Masked cyber terrorist in military uniform hacking army intelligence

Pourquoi un site web est-il attaqué , avec quels risques ? et comment le nettoyer ? un retour d’expérience.

Les entreprises et agences web se demandent souvent pourquoi leur site est attaqué et quelle conséquence cela peut avoir pour eux. Beaucoup se trouvent aussi très désarmés quand ils sont victimes d’une attaque car il n’ont souvent pas d’expérience et ne savent pas vers qui se tourner.

Il faut savoir que ces attaques sont fréquentes et répétitives.

Voici  quelques explications au travers d’un exemple typique d’une attaque banale sur un site web.

Nous sommes contactés il y a quelques mois par une PME dont le site a fait l’objet d’une attaque: le site ne fonctionne plus et une marque très connue s’est plainte qu’il était utilisé pour revendre illégalement ses produits, les mettant en demeure de mettre fin à cette situation. La PME ne sait pas quoi faire, son hébergeur actuel lui ayant signifié que ce n’était pas de son domaine de responsabilité.

Comment et pourquoi un site web est-il attaqué ?

Dans notre cas, il s’agit d’un site vitrine modeste, sans élément de notoriété forte ou dimension polémique, a priori il n’est pas destiné à être une cible d’attaque.

Oui mais Les hackeurs utilisent aujourd’hui des outils pour scanner systématiquement le web à la recherche de sites présentant des failles de sécurité, le plus souvent applicative qu’ils vont pouvoir exploiter. Ils recherchent ainsi des sites qu’ils vont pouvoir utiliser pour mener des actions illicites tout en n’étant pas eux-même visibles, on parle de site de « rebond ».

Ce n’est donc pas le site hacké qui est lui même visé, c’est pour cela que n’importe quel site peut faire l’objet d’une attaque.

Comment les pirates se servent-ils d’un site hacké ?

Nous avons pu analyser que l’attaque sur le site a eu lieu au moins deux mois avant que celui-ci se mette à dysfonctionner. Pourquoi ? Quel est l’intérêt d’une attaque qui n’a pas d’effet ? du moins au début ?

Un hackeur souhaite monter un site frauduleux pour:

  • soit vendre illégalement un produit ou une contre-façon d’une marque connue,
  • soit simuler un site connu afin de capturer des informations confidentielles au travers de  formulaires ou de pages de transactions (coordonnées des internautes, données bancaires).

Pour ne pas être détectables, les éléments des pages du site clandestin vont être répartis sur différents sites hackés. Ainsi la source et l’origine des pages va être très difficile à tracer pour remonter jusqu’à eux. Le site hacké sert de point de « rebond » discret.

Sur chaque site hacké, le pirate va venir déposer des fichiers, des scripts et des éléments qui vont servir à composer les pages. En général, cette attaque ne doit pas perturber le site hacké, au contraire, l’idée est de rester le plus discret possible. et le site peut continuer à fonctionner ainsi quelques temps.

Quelles risques pour le propriétaire du site attaqué ?

L’attaque contre notre client devint visible et problématique quand d’une part ils contactés par une marque grand public qui leur annonce que le site est utilisé pour vendre illégalement des produits sous sa marque, les mettant en demeure de stopper cela, d’autre part parce que le site se met à dysfonctionner, une partie des pages ne s’affichant plus.

Même une attaque au départ non visible peut avoir des conséquences très sérieuses, voici les principaux risques:

1er risque: le propriétaire du site hacké peut se voir poursuivi par le propriétaire de la marque ou du site copié. C’est ce qui a commencé à se produire dans notre cas.

2ème risque: la victime de la fraude va rechercher la responsabilité du propriétaire du site hacké, cela aurait pu arriver si nous n’avions pas pu agir assez vite.

3ème risque: le site hacké se trouve  « défiguré » par les fichiers déposés, et en particulier les scripts. C’est également ce qui est arrivé dans notre exemple.

4ème risque: l’attaque se met à consommer toutes les ressources de l’hébergement, et génère une suractivité. Votre site peut alors devenir très lent, voir ne plus répondre, et vous pouvez même être mis en quarantaine par votre hébergeur s’il s’en aperçoit.

5ème risque: le site hacké est identifié comme frauduleux par les moteurs de recherche, et en particulier Google, qui vont le « blacklister ». Il peut ainsi être exclu des résultat de recherche, ou s’il sort encore dans les résultat de recherche, l’être avec une mention de type « site malveillant » ou « site identifié comme étant à risque », ce qui va faire immédiatement faire fuir tout votre trafic de visites. C’est malheureusement ce qui s’est produit dans notre exemple.

Quelles actions pour nettoyer un site hacké ?

N’ayant pas d’expérience, notre client n’a aucune idée des actions à mener, et ne sait pas vers qui se tourner.

Nettoyer un site demande surtout de la pratique et de l’expérience pour faire les recherches et mener les actions correctives.

