Accueil » Le Point SĂ©cu » 🛡 Point SECU #22 : Comment un site web se fait-il pirater ?

VidĂ©o : 🛡 Point SECU #22 : Comment un site web se fait-il pirater ?



Salut Ă  tous et bienvenue dans le « Point SĂ©cu » avec Julio et aujourd’hui on va voir comment un site se fait pirater.

Allez c’est parti !

Alors du coup Julio, comment un site se fait pirater, c’est quoi : les causes des piratages en gĂ©nĂ©ral ?

Julio : Il y a beaucoup de gens qui pourraient penser que ça peut ĂȘtre les mots de passe, il y a d’autres gens qui pensent que c’est Ă  cause des plugins, il y a Ă©normĂ©ment de personnes qui pensent que c’est Ă  cause du core de WordPress, surtout ce qui ne sont pas des utilisateurs de WordPress, pour un petit peu essayer d’enfoncer un clou lĂ  oĂč il n’y en a pas besoin.

Alex : Oui oui, il y a du WordPress bashing !

Julio : Du WordPress bashing exactement !

Alors, j’ai mon petit carnet avec les statistiques d’attaques

Le core de WordPress

Si je prends justement l’exemple de WordPress, il n’y a que 3 % des sites piratĂ©s qui sont la raison du core de WordPress finalement… en plus ça veut dire que c’est des personnes qui ne se sont pas tenues Ă  jour…

Alex : C’est ce que j’allais te dire… ce n’est pas une mise Ă  jour… ce n’est pas la derniĂšre version quoi !

Julio : VoilĂ  c’est pas Ă  cause d’une derniĂšre version en plus, c’est quelqu’un qui ne se met pas Ă  jour suffisamment longtemps pour subir des attaques, qui arrivent ensuite Ă  un piratage de site web. C’est seulement 3 sites sur 100.

Alex : Si tu as WordPress 3.2, il ne faut pas venir te plaindre que ton site se fasse pirater.

Julio : Il n’y a pas besoin d’une 3.2 aujourd’hui, Ă  l’heure de la vidĂ©o, on est en 4.8, il suffirait d’avoir une 4.7 ou une 4.6 pour potentiellement se faire attaquer.

Alex : C’est ça, il y a des failles qui sont corrigĂ©es continuellement.

Julio : C’est ça ! Tenez-vous Ă  jour, on le rĂ©pĂšte une fois de plus, mais en tout les cas, ce n’est pas la faute de WordPress principalement.

On ne sait pas toujours qui a piraté

En fait, principalement, il faut savoir qu’il y a 60 % des gens qui ne savent pas pourquoi ils se sont fait pirater. Ce n’est pas simple de savoir d’oĂč ça vient. MĂȘme si on recrute quelqu’un.

Parfois on me demande « OK, est-ce que dans vos services, vous pouvez me dire d’oĂč ça vient et tout ça… »

Je leur dis « Oui je peux chercher… »

Alex : C’est les Russes !

Julio : Mais ça va ĂȘtre trop long sans ĂȘtre certain de savoir d’oĂč ça vient et finalement tout ça ce sera payĂ© et Ă  quoi ça vous sert cette information… Ă  rien.

Autant se dire : OK, si on ne trouve pas facilement ce n’est pas grave, on avance, on rectifie le machin, on se sĂ©curise et voilĂ .

Alex : D’autant qu’il y a moyen de s’offusquer quand on pirate un site, au final on ne sait jamais vraiment qui a fait ça quoi…

Julio : A moins de dire : « VoilĂ  je viens de vous effacer », mais si on ne fait pas ça, on ne peut pas savoir…

Alex : Avant que le pirate donne ça dans un Tweet directement… Salut je t’ai nđŸ€Źton site.

quelles sont les statistiques des sites piratés

La faute d’un plugin ou d’un thĂšme

Julio : Ensuite par contre, lĂ  c’est important, il y a quand mĂȘme un quart, donc 25 % des piratages qui sont la raison d’un plugin ou d’un thĂšme.

