Navigant de site en site, vous êtes sans doute déjà tombé sur une page vous informant que “ce site web n’est pas sécurisé” ou message équivalent. Parfois, c’est même votre navigateur ou votre antivirus qui vous en déconseille la visite. Plus grossier encore, vous cliquez sur un résultat Google et le site qui se charge n’a rien à voir : promotions sur des produits dont vous n’avez que faire, pommade pour faire grossir un membre ou ceinture miracle contre le mal de dos…
Comment réagir quand ça vous arrive ? Comment distinguer les types d’attaque et garder vos données personnelles en sécurité ? Et surtout, pour les propriétaires de sites web, comment vous assurer que ça n’arrive pas à vos visiteurs, décrédibilisant votre image et vous faisant perdre une précieuse clientèle potentielle ? Les ressources que vous avez engagées pour créer votre site web, et les heures passées à réfléchir et élaborer vos contenus, ne sont pas perçues par l’internaute qui tombe sur un site piraté. Celui qui se “fait avoir” en revanche, pourrait vous en vouloir sérieusement, avoir un préjudice moral ou financier parfois important, et c’est ce dont il se souviendra – car l’arbre qui tombe fait plus de bruit que la forêt qui pousse.
Mais revenons d’abord aux fondamentaux.
Un site web, comment ça marche ?
Un site web est un ensemble de pages web identifiées par leurs URLs (qu’on retrouve dans la “barre d’adresse” du navigateur). L’ensemble de ces pages constitue donc un site web, identifié lui par son nom de domaine (qui se lit dans l’URL, entre les // et le premier / qui suit). Ces pages vous sont délivrées en code HTML, mais dans l’immense majorité des cas, le code de la page est généré par un autre code, lu par le serveur.
Il faut imaginer le serveur comme un “ordinateur sans écran”, auquel vous vous connectez pour récupérer votre page web (en code HTML, donc). Et pour construire cette page, le serveur va lire des fichiers (le plus souvent écrits en PHP), au sein desquels il va trouver des requêtes à une base de données. Et dans cette base de données, vous avez les contenus eux-mêmes (textes, liens vers les images…), ainsi que les options, les variables… qui vont en permettre l’affichage souhaité. C’est ce qu’on appelle un site “dynamique”, au sens où les pages ne sont donc pas statiques, mais bien” construites à la demande”.
Si ce système en apparence un peu compliqué est plébiscité par la quasi totalité des sites web, c’est parce que cela permet d’avoir un back-office, une interface intuitive pour modifier les contenus, l’apparence, ou même les fonctionnalités. Une faute d’orthographe à corriger dans un article ? Pas besoin de fouiller dans les fichiers du serveur, il suffit que vous vous connectiez au site et vous avez accès à l’article comme s’il s’agissait d’un simple document texte. Ajouter un élément dans le menu ? Vous modifiez le menu et la modification s’applique à toutes les pages du site. Alors que sur un site statique, il vous faudrait modifier les pages une par une ?
Bref, un site web dynamique c’est pratique, c’est facile à utiliser, c’est un gain en temps considérable.
Le problème… car oui, toute solution a ses inconvénients – c’est qu’un site dynamique est par définition plus vulnérable qu’un site statique. En effet, dans la mesure où il est basé sur plusieurs langages au lieu d’un, chacun doit être d’autant mieux sécurisé. Et si le HTML est un langage d'”affichage”, ou de “rendu” – donc en pratique impossible à pirater – ce n’est pas le cas de PHP, qui est un langage de “script”, côté serveur, qui permet donc d’avoir un grand contrôle de ce dernier.
Et les pirates l’ont bien compris ; et ils useront donc de toute leur énergie pour tenter de mettre la main sur votre serveur.
Pourquoi les pirates cibleraient-ils mon site ?
La question que vous vous posez peut-être, c’est “qu’est-ce que les pirates en ont à faire de mon site ? Que vont-ils vraiment gagner à y pénétrer, et éventuellement à avoir accès à mon serveur ?”
Et effectivement, ça peut surprendre. Car dans la plupart des cas votre site est une “simple” vitrine. Que vous vendiez du matériel minier ou que vous soyez un bureau d’études, vous présentez simplement votre activité sur votre site… Alors pourquoi les pirates vous cibleraient-ils ? Qu’auraient-ils à y gagner ?!
