Tester et sécuriser votre site Internet

Gardez l'intégrité de vos données et de votre site en sécurité

Comme tout le monde, vous n'aimeriez surtout pas que votre site sois piraté par des hackers ! Effectivement, ceci est une manière certes originale de détruire la réputation d'une entreprise, mais surtout une méthode efficace pour ralentir considérablement ses activités !!

La plupart des sites internet ou applications web faits il y a 5 ou 10 ans, étaient remplis de trous de sécurité. La majorité d'entre-eux sont encore en ligne mais n'ont toujours pas été piraté.

Cela peut souvent être aussi la faute d'avoir négligé la mise a jour de son système de gestion de contenu (Wordpress, TYPO3, Magento, Prestashop etc ..), cela cause des ennuis à votre entreprise.

Failles d'injections SQL

Presque tous les champs et variables possible sur un site internet sont directement connectés à la base de données, est-ce que tous ces champs sont filtrés pour que ceux-ci ne soient pas vulnérables pour executer une requête malveillante en sortant de la variable avec un caractère spécial. Cela peut être très choquant et une très belle façon de vous faire perdre complètement votre site web ou d'accéder à des données sensibles

Variables Globales

Sur les plus vieilles versions du langage avec lequel est conçu votre site web, celui-ci avait un défaut : les variables des formulaires "post" et ceux de l'adresse "get" pouvait s'override l'une l'autre. Par exemple vous envoyez un champ nommé "nom" par le formulaire, le script pense que ce peut être sois provenir d'un formulaire ou de l'adresse donc il écrase les variables de l'une l'autre, ceci même si très désastreux, est aussi surprenamment très fréquent, mais de plus en plus rare.

Un utilisateur malveillant pourrais par exemple carrément jouer avec les variables du script (qui sont sensés être privées) et causer toute sorte de perturbations étranges.

Failles dans la configuration du Serveur

Ceci est un peu plus rare car les distributions utilisées pour des serveurs sont de plus en plus sécurisées "stock/de base", il arrive toutefois que certaines entreprise qui ont décidé de tenir la barre très haute sur le principe du "ca fonctionne, donc on y touche pas", risquent d'avoir de mauvaises surprises dans un futur proche et devraient remédier la situation immédiatement.

Un exemple de ce genre de type de faille de sécurité et entre-autre d'executer le logiciel de serveur web (http) en tant que root (ce qui était très frèquent il y a 5 ans e plus). Lorsqu'un site hébergé sur ce serveur se faisait pirater, les autres sites sur celui ci, mais aussi l'intégralité de la machine et de absolument toutes les données à l'intérieur étaiente vulnérables.

Cette faille est encore très commune de nos jours, c'est de ne pas bien séparer les droits d'un site web à un autre sur une machine. Si un site A et B sur un serveur, et le serveur A se fait pirater, le hacker peut donc aussi avoir accès aux données du site B (et tous les autres sur ce même serveur !)

Encore beaucoup d'autre failles mais ceci n'est qu'un bref résumé.

Failles de Cross-Site Scripting

Sur un site web où que les visiteurs ou usagers peuvent y écrire du contenu comme des articles, des commentaires ou autre, qui sont par la suite affichés sur le site, si ces champs ne sont pas filtrés pour éliminer les balises sémantique ou pire encore, les script, vous n'êtes pas sorti du bois. Un hacker malveillant pourrais injecter littéralement le code de son choix à executer sur les machines de tous vos visiteurs (ou du votre, pire si vous avez des droits en tant qu'administrateur sur ce même site car il peut vous faire faire n'importe-quoi !) 

Failles d'Include

Sûrement la faille la plus à la mode et encore très fréquente de nos jours, la faille include, permet d'aller inclure un fichier sensé rester secret en bidouillant l'adresse de la page (ex: index.php?page=a-propos) remplacer a-propos par admin/.htaccess%00 par exemple et vous êtes en machine ! Mais ce n'est pas tout, il est aussi possible de faire de l'injection SQL à partir de ce genre de faille de sécurité (ex: recette.php?id=232), remplacer le numéro de référence de la recette (232) par une ligne de code à injecter si celui-ci n'est pas correctement filtré par le serveur, il est donc aisé de retrouver des données secrètes, supprimer une base de données entière, se donner les droits de super administrateurs et bien plus encore !

Failles d'Upload

Un classique ! Les champs pour uploader une pièces jointe sur un site web (ex: une photo, un pdf etc..), envoient le fichier dans une autre racine sur le site web (lui donne une URL) pour que celui-ci sois en mesure de l'afficher ailleurs ou permettre de le télécharger. Mais si ce fichier n'étais pas une image/pdf/autre ficher non dangeureux ? Si ce fichier serait en réalité un script que vous pourrez executer à partir de l'adresse URL qui lui sera attribuée ?

Ce script peut vous permettre de faire plusieurs choses "plaisantes" : prendre le contrôle total de l'utilisateur système du site web piraté, lui mettre un web bot (un vers) qui infecte automatiquement a son tour d'autre serveurs vulnérables selon une base de données d'attaques. Faire un robot qui envoie du spam et tire des rayons laser.

Bref, contactez-nous pour une soumission.

Conclusion

La sécurité est importante pour vos données et celles de vos clients donc vous n'êtes mieux de ne pas prendre de risque, et de nous contacter le plus tôt possible pour que nous puissions faire un audit rapide et une estimation auprès de votre site ou application web si vous croyez que celui-ci sois à risque de subir différents types d'attaques.

Vous souhaitez plus de renseignements ?

Remplissez notre formulaire ci-dessous, notre équipe de Québec vous contactera dans moins de 5 heures
Votre nom complet :
Société :
Adresse courriel :
Type de message :
Dites nous en plus :