On l’a dit plusieurs fois dans des vidĂ©os prĂ©cĂ©dentes, un plugin ou un thĂšme qu’est ce que c’est, c’est simplement un script PHP que vous acceptez d’introduire dans votre site web, vous voyez bien le danger qui arrive.

Eh bien voilĂ , il y a un site sur quatre c’est Ă©norme ! qui se fait pirater Ă  cause d’un plugin ou d’un thĂšme, Ă  jour ou non Ă  jour par contre. LĂ , un plugin qui contient des failles, il y a des gens dont… j’avais dit une Ă©quipe chez WordFence et Sucuri qui passent du temps dĂ©diĂ© Ă  la dĂ©couverte de failles, j’ai envie de dire bĂ©nĂ©volement, pour la communautĂ©.

Eux ils sont payĂ©s bien Ă©videmment par les sociĂ©tĂ©s WordFence et Sucuri pour faire ce travail, mais derriĂšre c’est juste pour redonner Ă  la communautĂ© sur leur blog respectif pour dire : « VoilĂ , attention Ă  ci, attention Ă  ça… »

Inversement, il y a des gens dont le passe-temps est de trouver les failles, les garder pour eux, les exploiter, et essayer de casser du site web.

Ces gens-lĂ  utilisent des failles qui sont dans des plugins qui sont aujourd’hui Ă  jour et aprĂšs c’est grĂące Ă  ça que « tiens j’ai aperçu que… je me suis aperçu que ce site lĂ  se fait attaquer, en fait c’est Ă  cause de tel plugin, donc on va le corriger et ensuite il n’y a pas de sharing ».

C’est ce qu’on appelle les « black hats », des mauvais pirates qui utilisent Ă  des mauvaises fins… Parfois ce n’est mĂȘme pas pour gagner de l’argent, il faut savoir que c’est juste des fois pour le plaisir.

Entre amis se dire : tiens, et si on cassait du site web, malheureusement ça existe.

Un site sur 4 c’est quand mĂȘme Ă©norme.

Le brute force

Ensuite on descend Ă©normĂ©ment parce qu’on arrive tout de suite sur 6,5 % des sites sont piratĂ©s Ă  cause du mot de passe qui aurait Ă©tĂ© trouvĂ© grĂące Ă  un « brute force » (je vous mettrais la description d’un brute force).

⚠Petit rappel : un brute force c’est un script qui va permettre de trouver un mot de passe en boucle, en faisant des tests encore et encore et encore…

Donc seulement 6,5, mais tout de mĂȘme 6,5 %. Comme le net est suffisamment large, si vous prenez tous vos amis, tous vos sites web et tous les leurs, il suffit que vous ayez une petite centaine de sites web autour de vous, il y a quand mĂȘme 6 sites qui vont se faire pirater Ă  cause d’un mot de passe trop faible.

S’il est « brute forcé », ça veut dire qu’il Ă©tait trop faible. Si votre mot de passe est long et suffisamment complexe, comme on l’a dĂ©jĂ  dit dans d’autres vidĂ©os, ça devrait passer, mais s’il est trop faible, trop court, ou trop facilement devinable : votre date de naissance, votre nom, etc. on l’a dĂ©jĂ  dit ! Vous Ă©vitez ça !

Sinon il risque de se faire « brute forcer » : 6,5 % des sites hackés à cause de ça.

Le vol de mot de passe

Inversement, j’ai l’autre stat pour le vol de mot de passe, donc si on vous vole votre mot de passe, si quelqu’un le trouve, l’a vu sur un papier, sur une vidĂ©o de prĂ©sentation de tutoriel, etc. C’est seulement 0,5 %.

Le fait de dĂ©rober un mot de passe Ă  quelqu’un pour se connecter c’est trĂšs faible et ça arrive Ă  0 % si vous utilisez une double authentification, de nouveau on le rappelle, ça permet de faire en sorte que le mot de passe ne soit plus suffisant pour se connecter.

