Dans le cadre de nos interventions (missions de conseil, formations, conférences…) d’aide au choix d’une solution technique pour le site web de nos clients, nous attirons systématiquement l’attention de nos clients sur les responsabilités dont ils héritent. Ainsi, s’il est aisé de déployer un site sous joomla! (pour ne citer qu’un CMS), assurer sa maintenance peut ne pas être à la portée de chacun.
Défaut de mise à jour = danger
Certains prestataires négligent l’aspect maintenance du « logiciel web » qu’ils installent. Pourtant, ne pas tenir compte des mises à jours de sécurité peut être lourd de conséquences. Cette fois, plutôt que de vous demander de me croire sur parole, je vous invite à regarder ce qui est en train de se passer: plus de 3500 sites ont été infiltrés par des pirates, à l’insu de leur propriétaire, nous indique Zataz.com .
La motivation du pirate
La motivation du pirate peut être multiple: voler des données client (coordonnées, adresses email,…), utiliser le serveur pour envoyer du SPAM, déposer des fichiers illégaux et les proposer en téléchargement, héberger une copie d’un site officiel pour une campagne de phishing, ou servir de page de destination pour une campagne de spam, comme c’est le cas pour la capture d’écran ci-dessus.
3500 sites web inflitrés
Ainsi que nous l’indique le site de sécurité informatique zataz, une faille dans le principal logiciel en ligne d’administration de base de données (phpmyadmin) a été exploitée début juin 2009. Cette faille a pourtant été corrigée le 24 mars dernier: tout utilisateur de phpmyadmin avait donc eu largement le temps de mettre sa version de phpmyadmin à jour.
Les recommandations de NeoDiffusion
Si vous êtes votre propre webmaster (vous vous occupez vous-même des mises à jour techniques de votre site web), voici 3 conseils:
- Tenez-vous au courant des mises à jour: abonnez-vous à la liste de diffusion de la communauté ou de l’éditeur du logiciel en ligne que vous utilisez. Vous pouvez également utiliser une ressource globale telle que Secunia Advisories .
- Evaluez le risque avant de décider quand procéder à la mise à jour. Toutes les mises à jour de sécurité ne sont pas indispensables, selon votre cas particulier. Certaines, par contre, exigeront une réaction immédiate.
- Protégez par un mot de passe (de type htaccess) tous les espaces destinés aux administrateurs du site. Ainsi, même s’il est vulnérable, aucun pirate ne pourra accéder aux fichiers en cause. Dans l’exemple de phpmyadmin, il faudrait protéger tout le dossier phpmyadmin.
Si vous rencontrez des difficultés à mettre ces recommandations en pratique, vous pouvez utiliser notre Ticket Conseil pour solliciter un coup de pouce.