Qu’est-ce que la sécurité ?
Lorsque l’on parle de sécurité sur Internet, ça peut concerner les protections mises en place pour se protéger contre divers problèmes mais aussi les bonnes pratiques des utilisateurs.
Nous allons ici aborder principalement la sécurité des sites et les protections mises en place. Une chose est sûre : la sécurité doit être prioritaire pour tout le monde !
Qu’est-ce qu’un pirate et que font-ils sur les sites ?
Depuis l’histoire d’internet, les pirates informatiques ont fait du web leur terrain de jeu. Les hackeurs peuvent agir en bandes organisées pour récupérer des données importantes et en tirer de l’argent, mais sont parfois de simples apprentis hackeurs qui se lancent des challenges. Dans tous les cas, ils peuvent être redoutables et présenter un réel danger pour votre site.
Le vol de mots de passes est très fréquent et une préoccupation de tout l’internet en terme de sécurité. De même, les données bancaires et privées des clients comme leurs adresses emails, documents privés téléchargés sur votre site et autres, sont des informations très recherchées par ces groupes.
Un autre objectif peut être de modifier, voir complètement remplacer le contenu de votre site pour profiter de son référencement. Par exemple, pour faire de la propagande, notamment pour des sites terroristes, ou tout simplement cacher des liens vers leur site pour améliorer leur référencement.
Parfois, votre concurrence peut utiliser ce genre de techniques pour espionner vos données ou pour saboter le fonctionnement de votre activité ! Comme par exemple en entraînant des dysfonctionnements dans votre système de mail et vous empêcher de communiquer normalement avec vos clients (plus de validation d’achat, de newsletter, etc), ou tout simplement faire « taire » votre site, c’est à dire l’empêcher complètement de fonctionner…
Quelles sont les conséquences d’un piratage sur mon site internet ?
Tout dépend de ce qui est fait.
En cas de vol de données de vos utilisateurs, ils peuvent recevoir du spam, des appels frauduleux, avoir leurs comptes Facebook utilisés pour afficher des messages, avoir leurs messageries lues, avoir leurs cartes bancaires utilisées pour des achats ou des transferts d’argent.
En cas d’accès complet à votre site, les factures, les documents, les contenus privés, la liste des administrateurs… tout peut être utilisé.
Si votre site est modifié par un groupe terroriste (ne riez pas, cela arrive plus souvent qu’on ne le croit !), vous êtes exposé à des appels d’organismes de l’état surveillant les activités douteuses et voir l’image de votre société dégradée.
Il peut aussi avoir des pages créées ou du contenu cachés, dans ce cas, votre site perd de la valeur sur le référencement et les résultats sur Google sont modifiés (pas à votre avantage malheureusement). Cela nuit clairement à l’expérience de vos utilisateurs.
Comment sécuriser son site web ?
Mise en place du HTTPS grâce à un certificat SSL
La première étape pour sécuriser votre site web est la mise en place du HTTPS pour crypter la connexion entre l’utilisateur et le serveur web. Aujourd’hui, pour tout site sur lequel l’utilisateur saisie des données (un mot de passe, des informations de cartes bancaires ou personnelles), il est indispensable que le site soit en https.
Sur un réseau local comme un réseau wifi dans un café par exemple, tous le trafique est écoutable par les hackeurs. C’est à dire qu’ils peuvent observer librement toutes les données qui circulent, mots de passe, identifiants bancaires, adresses emails… On appelle cette technique du sniffing, ou eavesdropping, et c’est bien plus facile à faire que ce que l’on pourrait penser. Ainsi, si un mot de passe n’est pas protégé, il peut facilement être lu et réutilisé par le pirate.
Afin de protéger contre cette technique, le certificat SSL permet de sécuriser la connexion entre le site et l’utilisateur, faisant passer l’url de votre site d’une http à une https. Pour ça, tout ce qui communique entre les deux est crypté afin qu’un hackeur qui intercepte la communication ne puisse rien déchiffrer.
Le certificat SSL est devenu une norme que de nombreux sites utilisent, comme par exemple le site de 69pixl. Il est facilement reconnaissable par le petit cadenas à côté de l’adresse de la page sur votre navigateur, et surtout par le https au lieu du http.
Il y a deux avantages supplémentaires à mettre en place le HTTPS sur votre site : les navigateurs préviennent maintenant les utilisateurs lorsqu’un site n’est pas sécurisé, ce qui peut faire perdre du trafic. Et en bonus, depuis 2014, Google privilégie les sites sécurisés, c’est donc bon pour votre référencement !
Choisir un hébergement sécurisé
La mise en place du HTTPS se fait généralement par votre agence de développement web dans le cadre de l’hébergement, sauf si vous gérez vous même votre site évidemment.
Un hébergement sécurisé est capable de détecter et prévenir de certaines attaques, verrouille les droits sur les fichiers, empêche l’exécution de code dans certains dossiers, bloque l’accès depuis certains pays…
Il existe des hébergeurs spécialisés qui ont des offres dédiés à des types de sites (par exemple, des hébergements sécurisés pour WordPress).
La sauvegarde est un point important à vérifier.
