La sécurité des sites internet.

Certaines entreprises présentes sur le web pensent à tort que leur site n’est pas exposé car c’est vrai “qui pourrait bien vouloir hacker mon site ?”

Pourtant, nous recevons chaque année des clients dont le site a été piraté et qui nous supplient de trouver une solution rapidement, soit parce que ce piratage nuit à leur image et à leur positionnement dans les moteurs de recherche soit parce qu’ils perdent de l’argent dans le cas d’un e-commerce.

Qu’est ce qui motive un hacker à contourner la sécurité d’un site internet?

Mais alors quelles sont les motivations de ces méchants hackers ? Sont ils des concurrents mal intentionnés qui payent des petits malins pour vous faire tomber ? La réponse est non. La plupart du temps ce sont des hackers débutants qui souhaitent se prouver à eux-mêmes qu’ils sont capables de le faire. L’autre raison qui poussent une majorité de pirates à s’en prendre à votre site est l’augmentation de leur flotte de sites web qui pourra servir plus tard à commettre des attaques de plus grande ampleur, ou simplement sur un site plus important.

Pour prendre un exemple d’attaque très connue, “l’attaque par déni de service distribuée” a pour principe d’utiliser une armée de sites infectés appelés les “zombies” pour effectuer des requêtes massives sur un site plus gros afin de le rendre inaccessible. Les serveurs sont généralement dimensionnés pour un certain nombre de visites. Si trop de requêtes sont effectuées en même temps cela va le rendre indisponible. Bien entendu il existe des moyens de lutter contre ce genre d’attaque mais les pirates affutent leurs techniques avec le temps et des sites comme Yahoo, Microsoft ou ceux du gouvernement on déjà étés confrontés à ce genre de problème. Par ailleurs, on estime que plus de 160 000 sites wordpress serviraient aujourd’hui de zombies pour des attaques.

Le marché de la data

Nous pouvons évoquer deux autres raisons pour lesquelles des hackers trouvent un intérêt à se livrer à ce genre d’exercice. La première la plus commune est le chantage. Comme il est toujours très désagréable de voir son site piraté, les pirates pourront vous demander une somme d’argent en échange du déblocage de votre site ou simplement de vos données personnelles ou professionnelles. La deuxième raison est que si votre site internet gère un nombre important de données de vos utilisateurs, le hacker pourra être intéressé par la revente de ces données pour du spam notamment.

Si vous gérez un site e-commerce nous devons vous rappeler qu’il est PRIMORDIAL d’installer un certificat ssl sur son site pour qu’au minimum la page sur laquelle vos visiteurs rentreront leur numéro de carte bancaire soit en https (avec le petit cadenas vert)! Cela signifiera que toutes les informations entrées sur cette page seront cryptées et qu’ainsi les informations personnelles de vos visiteurs sont en sécurité. Dans l’absolu, nous vous conseillons de passer l’intégralité du site en https car cela impactera positivement votre référencement naturel. En effet, Google incite de plus en plus les éditeurs de sites web à obtenir le petit cadenas vert pour créer un internet plus sécurisé.

Le référencement naturel, un risque pour la sécurité des sites internet

Parmi les différentes attaques et raisons qui poussent à les commettre on trouve le référencement naturel. L’optimisation d’un site pour les moteurs de recherche est devenu une véritable bataille et tous les moyens sont bons pour obtenir de nouveaux clients via un bon positionnement sur Google sans payer d’annonces. Dans ce conflit permanent, on trouve les experts SEO dont les techniques varient entre “white hat et black hat”. Des techniques pas forcément illégales mais qui contreviennent parfois aux conditions d’utilisation des sites. On peut se souvenir par exemple des liens étranges sur les forums, pratique qui tend à disparaître car rendue peu efficace.

En revanche l’injection de lien sur des pages pertinentes peut être une technique redoutable pour augmenter l’autorité d’un site web et par conséquent son positionnement sur Google. L’objectif pour le hacker est de trouver une faille dans votre système de gestion de contenu et d’insérer un lien à un endroit stratégique, ce qui est très déroutant pour le propriétaire du site comme pour le visiteur. Pour l’anecdote, nous avons travaillé par le passé sur le site internet d’une artiste. Celui-ci fonctionnait sur joomla et avait été piraté. En bas de page, au lieu du traditionnel copyright de l’artiste se trouvait cette phrase “créé par plombier Paris” avec un lien vers le site d’un plombier. Cette technique peut vous sembler saugrenue mais elle est pourtant assez répandue.

Comment sécuriser mon site internet ?

La première chose à faire pour avoir un site internet sécurisé est de le mettre à jour régulièrement. Par exemple beaucoup de sites sous prestashop ont été piratés ces dernières années car les propriétaires ne souhaitaient pas faire de mises à jour de peur d’engendrer des bugs ou une indisponibilité du site. Les sites concernés par ces piratages ont du avoir des pertes bien plus importantes que s’ils avaient fait les mises à jour régulièrement !

D’autre part on entend souvent que 90% des sites piratés le sont sur wordpress. Cela n’est pas faux mais cela s’explique par le fait que ce CMS couvre plus de 30% des sites internet dans le monde. Ce système représente donc une cible confortable pour les pirates. Mais d’un autre côté wordpress évolue rapidement ce qui est une bonne chose au niveau sécurité, et il est facile d’y installer des extensions qui vous aideront à améliorer la sécurité de votre site et des informations de vos visiteurs. En revanche comme pour prestashop, il est très important d’effectuer des mises à jour régulières ainsi qu’une veille sur l’activité de votre site, même si cela doit vous obliger à corriger de potentiels bugs du fait de la compatibilité entre les diverses extensions de votre site.

Dans tous les cas sachez qu’un site qui vit est un site qui aura une meilleure position dans les moteurs de recherche.

Si vous n’avez pas de temps à consacrer aux mises à jour, si vous ne savez pas comment réparer un bug ou si les questions de sécurité web vous donnent de l’urticaire, contactez notre équipe pour un audit de votre site.