Défacement de site Web

Le défacement est une cyberattaque particulière, dans le sens où les cybercriminels ne cherchent généralement pas à voler des informations. Leur objectif initial est la plupart du temps de faire le plus de bruit possible. Ils partagent ainsi leurs opinions ou leurs réflexions via le site Internet piraté ou affichent simplement une page blanche ou noire et des photos ou vidéos de leur choix. Dans les deux cas, le site Internet ne peut plus remplir sa fonction initiale, qu'il s'agisse d'informer ou de fournir des services.

En général, le défacement est le fait de « hacktivistes ». Ces personnes cherchent à promouvoir leurs opinions politiques ou initier un changement social par le biais du piratage ou de toute autre attaque informatique. Leurs cibles sont donc souvent les sites Internet d’autorités gouvernementales ou religieuses. Les hackers ordinaires, qui ne cherchent pas spécifiquement à partager des idées idéologiques, peuvent toutefois également s'adonner au défacement et n’importe quel site Internet est une cible potentielle.

L'assaillant recherche une ou plusieurs failles de sécurité qui lui permettront d'accéder à l'environnement d'une organisation. Une fois dans l’environnement, son objectif sera d'obtenir des privilèges, en termes d'accès, afin d'obtenir les accès d'un compte administrateur et de pouvoir modifier ce qu'il veut et ainsi contrôler ce que les visiteurs du site Internet peuvent voir. En outre, une fois en possession des accès d’un compte administrateur, qui bénéficie de nombreux privilèges, les pirates peuvent accéder à d'autres ressources de l'organisation et lancer d'autres types d'attaques ou de perturbations.

Comme le principal objectif des cybercriminels est ici de faire le plus de bruit possible, les modifications apportées au site Internet ciblé seront bien visibles. C’est là le principal signe d'une attaque par défacement. Cependant, des moyens de détection peuvent être mis en place pour savoir si une intrusion est en cours ou a déjà eu lieu. Surveiller tous les systèmes critiques assurant le fonctionnement d'une organisation est un élément clé pour garantir un bon niveau de protection contre une attaque par défacement. Si une attaque a effectivement lieu, le responsable informatique et son équipe peuvent être prévenus par des alertes qu'ils auront programmées au préalable. En outre, plusieurs outils de surveillance de sites Internet peuvent aider à détecter les modifications du contenu et d'autres types de changements apportés à un site Internet (un assaillant tente de lier le site à des nouveaux domaines, etc.).

Lorsqu'une organisation envisage de mettre en œuvre des outils de surveillance d'un site Internet, elle doit comparer les coûts et les avantages. La plupart du temps, ces outils peuvent surveiller trois aspects : la disponibilité, la vitesse et le contenu. Dans le contexte du défacement, l'accent sera mis sur le contenu. Il n'existe toutefois pas de solution universelle. Le coût global dépendra de l'importance et de la régularité avec lesquelles une organisation souhaite que le contenu de son site Internet soit surveillé. Il sera donc différent pour chaque organisation, en fonction de ses besoins et de ses exigences : si le site Internet représente un élément clé pour mener à bien les opérations quotidiennes ou fournir des services aux clients, il sera préférable d'investir dans des outils de surveillance du site Internet.

1.    Sensibilisez vos collaborateurs au risque de défacement

Vos collaborateurs ne peuvent pas réagir correctement à des événements suspects s'ils ne sont pas conscients des dangers auxquels ils peuvent être confrontés en utilisant les technologies de l'information et de la communication. Chaque organisation doit analyser tous les cyberrisques actuels, décider de comment les atténuer et définir un ensemble de politiques pour communiquer le bon code de conduite. Cependant, toutes ces mesures sont vouées à l'échec si elles ne sont pas communiquées correctement aux collaborateurs et si ceux-ci ne le comprennent pas. Il est donc important de s'assurer que chacun sait comment identifier un défacement et quels sont les processus internes permettant de signaler un incident et d’y remédier.

