Image
Logo de Solutions zen média
Corps

Blogue

Réflexions en vrac sur la sécurité des sites et du serveur

Une vieille clé sur un clavier d'ordinateur

Chaque jour, des logiciels pirates tentent de prendre contrôle ou voler les informations de sites web. Évidemment, on ne peut pas faire grand chose contre un mot de passe volé, connu ou trop simple. Voici tout de même quelques exemples d'attaques que l'on voit très souvent et les moyens que nous avons mis en place pour dérouter les pirates.

Les attaques par tentatives de connexion

Pour tenter de trouver des mots de passes fonctionnels, des millions de robots tentent de se connecter sur des serveurs au hasard, on appel cela des attaque par force brute. On voit aussi souvent des tentatives ultra ciblés et répétées sur des courriels particuliers laissant croire qu'ils ont déjà été victime de vol de mot de passe auparavant.

Bien que le pare-feu puisse bloquer une adresse après un certain nombre d'échecs, des attaques proviennent de centaines d'adresses chaque jours. Je reçois un courriel pour chaque attaque bloquée ou autre comportement détecté par le pare-feu.

Pour mieux comprendre, il faut savoir que les ordinateurs identifient les services auxquels ils communiquent via des numéros de ports. Par exemple, pour voir un site, le navigateur interroge le serveur sur le port 80 pour HTTP, et 443 pour HTTPS. Par conséquent, les ports les plus ciblés par les pirates sont ceux pour les courriels (SMTP, POP, IMAP), ceux pour la gestion des fichiers (FTP) mais surtout l'accès en ligne de commande (SSH).

Pour ceux-là, il y a deux moyens très simple :

  • En changeant les numéros des ports pour des chiffres que l'on choisi soi-même et que l'on ne donne à personne, le robot qui reste sans réponse lorsqu'il veut faire une tentative vers les ports standards. Le nombre d'attaques vers ces services tombent complètement, le risque devient presque nul.
     
  • En séparant les courriels et les sites sur des serveurs différents, de cette manière la plupart des tentatives de connexion frauduleuse se feront sur le mauvais serveur de toute manière.

Il vaut mieux ne pas mettre les œufs et les roches dans le même panier

J'utilise un serveur « dédié »  pour mes sites web, dans le but d'offrir des performances exceptionnelles aux visiteurs. Le fait d'y mettre également les boîtes de courriels devenait un problème à la fois de sécurité, d'espace et de performances. Le processus anti-pourriel à lui seul causait des surcharges occasionnelles ridicules. Ça ne prend que quelques utilisateurs problématiques pour causer une cascade de problèmes.

En y réfléchissant, l'utilisation des courriel ne requiert pas du tout le même type de performances. C'est pourquoi depuis un an nous avons fortement suggéré à notre clientèle qui pouvait le faire de migrer vers Microsoft 365 pour l'hébergement de leurs courriels et c'est l'option qui a été la plus populaire car elle comporte beaucoup d'avantages outre la sécurité.

Pour les autres, en utilisant d'autres serveurs moins dispendieux à ma disposition, j'ai réduit de plus de 80% le nombre d'adresses sur notre serveur principal. Depuis, les graphiques de performance montre beaucoup plus de stabilité. C'est une bien meilleure stratégie à long terme.

Un seul administrateur et peu de sites par serveur

Comme j'ai mentionné plus tôt, j'utilise un serveur de type « dédié », ce qui implique que je suis le seul utilisateur et gestionnaire du serveur. La machine est physiquement hébergée chez un fournisseur, mais même eux n'ont pas accès à sa configuration sans mon mot de passe. Il y a donc une cinquantaine de sites web sur mon serveur dédié, exclusivement ma clientèle, c'est très peu.

Aucun client n'a accès a un panneau de gestion du serveur, seulement certains ont accès au panneau de gestion du contenu de leur site. Ce dernier ne permet pas l'envoi de fichiers dangereux compromettant d'autres sites du serveur alors même si un administrateur se fait voler son mot de passe, il ne peut qu'agir sur le contenu du site. On peut toujours revenir à un point de sauvegarde dans un tel cas.

Les serveurs de type « partagés » vont héberger plusieurs milliers de sites à la fois et souvent vont limiter des paramètres comme la bande passante ou la mémoire. Dans ces environnements, les pannes sont plus probables. Vu le faible coût, les pirates louent également ce type de serveur pour exécuter leur code malveillant et tenter de cibler leurs colocataires ou envoyer des pourriels en masse. Ce n'est pas souhaitable.

Une technologie moins populaire donc moins ciblée par les pirates

C'est une des raisons qui m'ont fait choisir Drupal il y a plusieurs années déjà comme système de gestion de contenu de base pour créer mes sites. Il y a beaucoup plus de tentatives de piratage visant Wordpress, victime de sa popularité et son énorme part de marché. Ça ne veut pas dire que Drupal n'a aucune vulnérabilité, seulement qu'il y a beaucoup moins de robots qui visent ce dernier en particulier, donc les statistiques sont favorables.

Peu importe le logiciel utilisé pour faire un site ou une application, il faut tout de même penser à plusieurs détails comme forcer l'utilisation du certificat SSL, effectuer les mises à jours régulièrement, installer des extensions de sécurité, configurer les anti-robots sur les formulaires, et j'en passe.

Des sauvegardes distantes cryptées maison

Finalement, si un pirate obtient l'accès au serveur, il a également accès au premier niveau de sauvegarde qui se trouve sur la même machine, il peut donc crypter les deux et demander une rançon. J'ai donc recyclé un vieil ordinateur à la maison qui reçoit automatiquement une copie de la sauvegarde du serveur et le place sur un disque encrypté. Si cet ordinateur était volé ou détruit, il n'y aurait rien de compromis et il serait facile à remplacer.

Bien qu'il existe des fournisseur peu dispendieux pour entreposer de grosses quantités de données comme les sauvegardes, ceux-si sont à risque d'être piratés. Après-tout, ils ont une grande quantité d'employés ayant accès aux données!

Je conserve donc automatiquement en double les sauvegardes de 6 dates réparties dans les 2 derniers mois. D'autres sauvegardes manuelles sont faites également lors de mises à jour par exemple.

Un autre petit truc, en changeant l'adresse URL qui sert à se connecter au site avec des droits d'administration, déjà on évite que les robots trouvent le formulaire pour faire des tentatives de connexion. C'est le même principe que pour les numéros de ports mentionnés plus haut. On ne peut pas crocheter la serrure si on ne la trouve pas!

8 février 2022

Articles récents