Conseil : Faites attention aux agences qui héberge sur un simple hébergement mutualisé ou qui n’ont pas de connaissance technique.
Nous n’entrerons pas plus dans les détails de la sécurité sur votre serveur web, mais pour en savoir plus sur l’hébergement, lisez notre article sur l’importance de l’hébergement et comment choisir votre offre auprès de votre agence web.
Création du site Internet
La sécurité se fait aussi en développant le site ou l’application en respectant des bonnes pratiques comme le stockage des mots de passes cryptés, le nettoyage des champs des formulaires pour éviter l’envoie de requêtes en base de données…
Dans le cas des applications, il est donc fortement conseillé de développer à partir d’un framework récent.
La connexion entre le visiteur d’un site et le serveur est surement la passerelle la plus simple pour que les hackeurs piratent votre site, ou l’ordinateur du visiteur, d’où l’importance du certificat SSL. Cependant, il existe de nombreuses autres portes d’accès, passant plutôt par la structure du site et son contenu lui-même.
Par exemple, la plupart des sites fonctionnent grâce à un CMS, Content Managing System, comme WordPress, Joomla ou Prestashop qui permettent notamment de gérer simplement les pages du site et leur contenu. Au delà de leur simplicité d’utilisation, ils présentent de nombreux avantages en terme de sécurité. En effet, puisque des millions de sites tournent grâce au même CMS, ils bénéficient d’une sécurité du tonnerre !
Par contre, puisqu’ils bénéficient de la même sécurité, ils souffrent aussi des même failles ! Par exemple, les sites utilisant WordPress représentent 30% de tous les sites existant (oui, rien que pour WordPress !). Lorsqu’un hackeur découvre une faille dans le système de WordPress, il peut facilement l’exploiter pour accéder à des millions de sites de la même manière. Elles sont rares, mais très prisées par les hackeurs qui en font parfois leur terrain de jeu.
En plus de WordPress, chaque extension installée sur le site, même le tout petit plugin que vous utilisez à peine, représente une nouvelle porte d’entrée potentielle pour un pirate.
Pour lutter contre cela, il faut faire attention à choisir des plugins sérieux qui sont sensibles à la sécurité, et surtout limiter au maximum leur nombre sur votre site.
De plus, faites régulièrement les mises à jour, que ce soit pour le CMS lui-même ou pour les plugins individuels. Ces mises-à-jour permettent souvent de corriger des bugs qui peuvent mener à des failles de sécurité. Ne les négligez pas !
Et si votre site est développé par des professionnels, préférez les plugins maisons, codés par les développeurs eux-même afin d’avoir la main sur la sécurité. Ils connaissent le fonctionnement du site et sont donc capable de fournir à ses plugins une sécurité plus adaptée.
Entretien
L’entretien régulier du site passe par l’application des mises à jour, la surveillance des fichiers et le nettoyage si nécessaire.
Conseil : Votre agence doit être capable de réagir rapidement en cas de piratage pour nettoyer ou restaurer une sauvegarde.
Comment vérifier la sécurité de mon site ?
Il existe divers outils pour mesurer des critères de sécurité.
Vous pouvez pour commencer verifier la présence du certificat SSL ainsi que sa robustesse sur SSL Labs.
Puis passer les critères de sécurisation en faisant un audit de votre site sur Dareboost.
Et si vous souhaitez vérifier si votre site WordPress est sécurisé, vous pouvez utiliser un scanner dédié comme WP Sec.
Comment savoir si mon site a été piraté ?
Vous le saurez si vous recevez un appel d’un organisme de l’état vous demandant pourquoi vous hébergez des données et des contenus à caractères très tendancieux, en voyant des pages modifiées en naviguant dessus ou sur les moteurs de recherche, en ne recevant plus de mail, en ayant le trafic qui baisse de manière significative,… en règle général, cela se repère vite, et facilement.
Si vous ne voyez aucun problème mais que vous avez toujours un doute, vous pouvez toujours faire un scan simple de votre avec l’outil gratuit Sucuri.
En théorie, si votre site est paramétré dans la Search Console de Google, vous recevrez un message lorsqu’un problème est détecté.
Je peux faire plus pour éviter des risques ?
Oui ! Voici quelques points pour réduire encore les risques :
- Utilisez des mots de passe différents pour chaque site
- Changez de mots de passe régulièrement
- Vérifiez que vous êtes toujours sur des sites sécurisés (HTTPS)
- Ne faites pas confiance à tous les sites, même s’ils sont en HTTPS et chercher des avis si vous avez un doute
- Mettez à jour votre ordinateur, votre smartphone, vos applications
- N’enregistrez pas vos mots de passe et pensez à vous déconnectez sur les ordinateurs en libre service
Pour conclure
Comme vous l’avez compris, un défaut de sécurité peut amener de lourdes conséquences. Si vous avez un site, sécurisez le à tout prix, car réparer les dégâts d’un site piraté vous coutera certainement plus cher que de bien le sécuriser en amont !
Et choisissez bien votre agence web ! Toute la sécurité de votre site dépend des développeurs et de l’hébergement, assurez-vous qu’ils s’y connaissent en sécurité et qu’ils comprennent bien les besoin et enjeux de votre site.