La première action consiste à détecter la forme et la source du hackage. Cette recherche peut être difficile puisque par nature le hackeur cherche à se dissimuler. La recherche va porter sur:

  • des fichiers récents, non conformes, ou déposés dans des dossiers qui ne devraient pas contenir de tels éléments,
  • des contenus non standards , par exemple une ligne de commande longue ou particulière dans un fichier de code,

Une fois ces éléments identifiés, il faut les éliminer et nettoyer le site.

Il faut ensuite comprendre par quelle faille le pirate a pu s’introduire, et appliquer le(s) correctif(s),  il faut éliminer tous les modules non utilisés ou non indispensables et faire une mise à jour du site. Attention, faire une mise à jour du site sans avoir éliminé les fichiers malveillants ne suffit pas. Cela rendra plus difficiles les attaques futures, mais cela ne détruit pas les fichiers malveillants et ne nettoie donc pas le site.

Enfin, il faut rétablir sa « réputation » auprès des moteurs de recherche et en particulier Google, et potentiellement votre hébergeur. Lorsqu’un moteur de recherche vous met en « quarantaine », ou vous « blackliste », il faut faire une demande de « réexamen » pour revenir à la normale. Cela n’est pas automatique, vous devez faire la démarche, et cela peut prendre plusieurs semaines.

Tout cela prendra de 2 à quelques heures selon les difficultés, mais peut être mené dans la journée.

Qui peut se charger du « nettoyage » du site ?

Notre client s’est trouvé bien démuni: il n’a pas d’expérience sur le sujet, l’agence qui avait développé le site a été rachetée, son hébergeur  a refusé de traiter cela avec son support technique, invoquant que le contenu installé sur le serveur n’est pas de sa responsabilité.  Notre client est surpris de la position de son hébergeur historique qui a refusé de l’aider, c’est pourtant vers lui qu’il s’est tourné pensant que cela relevait de son périmètre et de sa compétence.

Pourtant La situation est urgente pour lui mais les autres contacts pris ne souhaitent pas intervenir sur un site développé et hébergé par quelqu’un d’autre.

Si vous avez fait héberger votre site chez un hébergeur web classique qui ne vous fournit que de l’hébergement mutualisé ou un serveur dédié, physique ou virtuel, ne comptez pas trop sur lui: il vous répondra que ce n’est pas de sa responsabilité et qu’il ne peut pas vous aider. Si vous en doutez, voici une clause habituelle dans ce genre d’hébergement: « le Client est seul administrateur de son Serveur, « l’hébergeur n’intervient en aucun cas dans l’administration du Serveur du Client. », ou encore « L’hébergeur se réserve le droit d’interrompre le Service si le Serveur du Client constitue un danger pour le maintien de la sécurité , notamment en cas de piratage , ou en cas d’une faille dans la sécurité du système. »

Vous pouvez disposer en interne de compétences assez pointues en administration système et hébergement web, c’est en général très rare car cette situation ne vous arrivera heureusement que peu fréquemment.

Vous pouvez surtout les trouver soit chez votre agence web notamment au travers d ‘un contrat de TMA évolutive, soit chez un prestataire spécialisé ou encore un hébergeur qui fournit un vrai support à ses clients. Bien souvent il travailleront ensemble car ils sont complémentaires. C’est chez eux que vous trouverez les compétences et l’expérience nécessaires pour nettoyer votre site et le protéger à l’avenir.

Conclusion

Tout d’abord, n’importe quel site peut être la cible d’un hackage sans être lui-même la cible finale. Il n’y a pas que des marques à très forte notoriété ou des sites polémiques qui se font attaquer. Un site qui n’a rien de particulier peut servir discrètement de rebond. Ces attaques sont maintenant assez fréquentes, en tant qu’hébergeur, nous y sommes confrontés tous les mois.

Les conséquences peuvent être désagréables et longues, cela paraitra même très long si votre site est indisponible,  et vous pouvez avoir du mal à trouver une aide efficace.

Les actions préventives existent et sont efficaces, elles ne sont pas couteuses mais doivent être régulières, elle passent par un accompagnement de votre agence web, et un hébergeur à même de fournir un support compétent et qui travaillera en bonne intelligence avec votre agence web. Cela passe par un maintenance corrective régulière, idéalement un test de vulnérabilité tous les 6 à 12 mois.

Vous pouvez donc attendre que cela vous arrive pour prendre des mesures dans l’urgence et la douleur,  ou anticiper et appliquer les bonnes pratiques du métier.

Voir également sur notre site web, notre page sur la sécurité des sites web ou l’article de notre blog « Comment garantir la sécurité d’un site web« .

Enfin, vous pouvez nous solliciter pour un test de sécurité gratuit de votre site web, cliquer ici.

Laisser un commentaire

*

Be sure to include your first and last name.

If you don't have one, no problem! Just leave this blank.