Les motivations profondes ne sont pas toujours évidentes, mais il y a deux choses qui sont presque toujours vraies :
- Le pirate y gagne quelque chose ;
- Vous n’êtes pas vraiment ciblé.
En effet, dans la quasi totalité des cas de piratage, le pirate ne vous a pas ciblé individuellement. Vous êtes simplement victime de “bots” (robots), installés sur des serveurs partout dans le monde, et qui parcourent le web à la recherche de failles de sécurité. Quand une vulnérabilité est repérée, le bot prend le contrôle du serveur. Ce faisant, il ne “déface” pas forcément votre site. C’est-à-dire que la plupart du temps vous ne pouvez pas vous en rendre compte, car il a tout intérêt à rester discret ! Et une fois confortablement installé sur votre serveur, le bot va tenter, à son tour, d’infecter d’autres machines, de se répliquer.
Les botnets (littéralement réseaux de robots) ainsi constitués, peuvent alors être exploités financièrement par les pirates, au profit d’une clientèle variée. Distribuer des virus, tenter d’infecter des machines pour récupérer des numéros de cartes de crédit… tout dépend du client du pirate. Mais quand la plupart des cas, ce client sera simplement un spammeur, dont l’objectif est d’envoyer des millions de mails pour ses propres clients.
Bref, désolés de vous décevoir, mais non, le pirate ne s’intéresse pas une seconde à votre activité. En vérité il n’a jamais entendu parler de vous, ou même de votre site web, qu’il n’a probablement jamais visité ! Il en veut simplement à votre serveur. Pourquoi ? Parce que justement, vous êtes insoupçonnable : tous les emails que vous envoyez sont légitimes, votre site est impeccable et il a même des mentions légales… Pour ces raisons, quand il prendra le contrôle de votre serveur, il pourra envoyer des dizaines de milliers de mails avant d’être repéré par les anti-spam.
Quels sont les risques ?
Parce que oui, inévitablement, les anti-spam signaleront à votre hébergeur que “vous” envoyez du spam, et votre hébergeur suspendra votre compte. Votre site sera alors inaccessible, et avec plus ou moins de conséquences secondaires…
Pour commencer, si votre site est détecté par Google comme dangereux pour ses utilisateurs, il risque de disparaître des résultats de la recherche…
Votre nom de domaine étant associé au serveur émetteur, ce piratage peut aussi plomber sa réputation, et vos mails être beaucoup plus facilement classés en spam chez vos destinataires – voire ne plus être reçus du tout !
Enfin, si le bot est particulièrement malveillant, il peut récupérer toutes les coordonnées enregistrées sur votre site (par exemple la liste des abonnés à votre newsletter). Ou défacer votre site – et installer la photo d’une pommade à un certain effet à la place de votre logo… Ou s’en servir pour récupérer des numéros de comptes bancaires… Ou se faire passer pour un tiers en imitant la page d’un partenaire de confiance pour récupérer des identifiants de connexion… Ou tenter d’installer un rançongiciel sur les ordinateurs de vos visiteurs…
Inutile de préciser qu’à ce moment-là, il est souvent trop tard. Bien sûr on peut tenter de réparer, de récupérer, de corriger… Mais si le bot qui vous a infecté est bien fait (et c’est souvent le cas), il a laissé des backdoors un peu partout, dans les fichiers, la base de données, et ailleurs… Et même après un grand nettoyage de printemps, il suffit que vous ayez oublié ne serait-ce qu’un fichier, et le pirate reprend le contrôle de votre machine…
Quoiqu’il en soit, ce type d’intervention coûte cher, et un piratage peut parfois être irrémédiable. Il peut mettre en cause la sécurité de vos visiteurs, et décrédibilise à coup sûr votre structure. Sans parler d’éventuels dommages et intérêts…
Pour ne pas en arriver là, une seule solution : la maintenance préventive.
Mieux vaut prévenir que guérir !
Pour éviter d’être vulnérable, la première chose à faire est de s’assurer que notre site web n’a pas de failles de sécurité. Et ce qui est vrai pour tout système logiciel l’est aussi pour le web : qu’il s’agisse de vos applications Android ou de Windows sur votre ordinateur, appliquez les mises à jour dès qu’elles sont disponibles et vous êtes protégés contre une écrasante majorité de vulnérabilités. La mise à jour du système est la pierre angulaire de la sécurité.