2.    Sensibilisez les collaborateurs aux arnaques destinées à voler leurs identifiants

Les collaborateurs d'une entreprise forment sa première ligne de défense. Cependant, ils ne peuvent pas adopter les bons réflexes face à une cyberattaque s'ils ne les connaissent pas.
Les cybercriminels peuvent adopter différentes techniques pour tenter de dérober les coordonnées des collaborateurs afin d'accéder aux ressources d'une organisation. Il est donc important d'organiser régulièrement des séances d'information pour apprendre aux collaborateurs à ne pas trop partager d'informations sur les médias sociaux et à ne pas cliquer sur un lien ou ouvrir un fichier sans en analyser d'abord la provenance.

3.    Activez et configurez un Web Application Firewall (WAF)

Un Web Application Firewall surveille le trafic réseau entrant et sortant afin d'autoriser ou de refuser les communications en fonction de règles de sécurité définies. Il agit comme un contrôleur entre le serveur et le client et, en décryptant le trafic, analyse les demandes d'accès au réseau des utilisateurs. Ainsi, s'il détecte une activité suspecte selon ses règles de configuration, il peut générer des alertes et les envoyer au responsable informatique et à son équipe afin qu'ils puissent décider des actions à entreprendre.

4.    Mettez à jour tous les logiciels, systèmes d'exploitation et navigateurs Internet

Les cybercriminels sont toujours en quête de vulnérabilités à exploiter. Il est donc important de maintenir tous les systèmes à jour, afin de s'assurer que la version la plus récente et la plus sûre est utilisée.

5.    Maintenez à jour tous les composants du serveur Internet

Comme pour tous les systèmes d'information et de technologie, les mises à jour des composants d’un site Internet sont cruciales pour s'assurer que toutes les vulnérabilités connues sont corrigées et que les hackers n'ont aucune chance de les exploiter.

Les composants typiques d'un serveur Internet comprennent :

• Le BIOS/firmware du matériel sur lequel le serveur de l’organisation tourne ;
• Le système d'exploitation du serveur ;
• Le service Internet utilisé (Apache, nginx, IIS, etc.) ;
• Le système de gestion de contenu (Drupal, Joomla, WordPress, etc.) ;
• En option, la couche de virtualisation.

Très peu d'entreprises créent elles-mêmes leur site Internet dans son intégralité. Elles font généralement appel à des tiers qui proposent un grand nombre de plugins et de thèmes. Veillez à les maintenir à jour. Les développeurs des tierces parties sont constamment à la recherche de nouvelles vulnérabilités. Il est donc crucial d'effectuer les mises à jour pour disposer de la version la moins vulnérable des composants utilisés.

6.    Sécurisez l'accès au système de gestion de contenu (CMS) et mettez-le à jour

Comme expliqué précédemment, l'une des mesures importantes à prendre pour sécuriser un système de gestion de contenu est de le maintenir à jour, ainsi que ses plugins. Les cybercriminels sont toujours à la recherche de nouvelles vulnérabilités à exploiter, des correctifs de sécurité sont développés pour remédier à ces vulnérabilités. Il est donc indispensable d'effectuer les mises à jour dès qu'elles sont disponibles.

En outre, un autre moyen de protéger le CMS est de ne jamais utiliser la configuration par défaut des comptes et des mots de passe, et de créer votre propre compte administrateur avec un mot de passe suffisamment fort et en utilisant en outre l'authentification multifacteurs (MFA). L'authentification multifacteurs exige qu'un utilisateur utilise au moins deux méthodes différentes (par exemple, un mot de passe et un code PIN, un code PIN et un code reçu par SMS) pour vérifier son identité et lui donner accès à la ressource qu'il désire atteindre.

Enfin, un examen régulier de la liste des utilisateurs doit être intégré dans le processus de gestion des accès. Cela s'applique non seulement aux utilisateurs ayant accès au système de gestion de contenu, mais aussi à tous les autres utilisateurs de l'organisation en général. Cette vérification permettra de s’assurer qu'aucun utilisateur test n'est encore actif et qu'aucun utilisateur qui ne devrait pas être là n'a été ajouté.

7.    Implémentez le protocole HTTPS

Le protocole HTTPS est utilisé sur Internet pour sécuriser la communication et le transfert de données sur un réseau informatique. Il s'agit de la version sécurisée du protocole HTTP. Tout comme HTTP, HTTPS est utilisé pour envoyer des données entre un navigateur et un serveur Internet. La différence est que HTTPS crypte les données afin d'augmenter la sécurité du transfert. Grâce au cryptage de tous les échanges entre un navigateur et un serveur Internet, le protocole HTTPS garantit qu'aucune personne extérieure ne peut espionner les communications. En fait, même si un cyberpirate parvient à intercepter les données, comme elles sont cryptées, il ne pourra ni les comprendre ni les utiliser.

