Les sites web sont par nature des éléments très exposés du système d’information. Leur sécurisation revêt une grande importance, et ce à plusieurs titres.
Les menaces les plus connues pesant sur les sites web sont les défigurations et les dénis de service. Une défiguration est une attaque par laquelle une personne malveillante modifie le site pour remplacer le contenu légitime par un contenu qu’il choisit. Un déni de service a quant à lui pour objet, de rendre le site attaqué indisponible en saturant ce dernier. Dans les deux cas, l’impact sur le propriétaire du site est évidemment un déficit d’image et, pour le cas d’un site servant de support à une activité lucrative, un manque à gagner.
Il ne faut toutefois pas négliger les scénarios d’attaques plus insidieux.
Les attaques par injections sont hélas monnaie courante et parfois difficiles à détecter, d’où l’importance des mises à jour techniques régulières (serveur et CMS). Il est également possible qu’un ou plusieurs individus malveillants se servent d’un site web comme une porte d’entrée vers les infrastructures de l’hébergeur, ou comme relais lors d’une attaque élaborée, vers un système tiers ou comme dépôt de contenus illégaux.
Qui sont les pirates et pourquoi attaquent-il mon site ?
Les premiers sont des « skiddy » (de jeunes informaticiens, souvent autodidactes), qui utilisent des scripts prêts à l’emploi que l’on trouve facilement sur le web, pour exploiter les failles de sécurité d’un blog, d’un CMS ou d’un forum. Ils se lancent des défis à celui qui affectera le plus de sites.
Les autres sont souvent des pirates qui travaillent au service d’une organisation, afin de transformer votre site web en plateforme d’envoi de spams, de récupérer les données clients (comptes, emails). ces derniers créent leurs propres scripts et font cela pour l’argent. Les organisations, les payent en fonction du nombre de sites web piratés (dont ils ont pris le contrôle à l’insu du propriétaire). Enfin, certains pirates cherchent à vendre leurs compétences en terme de sécurité, à des sociétés de développement ou de protection antivirus par exemple.
Il est très rare qu’un hacker vous vise personnellement; les uns le font pour le jeu, les autres pour l’argent. Certains se cachent derrière des pseudo slogans anti-occidentaux, histoire de vous faire peur et de se prendre au sérieux.