Le piratage d’un site Internet est malheureusement fréquent pour les TPE/PME.
En tant que propriétaire de site, entreprise ou particulier, quels sont les risques financiers, juridiques, ou d’une perte d’image ? Comment s’en prémunir ou redresser la situation ?
Le piratage en deux mots ?
Concrètement, un site « piraté » est un site qui a subit une intrusion manuelle ou au moyen de scripts.
Ces intrusions peuvent être variées et leurs effets ne sont que très rarement visibles pour les utilisateurs et même pour le gestionnaire du site Internet.
Le plus souvent, lorsque l’on s’en aperçoit il est déjà bien trop tard et il ne reste plus qu’à réparer ou limiter la casse.
Quels sont les effets ?
Si l’attaque est visible :
- Perte de confiance des utilisateurs/clients et dégradation de l’image de l’entreprise ou du service associé
- Perte de référencement
- Vol de clientèle (suite à un vol de données, ou d’une redirection des utilisateurs)
- Perte financière directe
Si l’attaque est invisible :
- Usurpation d’identité (aussi bien sur Internet que dans le « monde réel »)
- Vol de données personnelles, dont bancaires, emails ou des fichiers
- Perte financière
- Exécution involontaire de certaines actions sur le site (sur le site piraté ou sur d’autres sites)
- Rattachement à un réseau de “zombies” : votre site devient un relais pour les moteurs de spam, les attaques DDOS…
- Malware, logiciel malveillant ayant des effets sur les ordinateurs des utilisateurs
Par où se fait-on pirater ?
Une règle absolue, aucun site Internet n’est inviolable. Ni aujourd’hui et encore moins demain !
En effet, les méthodes et les techniques évoluent et les logiciels ou les scripts utilisés pour faire fonctionner votre site Internet peuvent révéler des failles de sécurité.
Sachant que certains sites permettent à leurs utilisateurs d’envoyer des fichiers, les risques sont accrus et une surveillance s’impose de fait.
Par où se fait-on pirater ?
La sécurité de votre système d’information a plusieurs niveaux :
- Les utilisateurs
- Les administrateurs
- Les scripts utilisés sur votre site Internet (CMS, librairies, code source)
- Les scripts externes utilisés par votre site Internet (API)
- Le serveur d’hébergement et les logiciels utilisés pour interpréter et afficher votre site Internet (LAMP, MySQL, etc.)
Les utilisateurs
Si votre système est bien configuré, ils ne peuvent accéder qu’aux informations qui les concernent. Les fichiers qu’ils envoient sont vérifiés avant d’être réutilisables par d’autres.
Ils peuvent changer leur mot de passe en cas de problème et celui-ci est crypté de manière non réversible.
Les administrateurs
Parce qu’ils ont des droits d’accès supérieurs, ils doivent protéger leur terminal (ordinateur, tablette smartphone) localement avec un logiciel antivirus ou un parefeu, afin de protéger leurs accès au site Internet et d’éviter le vol des identifiants ou des données auxquelles ils ont accès.
Les scripts utilisés sur votre site Internet
Que votre site Internet repose sur un CMS opensource ou propriétaire ou soit une application développée sur mesure, sa sécurité n’est pas éternelle.
Des failles peuvent être découvertes et faciliter l’installation de scripts malveillants ou d’autres intrusions directes.
Pour les CMS, ils doivent être mis à jour dès qu’une faille critique est découverte. La force des solutions opensource réside dans leurs communautés qui peuvent réagir rapidement lorsqu’une faille est découverte.
Mais attention, les plugins, modules et composants, eux, ne sont pas toujours maintenus par une communauté importante et sont pour les CMS opensource la principale origine du piratage.
Les scripts externes utilisés par votre site Internet (API)
Votre site Internet communique avec des services tiers, même sans le savoir comme par exemple Facebook ou Twitter afin de faciliter le partage sur les différents réseaux.
Les scripts de connexion à ces services doivent être surveillés et maintenus pour réparer les éventuelles failles de sécurité qui peuvent apparaître.