8.    Cryptez, sauvegardez et contrôlez l'accès à la base de données

Les données sont l'une des possessions les plus précieuses d'une organisation. C'est pourquoi elles doivent être protégées en conséquence. Il est important de crypter les données au repos (c'est-à-dire lorsqu'elles sont stockées dans une base de données et ne sont pas utilisées) et de contrôler strictement l'accès à cette base de données.

En outre, ces bases de données doivent être sauvegardées pour s'assurer que, même en cas d'incident, toutes les données peuvent être récupérées. Veillez à tester régulièrement ces sauvegardes pour vous assurer qu'elles peuvent toujours être utilisées en cas de besoin, après un incident.

9.    Désactivez la navigation dans les répertoires

La navigation dans les répertoires offre la possibilité aux personnes qui visitent un site Internet d'accéder au contenu du répertoire, c'est-à-dire à l'ensemble des fichiers et des dossiers.
La navigation dans les répertoires doit être désactivée afin que les cyberpirates ne puissent pas trouver les données d’une organisation par hasard, en utilisant simplement des moteurs de recherche. De plus, les fichiers ne doivent pas être stockés dans des emplacements par défaut ou accessibles au public.

Il existe plusieurs étapes à suivre lorsqu'on est confronté à une attaque par défacement :

•    Signaler l'incident au responsable informatique de l'organisation

Vous devez signaler immédiatement tout changement potentiel détecté sur le site Internet au responsable informatique de l'organisation afin qu'il puisse prendre les mesures correctives reprises ci-dessous.

•    Isoler les dispositifs compromis d'Internet et du réseau de l'organisation

Afin d'empêcher l'attaque et ses dommages de s'étendre à l'ensemble du réseau de l'organisation, tous les appareils infectés doivent être déconnectés d'Internet. Cela peut se faire en débranchant le câble Ethernet ou en désactivant directement le Wi-Fi sur les appareils.

•    Rassembler toutes les preuves nécessaires

Le défacement d’un site Internet est un cybercrime qui doit être signalé à la police. Plusieurs éléments peuvent être rassemblés pour compléter le dossier en vue de déposer plainte : captures d'écran du site Internet attaqué, captures d'écran de tout le contenu inhabituel affiché sur les appareils et enregistrements des historiques du pare-feu et des serveurs.

•    Signaler l’incident à la police et déposer plainte

Une attaque par défacement est punissable par la loi et doit être signalée aux autorités pour leur permettre d'enquêter sur les responsables et les empêcher d'exécuter d'autres attaques.

•    Faire une copie de tous les appareils compromis

Si possible, tous les appareils infectés doivent être copiés sur un support physique pour faciliter l’enquête.

•    Dresser l'inventaire de toutes les informations sensibles consultées ou volées

Cela permet d'évaluer l'ampleur de l'attaque et d'anticiper ce que le hacker pourrait utiliser à l'avenir pour lancer d'autres attaques.

•    Identifier toutes les vulnérabilités qui ont été utilisées pour obtenir l'accès et y remédier.

En déterminant exactement comment l'assaillant a pu accéder à une ressource, les mesures correctives nécessaires peuvent être prises pour s'assurer que cette vulnérabilité ne pourra plus être utilisée pour d'autres attaques. Il peut s'agir, par exemple, d'installer un correctif de sécurité ou de changer un mot de passe compromis.

•    Informer le fournisseur du site Internet

La plupart des organisations ne développent pas leur site Internet en interne. Lorsque l’organisation a fait appel à un fournisseur externe, celui-ci doit être contacté et informé de l'incident afin qu'il puisse également prendre les mesures nécessaires pour y remédier.

•    Si nécessaire, contacter des spécialistes officiels de la sécurité externe

Toutes les organisations ne disposent pas de ressources suffisantes pour remédier efficacement à un cyberincident. Plusieurs spécialistes de la sécurité peuvent être engagés pour vous aider à résoudre l'incident. Ces spécialistes ne peuvent provenir que d'organisations officielles, telles que des sociétés de conseil connues, afin d'éviter d'engager un escroc.