne souhaiteriez-vous pas qu'on vous signale rapidement le problème ?

Ayant pu accéder à la page contact du site (le piratage fonctionne de manière délibérément aléatoire), j'ai donc écrit un email au propriétaire pour lui faire part de la situation, en lui disant clairement qui j'étais (mes coordonnées professionnelles dans la signature), et sans lui faire d'offre de services, son site utilisant une autre technologie que Joomla!^®. Et c'est ici que cela devient intéressant : outre le fait qu'il ne m'ait pas répondu, j'ai constaté, trois semaines plus tard, que rien n'avait changé sur son site. J'ai donc décidé de l'appeler, car j'étais curieux de savoir pourquoi quelqu'un n'est pas intéressé de savoir que son site est piraté et surtout, pourquoi il décide de ne rien faire.

J'ai ainsi découvert que, oui, il avait bien reçu les emails et, oui, un autre client lui avait signalé le problème mais que, dans les deux cas il avait pensé que c'était l'ordinateur des visiteurs qui avait un problème puisque, quand lui visite son site, il ne voit rien de suspect, sauf ... pendant mon coup de téléphone où, pour une fois, il a pu constater le piratage. Ensuite, bien qu'il m'ait remercié de l'avoir prévenu (les gens sont polis par ici), il m'a raccroché au nez (ils peuvent être aussi assez rustres). Si on n'aime pas le message, on tire sur le messager !

Que faire si vous êtes le propriétaire du site

Avec le recul, je ne lui en veux pas de son impolitesse. Beaucoup de propriétaires se sentent désemparés face à une situation qui, souvent, les dépasse. Comment distinguer le vrai du faux ? Mon site fonctionne quand je me connecte mais de parfaits inconnus prétendent qu'il est piraté ! Où est l'arnaque (parce que, parfois, il y en a) ?

Comprenant ce désarroi, j'ai réfléchi à une petite check list à suivre si vous vous retrouvez dans cette situation :

1. Restez calme : c'est toujours plus facile à dire qu'à faire, mais il est bon de le rappeler. La situation est sérieuse, mais votre maison ne brûle pas et votre vie n'est pas menacée. Paniquer ne fera que vous empêcher de prendre les bonnes décisions.
2. Soyez vigilant : n'importe qui peut se faire passer pour n'importe quoi par email ou même par téléphone. Dans le cas d'un email, vérifiez si celui-ci semble légitime ou pas. Un message quasi anonyme (signé "Pierre"), provenant d'un compte Gmail devra être traité avec suspicion. De même, s'il contient des liens vers des sites, assurez-vous qu'ils pointent bien vers ce qu'ils prétendent être. En principe, tous les logiciels de mails, même sur smartphones, permettent de visualiser la destination d'un lien avant de cliquer dessus. Si ce n'est pas le cas avec le vôtre, changez de messagerie. Enfin, méfiez-vous des adresses "raccourcies", genre https://goo.gl/xyz ou https://bit.ly/xyz. Il existe des services gratuits en ligne qui décompressent ce genre d'adresses, ce qui évite parfois de mauvaises surprises.
3. Vérifiez l'information : si, après vérification, votre interlocuteur semble sérieux, peut-être a-t-il raison. Pour le savoir, faites-vous mêmes quelques recherches. L'outil le plus efficace que je connaisse pour déceler si un site est piraté ou non est celui de Sucuri. Entrez l'URL du site, attendez quelques secondes et vous avez le résultat. Dans le cas présent, il ne laisse pas planer de doutes !
   
4. Prenez une mesure d'urgence : maintenant que le problème est confirmé, la première chose à faire est de mettre le site hors ligne afin de l'empêcher de nuire. C'est que votre responsabilité est engagée : au-delà de la très mauvaise image que cela donne de votre organisation, vous pourriez être reconnu coupable de négligence dans le cas où des visiteurs auraient subi un préjudice suite à leur visite sur le site. Avec les lois mettant l'accent sur la sécurité, comme le récent RGPD, il faut s'attendre à ce que ce genre de poursuites se multiplient. C'est votre site, votre responsabilité. Vous ne vous en tirerez pas en disant "Je ne savais pas".
   Si vous ne savez pas comment mettre le site hors ligne, contactez d'urgence votre Webmaster pour qu'il s'en occupe. Par la même occasion, demandez-lui qu'il vous explique comment faire car c'est une des choses qu'un propriétaire de site devrait savoir.
5. Réglez le problème : ici, soyons clair, il s'agit d'une tâche que vous devrez confier à un spécialiste parce que si, dans une grande majorité des cas, la cause de ces piratages est une absence de mise à jour du système (qu'il s'agisse de Joomla!, de Wordpress ou de n'importe quel CMS), la seule mise à jour à la dernière version ne corrigera pas le problème. Les pirates ont l'habitude de laisser des "portes de derrière" (backdoors en anglais) qui leur permettent de revenir quand ils veulent. Il faut donc y aller en profondeur, et c'est parfois long et compliqué. Raison de plus pour ne pas négliger les mesures préventives.

 Prévenir mieux vaut guérir

Même si la sécurité à 100% n'existe pas, il y a un certain nombre de mesures à prendre pour se protéger au mieux.

