La sécurisation des données de votre site est indispensable.
Nos experts vous assurent le contrôle de votre site 24/7 afin que les pirates ne volent vos données.
Selon les experts en la matière, la majorité des applications Web souffrent de vulnérabilités. Il est pourtant nécessaire de comprendre que la sécurité des sites Internet ne souffre pas de manichéisme : un site peut être plus ou moins sûr, et la sécurité est souvent une affaire de compromis. Elle dépend de nombreux facteurs, tels que les connaissances du développeur bien entendu, mais aussi la conception et la complexité du site, le coût et les délais de fabrication et même parfois – aussi étonnant que cela puisse paraître – de la responsabilisation de ses utilisateurs.
Plus un site est complexe, plus il est potentiellement vulnérable
La complexité d’un site Web en augmente la vulnérabilité potentielle. En effet, dans un site statique, sans code client, sans code serveur ni base de données Le plus grand risque est le vol de codes FTP (ces codes permettent de placer les pages HTML sur un hébergement). Sans ces codes, il est fort peu probable qu’un pirate puisse modifier un site qui ne consiste qu’en des pages HTML simples, à moins de pirater carrément l’hébergeur lui-même (mais le propriétaire d’un site ne peut intervenir, seul l’hébergeur pourra s’en protéger). Avec l’ajout de code PHP s’ajoutent les risques de faiblesses du code écrit. Là, ce n’est pas la technologie elle-même qui est en cause, ce sont les connaissances des développeurs qui entrent généralement en ligne de compte. Avec l’ajout de bases de données, s’ajoute le risque d’attaque de la base de données et du vol ou de la modification de son contenu. La sécurisation d’un site Internet est aussi un équilibre délicat entre la facilité d’utilisation (ou utilisabilité) et la mise en œuvre de mesures de contrôle. Au contraire, si un site force ses utilisateurs à enregistrer des mots de passe complexes, il renforce donc considérablement sa sécurité contre ce type d’attaque, mais diminue tout aussi considérablement sa facilité d’utilisation, voire fait fuir bon nombre d’internautes ainsi forcés de retenir un mot de passe plus difficile à mémoriser.
Le Cross-Site Scripting est une des attaques les plus connues.
Si un site affiche sans le contrôler du texte saisi par un utilisateur, ce dernier peut attaquer l’application Web en inscrivant par exemple du code JavaScript. Ce dernier exécutant des actions, le code sera exécuté comme s’il faisait partie de la page originelle et l’attaquant peut rediriger les informations auxquelles JavaScript a accès vers un autre site. L’attaquant peut ainsi connaître par exemple le contenu des cookies, et dans le cas d’une application Web qui utiliserait les cookies pour enregistrer le nom des utilisateurs, ou pire leur mot de passe, voler ainsi ces informations.
L’injection SQL l’une des vulnérabilités les plus courantes des applications Web.
SQL est le langage utilisé pour exécuter des actions sur les bases de données (cf. XP-Infos n° 11). L’injection SQL consiste à tenter de modifier la requête prévue par le développeur pour exécuter une action différente (illicite) sur la base de données. Par exemple, dans un formulaire de connexion contenant un nom d’utilisateur et un mot de passe, l’attaquant peut tenter d’écrire un code SQL dans l’un de ces champs pour court-circuiter la nécessité de présenter le mot de passe. Si l’application ne prend pas la peine de vérifier le contenu des deux champs et de bloquer le texte suspect, elle est vulnérable à ce type d’attaque. Il existe de nombreux autres types d’attaques et de vulnérabilités, mais cet article ne peut être exhaustif en la matière ; son objectif est surtout de faire comprendre que la sécurité d’un site Internet découle de la mise en œuvre d’un ensemble de mesures, mais elle est aussi souvent un choix, un compromis difficile entre utilisabilité et sécurisation. De plus, la sécurité d’un site Web demande un degré d’expertise qui augmente avec le temps et les avancées technologiques. Elle entraîne donc inévitablement des coûts supplémentaires, ce qui a pour conséquence de conduire l’acheteur à faire des choix : la sécurité dépend alors également d’un compromis entre le prix et le niveau de sécurisation.
