Pour de nombreuses entreprises dans le monde entier, les vulnérabilités de sécurité des sites Web représentent leur dernier souci, jusqu’au moment où elles sont confrontées à un grave souci. En réalité, les problèmes de sécurité Web devraient même être une priorité, surtout que l’on vit actuellement dans un monde très numérisé.
Tout propriétaire d’entreprise devrait alors savoir que la vulnérabilité de la sécurité Web est un grave problème qui devrait être traité en conséquence. Si par malheur, votre site Web est confronté à des vulnérabilités de sécurité de sites Web, sachez que cela pourrait affecter les informations que vous partagez dessus ou même sur vos comptes de réseaux sociaux.
Dans cet article, nous aborderons les 10 vulnérabilités de sécurité de sites Web les plus courantes auxquelles vous pourriez être confronté, ainsi que quelques conseils sur la manière de les éviter.
Sommaire
- Les 10 vulnérabilités de sécurité de sites Web les plus courantes
- Un bon moyen d’éviter ces problèmes de sécurité Web
Les 10 vulnérabilités de sécurité de sites Web les plus courantes
Aujourd’hui, un site Web qui n’est pas assez protégé peut présenter un certain nombre de vulnérabilités de sécurité de sites Web. En voici notamment les plus courantes :
1. Les failles d’injection
Les failles d’injection ou « Injection Flaws » se produisent lorsqu’il y a un problème au niveau du filtrage des données. Ainsi, lorsque des données non filtrées ou hostiles sont transmises à un interpréteur, ce dernier peut être dupé et exécuter des commandes inhabituelles ou accéder à des données non autorisées.
Image tirée de Strikingly
Il peut s’agir de données non filtrées transmises au :
- Serveur SQL (injection SQL)
- Serveur LDAP (Injection LDAP)
- Ou au navigateur appelé XSS
Les principales vulnérabilités de sécurité de sites Web ici représentent ainsi des risques de perte de données ou de piratage des navigateurs des clients. Chaque fois que vous recevez quelque chose provenant de sources non fiables, ces dernières doivent être filtrées. Souvenez-vous aussi que la plupart des logiciels ou applications antivirus sont inefficaces, tout simplement parce que leur liste noire peut être facilement contournée.
Cela ne veut pas dire que ces vulnérabilités de sécurité de sites Web restent sans solution. Il suffit d’être assez prudent avec les entrées en les filtrant correctement.
2. Le piratage de session
Parmi les vulnérabilités de sécurité de sites Web les plus courantes, on a le piratage de session (broken authentication). Cela se produit lorsqu’un utilisateur malveillant parvient à avoir un accès non autorisé à une session, et ainsi à des données sensibles. Le meilleur moyen de s’en prémunir est d’utiliser un framework.
3. Le Cross-site scripting
Le Cross-site scripting (XSS) ou script intersites est l’une des vulnérabilités de sécurité de sites Web qui se présentent sous la forme d’une attaque par injection. Il s’agit pour le pirate d’injecter du contenu dans une page, notamment des balises JavaScript, qui sont transmises au navigateur de l’utilisateur. Cela peut tout bêtement être un simple lien et une demande de cliquer dessus. Si l’utilisateur a le malheur de cliquer dessus, le navigateur de celui-ci va transmettre les données de navigation (cookies) au pirate.
Pour éviter cela à vos clients, assurez-vous de ne pas leur envoyer des balises HTML. Cela vous protégera de toute injection HTML. Vous pourriez aussi utiliser des expressions régulières pouvant supprimer toutes les balises HTML, quoique cela reste un peu risqué, étant donné que certains navigateurs peuvent interpréter le code HTML défectueux comme étant tout à fait correct.
Image tirée de Strikingly
4. Les références directes d’objets non sécurisées
Par référence directe d’objet, on entend un fichier qui provient d’un pirate informatique, et pour lequel l’autorisation n’est pas appliquée ou rompue. Par exemple, un utilisateur malveillant publie un commentaire ou envoie un message dans lequel il y a une pièce jointe, un fichier nommé « download.php ».
Normalement, cela veut dire que l’on peut télécharger ce fichier en suivant un paramètre CGI permettant d’identifier le nom du fichier (par exemple, download.php?file=anything.txt). Si le développeur Web n’a pas mis d’autorisation dans son code, alors tout pirate peut utiliser et télécharger des fichiers système que vous exécutez ou auxquels vous avez accès. Cela peut même inclure des sauvegardes, le code d’une application ou d’autres données sur votre serveur.
Un autre exemple de ce type de vulnérabilités de sécurité de sites Web, c’est la fonction de réinitialisation de votre mot de passe sur un site Web. L’utilisateur est censé faire des actions pour déterminer quel mot de passe doit être réinitialisé. Justement, quand vient le moment de cliquer sur l’URL valide, un pirate peut avoir un accès pour modifier le champ du nom d’utilisateur sur la page Web et le remplacer par ce qu’il veut, pour y accéder plus tard.
Pour éviter de tels problèmes de sécurité Web, vous devez utiliser l’autorisation d’utilisateur de manière cohérente et intelligente. Un très bon moyen est aussi de stocker vos données en interne et ne pas vous fier aux données transmises via les paramètres CGI.