0,5 % voilĂ , moins de peur pour le vol de mot de passe.

La faute de l’hĂ©bergeur

J’ai une autre stat qui est 1,5 % c’est la cause de l’hĂ©bergeur, on a aussi parlĂ© dans les vidĂ©os prĂ©cĂ©dentes des hĂ©bergeurs, choisissez les bien.

Il y a tout de mĂȘme 1,5 site qui se fait pirater sur 100, donc ça paraĂźt peu, mais les hĂ©bergeurs ont Ă©normĂ©ment de sites web…

Alex : Donc dĂšs qu’il y a une attaque, ça a un impact sur plein de sites.

Julio : ça a un impact énorme ! ça veut dire que pour 200 sites web il y a 3 sites, pour 2 000 sites web il y a 30 sites, ça va trÚs vite.

Je crois aujourd’hui que WPServeur a peut ĂȘtre je ne sais pas moi, 7 Ă  8 000 sites web, ça commence Ă  lui faire quasiment une centaine de sites qui se ferait pirater, il n’a pas du tout envie, en tant qu’hĂ©bergeur, d’avoir une centaine de sites piratĂ©s, de sa faute en fait.

C’est quelque chose qui serait super gĂȘnant pour lui. Je fais une stat en plus globale, mais quand un hĂ©bergeur se fait attaquer, le hack tombe sur tout le monde en fait.

Globalement si on prenait tous les hĂ©bergeurs, ça voudrait dire qu’il y a un hĂ©bergeur qui se ferait attaquer sur tous ses sites. Choisissez bien votre hĂ©bergeur, si un hĂ©bergeur est attaquĂ©, vous ĂȘtes dans le tas de toute façon.

Alex : C’est ça ! J’ai un lecteur qui a mis ça sur l’article sur l’hĂ©bergement WordPress que j’avais fait et il avait dit que… je ne plus quel Ă©tait le nom de cet hĂ©bergeur… mais ils avaient tout perdu, les serveurs remis Ă  zĂ©ro, tous les clients, plus rien, plus un site. Alors lĂ  si t’as fait tes sauvegardes sur ton site, sur ton serveur, t’es foutu.

Julio : Et là le business, ça doit faire mal aussi !

Alex : C’est ça ! AprĂšs je ne sais pas ce qu’est devenu cet hĂ©bergeur, est-ce qu’ils sont repartis ou pas, je ne sais plus, mais ouais… ça pique, ça pique ! Donc voilĂ  surtout, les sauvegardes pensez-y.

Julio : Bon choix d’hĂ©bergeur tout de suite c’est encore mieux. Qu’est ce que j’ai encore aprĂšs, j’ai d’autres petites stats qui sont trĂšs trĂšs faibles comme 0,5 % Ă  cause des mauvais droits sur les fichiers, ça vous dit peut-ĂȘtre quelque chose le 777 sur les fichiers.

Donc voilĂ  c’est quelque chose Ă  Ă©viter. Il faut rĂ©duire ça au minimum, je vous mettrais le lien du Codex pour vous indiquer quels sont les bons droits.

Sachant que si vous utilisez SecuPress, il va vous permettre de vous dire, ceux-lĂ  n’ont pas les bons droits et il est capable de les remettre Ă  votre place.

Comme c’est assez technique, on n’a pas besoin de le faire Ă  la main, il y a beaucoup de fichiers mis Ă  l’install, c’est Ă  peu prĂšs 1 500 fichiers, on ne peut pas les faire un par un, c’est pour ça qu’on a les scanners qui sont faits pour ça.

D’anciens fichiers du core de WordPress

Qu’est-ce qu’il me reste encore… Ă©coutez… il me reste un petit 0,6 % qui sont dus Ă  d’anciens fichiers du core WordPress qui seraient restĂ©s sur l’installation, parce qu’il y a deux façons de se mettre Ă  jour de WordPress, vous cliquez sur une mise Ă  jour automatique, lĂ  le core est supprimĂ© et il est remplacĂ© par un nouveau dossier, lĂ  c’est propre.