Les principaux problèmes qui en découlent étant d’une part, qu’il y a beaucoup de mises à jour à faire – et qu’il faut les faire vite – et d’autre part, que ces mises à jour causent parfois des effets de bord et problèmes de compatibilité. Certaines peuvent même faire “crasher” votre site web : vous appliquez la mise à jour et dans la minute qui suit le site devient inaccessible, avec une page blanche ou une erreur serveur. Ou encore, il reste accessible mais avec des bugs d’affichage, des erreurs signalées sur certaines pages, des oublis de traduction… Des problèmes que vous repérez – mais que vous ne savez pas corriger – ou pire, des problèmes que vous ne repérez même pas ! Un formulaire qui ne vous met plus en copie des messages reçus par exemple… ?
Quel que soit le CMS utilisé par votre site web, la démarche est la même :
- une mise à jour est disponible ;
- on vérifie les éventuels conflits connus qu’elle pourrait causer ;
- on applique la mise à jour ;
- on contrôle le bon fonctionnement.
A titre indicatif, pour un site sous WordPress (premier CMS au monde avec ~45% des sites web au monde), il faut compter entre 50 et 200 mises à jour par an en moyenne, selon les plugins utilisés. Parmi ces mises à jour, certaines ne seront disponibles que si vous renouvelez les licences de certains plugins. Et en cas de problème, vous devrez également pouvoir interagir avec les vendeurs de ces solutions afin d’identifier et corriger les problèmes et conflits éventuels.
Enfin, vous devrez également faire une mise à jour régulière du serveur (par exemple la version de PHP qui y est installée). Sans oublier bien sûr le renouvellement de votre espace d’hébergement, celui du nom de domaine, et de son certificat SSL.
Déléguer la maintenance à un professionnel
Confier la maintenance de votre site web à un professionnel, c’est d’abord faire une économie d’échelle :
- au lieu d’y passer des dizaines d’heures, le professionnel est beaucoup plus rapide et efficace (c’est son travail !) ;
- au lieu de faire régulièrement planter votre site et devoir le réparer de bric et de broc, votre site est toujours en ligne ;
- au lieu d’acheter au prix fort des licences logicielles, votre prestataire mutualise les coûts sur de nombreux sites.
Ensuite, faire appel à un professionnel c’est aussi se garantir une assistance disponible en cas de pépin. Si vous constatez un dysfonctionnement quel qu’il soit, ou que vous souhaitez un changement quelque part, votre prestataire est là pour ça. Grâce à son expertise, il pourra vous conseiller sur les meilleures pratiques, et vous appuyer sur vos besoins de mise à jour ou de changement.
“Celui qui trouve qu’un professionnel coûte cher n’a aucune idée de ce que peut lui coûter un incompétent.”
Mais se reposer sur un professionnel pour la maintenance technique, c’est aussi pouvoir bénéficier de services complémentaires, le plus souvent inclus dans des forfaits globaux. Toute bonne agence vous proposera par exemple une veille d’uptime (consistant à vérifier la disponibilité de votre site web en permanence), un suivi statistique du trafic, et une solution de backups ou sauvegardes régulières (on n’est jamais trop prudent). Parfois proposée en option, la veille de positionnement vous permettra de vérifier l’évolution de la position de votre site web sur les pages de résultat des moteurs de recherche. Le tout vous étant présenté dans un rapport vous permettant de suivre à la fois le travail de votre prestataire et l’évolution de votre site web.
Enfin, selon votre besoin, les forfaits les plus complets pourront également inclure :
- de la maintenance éditoriale, consistant à déléguer l’animation du site web (soit en y publiant vos contenus, soit parfois même en produisant le contenu pour vous) ;
- de la maintenance évolutive, vous permettant à tout moment d’ajouter ou modifier des fonctionnalités sur votre site.
Pour un site stable, fiable, solide, impossible à terrasser, Adage recommande les prestations de maintenance de UP, notre partenaire spécialisé.
UP propose des solutions de maintenance, d’audit, d’interventions techniques et de formations, en particulier sur le CMS WordPress.
Laisser un commentaire