Image tirée de Strikingly
5. La configuration de la sécurité
Comme nous vivons dans un monde numérique rempli de vulnérabilités de sécurité de sites Web, on n’a pas intérêt à se retrouver avec des applications ou des serveurs mal configurés. Cela ouvrirait la porte à tout un tas de problèmes de sécurité.
Voici quelques exemples de sécurité résultant d’une mauvaise configuration ou encore de mauvaises habitudes :
- Exécution d’une application pendant une procédure de débogage
- Fuite d’informations précieuses en raison d’une liste de répertoires active sur le serveur
- Utilisation d’un logiciel qui n’est pas à jour, comme un plug-in de WordPress
- Avoir de nombreux services inutiles en cours d’exécution sur son appareil
- Ne pas modifier les mots de passe par défaut que l’on obtient lorsqu’on crée un compte pour la première fois sur un site Web ou une application
6. L’exposition de données sensibles
Parmi les vulnérabilités de sécurité de sites Web les plus courantes, on a aussi l’exposition ou le manque de protection de données sensibles. Vous savez sans doute déjà l’importance de crypter les données sensibles, peu importe si ces dernières sont stockées quelque part ou si elles circulent sur Internet. Il ne devrait y avoir aucune exception à cette règle.
Parmi les données les plus sensibles, on peut citer :
- Les mots de passe des utilisateurs
- Les informations de carte de crédit
Ce genre de données ne devrait jamais être stocké ni utilisé sans être crypté. Et encore, vous ne devriez pas non plus vous servir d’algorithmes de chiffrement faibles.
7. Les failles de sécurité liées aux accès de fonctionnalité
Image tirée de Strikingly
Ces vulnérabilités de sécurité de sites Web sont des problèmes au niveau du contrôle d’accès de certaines fonctionnalités. Par exemple, vous lancez une fonction sur un serveur, mais vous n’effectuez pas l’autorisation appropriée. Vous vous retrouvez alors face à un problème de contrôle d’accès manquant.
Le développeur Web a ainsi fait une erreur, en supposant que :
- le serveur génère automatiquement une sorte d’interface utilisateur pour limiter l’accès
- toute fonctionnalité qui n’est pas fournie par le serveur restera inaccessible par le client
En réalité, les demandes peuvent toujours être falsifiées par des pirates, et des fonctionnalités cachées peuvent aussi être créées.
Par exemple, un panneau d’administration n’existe que dans l’interface utilisateur du véritable administrateur. Il se trouve qu’un pirate peut facilement découvrir cette fonctionnalité (cachée) et en abuser si cela manque d’autorisation. Le moyen le plus simple d’être victime de telles vulnérabilités de sécurité de sites Web, c’est de toujours vous assurer que vous effectuez correctement l’autorisation.
8. La contrefaçon de requête intersites
La contrefaçon de requête intersites ou CSRF (Cross-Site Request Forgery) se produit lorsqu’un utilisateur malveillant essaye d’accéder à un navigateur, et que ce dernier se retrouve sans défense.
Image tirée de Strikingly
Pour cela, un site Web tiers envoie par exemple des demandes au site Web de votre marque, en utilisant votre session ou vos cookies pour tromper le navigateur et en se faisant ainsi passer pour vous. Si par malheur, vous avez pour habitude d’être constamment connecté à votre application bancaire ou au site Web de votre banque, un deuxième onglet qui s’est ouvert pourrait abuser des informations d’identification et donner l’accès à un pirate.
Pour éviter de telles vulnérabilités de sites Web, il faut stocker une clé secrète dans un champ de formulaire masqué et inaccessible à partir d’un site Web tiers.
9. L’utilisation de composants présentant des vulnérabilités connues
Cela ressemble davantage à un problème de maintenance de site Web, car cela se produit souvent lorsque l’on utilise des applications qui n’ont pas été corrigées ou mises à jour depuis longtemps. C’est souvent le cas avec certains plug-ins de WordPress.
10. Les redirections et transferts invalides
Là aussi, ce type de vulnérabilités de sécurité de sites Web correspond à un problème de filtrage d’entrée. Si un site Web utilise par exemple un module « redirect.php », et que quelqu’un arrive à en manipuler les paramètres, il peut facilement rediriger les utilisateurs vers un site qu’ils croient être de confiance. Ils vont probablement cliquer sur des liens dessus et se retrouver par exemple avec un tas de logiciels malveillants.
Pour éviter cela, essayez de ne pas utiliser de redirection du tout.
Un bon moyen d’éviter ces problèmes de sécurité Web
Image tirée de Strikingly
Bien sûr, il est possible que vous n’ayez rien compris à tout ce que l’on vient de voir à l’instant. Rassurez-vous, pour éviter ces vulnérabilités de sécurité de sites Web, vous pouvez tout simplement utiliser une plateforme de création de sites Web de confiance, comme Strikingly, lorsque vous créez votre site Web.
Chez Strikingly, nous aidons à résoudre tous les problèmes techniques rencontrés par nos utilisateurs. Ainsi, vous allez pouvoir vous concentrer sur la croissance et l’expansion de votre entreprise, sans vous tracasser sur la conception, le lancement ou encore la maintenance de votre site Web.
Bon à savoir : Nous fournissons une assistance permanente par chat en direct à tous nos utilisateurs, afin de répondre à toutes leurs questions. Nous nous tenons également à votre entière disposition, au cas où vous souhaitez nous poser des questions avant de créer un compte chez nous.