Le serveur d’hébergement
Le serveur d’hébergement repose sur plusieurs logiciels :
- Gestion de la base de données (par ex. MySQL)
- L’interpréteur de langage de programmation (par ex. PHP ou Java)
Ces logiciels nécessitent également des mises à jour de sécurité.
Quelles sont les conséquences ?
La perte financière est la conséquence immédiate. Soit parce que le site est inaccessible (perte de chiffre d’affaires direct pour les sites de e-commerce), soit parce que les services vendues sont diffusées sans contrôle (ce qui n’est pas toujours visible et l’ignorer ne signifie pas qu’il ne se passe rien).
La perte financière vient aussi dans un second temps, sur la remise en route du système d’information : Récupération des Back-up, Consolidation des données, mise à jours plus ou moins profondes des systèmes, déploiement,… Les données de vos utilisateurs ont put être récoltées par des tiers, ce qui enfreint l’engagement pris avec vos utilisateurs conformément à votre déclaration CNIL. Leurs divulgations, même à votre insu, pourrait vous faire encourir des poursuites judiciaires aux conséquence plus que conséquentes.
La CNIL est très claire : vous avez obligation de mettre tous les moyens en oeuvre pour assurer la protection de votre système d’information. Cette page vous rappelle vos obligations envers vos utilisateurs et les autres risques encourus.
Elle s’appuit sur l’article 226-17 du code Pénal.
Le non-respect de l’obligation de sécurité est sanctionné de 5 ans d’emprisonnement et de 300 000 € d’amende.
La perte d’image engendrée vous fera probablement perdre des clients et des prospects potentiels par défiance et vous imposera des coûts de communication pour les rassurer.
La perte opérationnelle momentanée, votre serveur ou votre site sert de relai aux logiciels malveillants (moteur de spam, zombie pour des attaques DDOS), même si tout semble fonctionner normalement. Les hébergeurs procèdent généralement de la manière suivante :
- Ses logiciels internes vont détecter des envois massifs d’emails. Dans ce cas, il vous demande de réagir sans délai et de vérifier l’origine du problème et de le régler. Vous avez le plus souvent 8j au maximum pour réparer le problème sans quoi votre hébergement sera fermé et le site inaccessible jusqu’à résolution des problèmes.
- Il a reçu une plainte pour spam, il ferme l’accès à votre site immédiatement et vous alerte. Tant que le problème n’est pas résolu, votre site sera inaccessible.
Comment réagir ?
En cas de suspicion de piratage :
- Demander immédiatement un audit de sécurité de votre site Internet,
- Limiter jusqu’au résultat de l’audit les services accessibles sur votre site.
En cas de piratage :
- Suspendre immédiatement tous les services en ligne,
- Faite effectuer un diagnostic d’urgence sur l’ensemble de vos services,
- Déclencher un plan de communication e crise auprès de vos utilisateurs. Vous avez devoir d’information et celà peut réduire leur mécontentement et donc les chances de poursuites,
- Réparer tous les services concernés (quand cela est possible) un simple retour en arrière ne résoudra le problème que quelques jours …
- Relancer les services,
- Communiquer sur le problème. Vous n’êtes ni le premier ni le dernier à que celà arrive, les grands groupes s’y heurte tous au moins une fois. (Microsoft, Apple, Orange, etc. rien que l’an dernier)
Comment se prémunir ?
Mieux que réagir à un problème majeur, dont les conséquences financières et juridiques peuvent être très lourdes, la meilleure solution est sans aucun doute de confier la gestion de son site Internet à des professionnels de l’Internet.
Que ce soit en contrat de maintenance (quelques heures par an) ou en interventions régulières ils seront à même de :
- Effectuer des diagnostics réguliers à tous les niveaux.
- Faire les mises à jour de sécurité dès leur mise à disposition (et après les avoir testés dans un environnement dédié).
- Anticiper les évolutions technologiques (quand un script, une API arrive en fin de vie, une nouvelle version doit être implémentée ou une alternative trouvée, seule une veille régulière et une expertise technique permettent de l’anticiper).