Ou si vous faites comme moi je faisais avant, par le FTP, je télécharge le zip, je prends tous les fichiers et je les envoie, donc ça écrase les anciens, mais ça ne supprime pas les fichiers que WordPress a supprimés de son core, parce que ça arrive que certains fichiers soient obsolÚtes.

Finalement ça cumule, mais si dans ces fichiers il y a des failles qui sont contenues, finalement vous n’ĂȘtes pas vraiment Ă  jour, puisque vous avez laissĂ© des fichiers qu’il ne fallait pas, donc il y a quand mĂȘme 0,6 % de sites qui se font malheureusement pirater Ă  cause d’anciens fichiers WordPress alors que vous ĂȘtes Ă  jour de WordPress, mais vous avez laissĂ© des fichiers qui ne devraient plus ĂȘtre lĂ .

Donc c’est un peu dommage et ce n’est pas forcĂ©ment flagrant. Donc encore une fois, le scanner de SecuPress lĂ  par contre sait le faire, il sait vous dire : tous ces fichiers sont des anciens du core, je vous conseille de les supprimer, en un clic c’est fait.

Et le reste…

Et ma derniĂšre stat, elle regroupe tout le reste, c’est 0,4 % du reste, c’est les personnes qui n’ont pas sĂ©curisĂ© leur boĂźte mail, on en a parlĂ© dans une vidĂ©o prĂ©cĂ©dente, qui cliquent sur du phishing, qui n’ont pas mis d’anti virus ou ne le maintiennent pas Ă  jour, qui ont un logiciel FTP dans lequel ils ont enregistrĂ© les mots de passe, on en a parlĂ© aussi, ou qui n’est pas Ă  jour encore une fois.

Qu’est ce que j’ai… en fait tout ce qui n’est pas Ă  jour ! Tout ce qui est autour de WordPress et qui pourrait ne pas ĂȘtre Ă  jour : un OS pas Ă  jour, vous avez Windows et vous n’avez pas mis les derniers patch, etc.

Vous pouvez tomber malheureusement dans des vagues d’attaques qui pĂ©nĂštreront votre ordinateur pour voler des informations, etc., et finalement c’est votre WordPress qui va en pĂątir, c’est 0,4 pour le tout, c’est-Ă -dire 0,1 % pour ça, c’est pas grand-chose, mais ne soyez pas ce 0,1 %, faites tomber cette stat Ă  0.

Alex : Eh bien voilĂ  ! C’est une bonne phrase de conclusion

Allez… Allez…

Donc voilĂ , sur ce merci d’avoir suivi cette vidĂ©o, j’espĂšre que maintenant vous ĂȘtes un petit peu plus calĂ© sur les raisons des attaques, mais en tout cas rappelez-vous bien qu’il y a 60 % des attaques dont on ne sait pas d’oĂč elles proviennent, on ne sait pas de qui, de quoi, on ne sait pas comment ils ont fait.

VoilĂ , essayez de vous prĂ©munir au maximum avec tous les conseils qu’on a pu vous donner tout au long de cette sĂ©rie vidĂ©o et aussi, abonnez-vous pour recevoir les vidĂ©os suivantes et… les pouces bleus et aussi allez sur SecuPress.me pour sĂ©curiser votre site.

Merci de nous avoir suivi et à trÚs vite dans une prochaine vidéo

Salut, ciao 👋



Si vous avez apprécié cet article, inscrivez-vous à la newsletter

Recevez gratuitement les prochains articles et accédez à des ressources exclusives. Plus de 20 000 personnes l'ont fait, pourquoi pas vous ?

C'est parti, je m'inscris !

Partagez
Tweetez
Partagez
dolor. Curabitur diam libero. quis, mattis ut in