1. Gardez votre site à jour : de toutes les mesures, c'est certainement la plus importante. La majorité des piratages se produisent sur des versions obsolètes des CMS (Wordpress, Joomla!, Drupal, ...) ou de leurs extensions. Dans Joomla!, assurez-vous que vous recevez bien les emails envoyés par le système (c'est indiqué dans votre profil d'utilisateur), que les emails sont bien envoyés depuis le site (vous pouvez tester cette fonction dans la configuration générale) et enfin que le plugin Notification de Mise à jour de Joomla! est bien activé. De cette façon, vous serez avertis de l'existence d'une mise à jour du CMS. Un mécanisme similaire doit exister dans votre CMS (ou alors, changez pour Joomla! ...).
   Attention : ces notifications ne sont envoyées qu'aux Super Users. Vérifiez donc que vous avez bien ce statut. Même si vous ne vous connectez jamais, en tant que propriétaire, vous devriez toujours pouvoir accéder à votre site avec les "pleins pouvoirs".
2. Gardez un oeil sur vos extensions : elles aussi peuvent être vulnérables si elles ne sont pas mises à jour régulièrement. Toutefois, si tout fonctionne correctement, vous pouvez vous contenter de ne faire de mises à jour que quand elles comblent une faille de sécurité. Assurez-vous que vous recevez bien la newsletter des concepteurs de chacune de vos extensions pour être averti en cas de découverte de failles de sécurité. Dans certains cas, l'enregistrement du composant a été effectué par votre Webmaster et c'est lui qui reçoit les emails. De là à ce qu'il se souvienne chez qui il a installé ce composant ...
3. Prévoyez un plan de maintenance : mettre à jour son site soi-même n'est pas nécessairement une tâche insurmontable mais si c'est votre choix, tenez-vous y. Ne remettez pas à plus tard cette opération car, dans le cas de failles de sécurité importantes, le nombre d'attaques explose dès la révélation du problème (qui coïncide avec la publication de la version de correction). Si vous n'êtes pas sûr d'y arriver (après tout, vous avez d'autres chats à fouetter), confiez cette mission à un professionnel, en vous assurant d'avoir un contrat écrit sur les termes et conditions de cette maintenance.
4. Conservez vos codes d'accès sous la main : comme je l'ai dit plus haut, la première chose à faire est de ne pas paniquer mais cela ne veut pas dire qu'il ne faut pas agir rapidement. Ce n'est pas quand vous découvrez le piratage de votre site que vous devez commencer à essayer de vous souvenir où vous avez bien pu ranger votre mot de passe de Super Utilisateur. Conservez tous les codes d'accès importants (administration du site, FTP, console d'hébergement, bases de données) en lieu sûr, c'est-à-dire, pas sur un post-it collé sur l'écran de l'ordinateur, ni dans un fichier texte sur le bureau. Stockez-les de préférence dans un gestionnaire de mots de passe (comme LastPass, par exemple) ou imprimez-les sur un document que vous conservez en lieu sûr. Si vous devez les communiquer à un tiers pour dépanner le site, soyez prudents sur la façon de procéder : l'idéal est de créer un fichier PDF protégé par un mot de passe. Envoyez le PDF par email et le mot de passe par SMS. N'envoyez jamais de codes d'accès importants par email.
5. Apprenez les gestes qui sauvent : il n'est pas nécessaire que vous sachiez résoudre des problèmes techniques compliqués mais vous devriez au moins être capables de :
   • Mettre le site hors ligne, de préférence de façon sécurisée (via le .htaccess plutôt que la configuration Joomla!)
   • Changer les mots de passe des Super Utilisateurs
   • Vérifier que les emails sont bien envoyés par le site
   • Créer un document PDF protégé par mot de passe
6. Surveillez votre site : si votre site est une vitrine, peut-être ne le consultez-vous pas très souvent. Si vous ne voulez pas dépendre de la bonne volonté d'un de vos visiteurs pour vous prévenir quand il y a un problème, il faut mettre en place un système de monitoring. Il existe des services en ligne qui offrent cette prestation, à des tarifs variables. Une alternative, gratuite, consiste à utiliser Google Analytics en créant une alerte vous avertissant quand certains paramètres ont changé, par exemple si la durée des visites (sessions) diminue de 50 % par rapport au même jour la semaine précédente. Suivant la fréquentation du site et le comportement des visiteurs, vous devrez tâtonner pour trouver les bonnes valeurs et le bon paramètre à surveiller. Vous ne serez pas avertis aussi rapidement ou de manière aussi précise que par un service spécialisé, mais la solution est gratuite.
   

En conclusion

Même si cela a été déjà dit et répété maintes fois, le piratage est une réalité mais ce n'est pas une fatalité. Les hackers sont paresseux : ils cueillent les fruits des branches les plus basses (the low-hanging fruits en anglais), c'est-à-dire les sites délaissés par leurs propriétaires. Comme il y en a beaucoup, ils ont encore un bel avenir devant eux. Mais vous avez la possibilité d'être différent, de protéger votre site efficacement et de protéger ainsi vos visiteurs et, peut-être, futurs clients.