[INTERVIEW] – La sécurité informatique abordée par Intrusio

Interview Exclusive Intrusio Sécurité Informatique

S’il y a bien un sujet qui concerne l’ensemble des acteurs du web, c’est bien la sécurité informatique. Cependant, bien que nous ayons cette problématique en tête, on reste bien souvent peu au courant de cette activité primordiale.

Aujourd’hui, je vous propose donc de découvrir via une interview réalisée avec l’aimable participation d’Intrusio, les principaux points relatifs à la sécurité technique. Cette interview vous permettra donc de découvrir quelques facettes de cette activité.

Si vous souhaitez poser des questions ou réagir sur cette interview, les commentaires sont à vous !

I) Présentation

1) Bonjour, pourrais-tu te présenter à nos lecteurs ?

Salut WebZeen, moi c’est Steve. Pour faire court, je suis webmaster/rédacteur du site Intrusio.fr, où je parle de sécurité informatique.

2) Quelle est ton activité et quelles en sont les principales caractéristiques ?

Le domaine de la sécurité informatique est vaste. Il y a ceux qui préviennent les risques, ceux qui les corrigent, ceux qui analysent les attaques … Moi, mon truc ce sont les tests d’intrusion. Pour faire une analogie, je me mets dans la peau d’un pirate et je regarde si les infrastructures informatiques de mon client peuvent être piratées.

Ensuite, je préviens le client des vulnérabilités que j’ai découvert sur son système, je l’oriente sur la manière de les corriger et je l’aide au besoin à mettre en place des systèmes de protection.

Les caractéristiques nécessaires à ces activités sont donc bien entendu d’avoir beaucoup de patience, d’être très curieux et inventif.

3) Pourquoi avoir choisi ce secteur d’activité ?

Comme toutes les personnes exerçant dans la sécurité informatique je crois que ce choix vient surtout d’une grande passion pour la bidouille. Lorsque sur un site internet on nous demande de saisir un chiffre, nous on saisit un mot, juste pour voir ce qui se passe, ensuite on analyse le message d’erreur qui parfois nous donne une information sur le système, alors on a envie d’aller plus loin et de voir ce que ce système cache … Ce que notre langue française appelle « bidouille », en anglais on appel ça « Hacking ».

Et un jour, tu te rends compte que cette passion que tu as pour le Hacking, certaines sociétés sont prêtes à te payer pour en profiter.

II) Sécurité d’un site internet

3) Quels sont les enjeux pour un site internet d’avoir un site sécurisé ?

La question à se poser est plutôt de savoir ce qu’un site Internet a à perdre avec un site non sécurisé, quelles données il héberge, quelles informations il possède sur ses clients ou ses membres … Une fois cette question posée, il faut se dire que dans l’hypothèse d’une attaque, toutes ces données peuvent être dérobées.

De plus, si le pirate estime que les informations stockées sur le site n’ont aucune valeurs, il pourrait choisir d’infecter les pages avec des scripts malveillants pour infecter les ordinateurs des visiteurs ou encore détourner les affichages publicitaires pour empocher l’argent des affichages ou tout simplement d’effacer complètement le site et d’afficher un texte à sa gloire.

4) Un blog a-t-il moins de « chance » d’être piraté qu’un site marchand ?

Un pirate ne choisi pas sa cible en fonction du secteur d’activité du site. Si son but est de récupérer le maximum de mot de passe par exemple, il préférera s’attaquer à un blog de 100.000 membres plutôt qu’a un site de vente de serpillières en fibre de chanvre qui réalise 3 ventes par mois.

Le pirate sait que sur ces 100.000 membres, la plupart utilisent le même mot de passe sur leur compte email. Il pourra alors facilement s’emparer de leur compte Paypal par exemple.

5) Une idée du nombre/taux de sites non sécurisés ? Existe-t-il des différences sur ce taux en fonction des pays ?

Il est difficile de répondre à ces questions car un site qui est sécurisé aujourd’hui ne le sera peut être plus demain. Chaque jour, des dizaines de nouvelles vulnérabilités sont découvertes donc si votre site était sécurisé hier, il ne l’est peut être plus aujourd’hui à cause de celles-ci !

6) Quelles sont les bons réflexes à avoir pour sécuriser son site internet ?

Tout d’abord, il ne faut jamais se dire : « personne n’ira jamais voir ici », « personne ne pensera à faire ça », car un jour où l’autre, quelqu’un le fera 😉

Ensuite, sans trop entrer dans les termes techniques, si vous utilisez un système de gestion de contenu, pensez à le mettre à jour dés que c’est proposé et évitez d’installer trop de plugins.

Enfin, demandez-vous quelles sont les informations les plus cruciales pour votre site et renseignez-vous sur les moyens de les protéger (cryptographie, chiffrage …)

7) Quelles sont, dans les grandes lignes, les failles les plus courantes d’un site internet ?

Les failles les plus répandues en ce moment sont les injections SQL. Cette technique permet de modifier le comportement d’une fonctionnalité d’un site internet pour lui faire afficher l’intégralité de sa base de données (nom des utilisateurs, leurs mot de passe, leur adresse mail …).

Ensuite viennent les failles dites XSS pour « Cross Site Scripting » qui permettent de modifier le code source d’un site côté client et ainsi de changer son apparence mais surtout de voler les informations de session d’un utilisateur.

Et pour finir ce Top3, les failles dites d’inclusion locales ou distantes qui permettent respectivement d’afficher le contenu normalement protégé de fichiers sur un site et de faire exécuter des actions non prévues par le site pour en prendre le contrôle.

8) Les CMS sont-ils plus sécurisés que les sites développés « à la main » ?

Je dirai oui et non.

Les CMS ont souvent leur code source ouvert, ce qui facilite la découverte de vulnérabilités. Si un pirate découvre cette vulnérabilité en avant première, il peut l’utiliser pour pirater tous les sites qui utilisent ce CMS.

Mais le bon côté, c’est que bien souvent, les CMS populaires disposent d’une armée de développeurs bénévoles qui en améliorent sans cesse la sécurité et qui proposent très rapidement des mise à jour dés qu’une vulnérabilité est connue.

III) Sécurité et utilisateur

9) Quels sont les bons réflexes à avoir en tant qu’utilisateur lors de sa navigation sur internet ?

Est-ce la peine de rappeler la nécessité d’avoir un antivirus actif et à jour ?

Sinon, le plus simple souvent est de faire appel à son bon sens, de choisir un mot de passe difficile à deviner, qui n’est pas dans le dictionnaire, qui contient des caractères minuscules, majuscules, des chiffres et au moins un caractère spécial et surtout, de ne pas l’utiliser sur tous les sites !

En effet, si un site sur lequel vous êtes membre se fait pirater, le pirate pourrait alors accéder à tous les sites sur lesquels vous utilisez le même mot de passe.

Enfin, évitez de donner trop d’informations sur vous, surtout quand cela n’est pas indispensable.

10) Existe-t-il un moyen de détecter qu’un site est mal sécurisé ?

Détecter les failles sur un site est un métier, il faudrait beaucoup plus qu’un article pour l’expliquer 😉

Mais certains détails peuvent vous mettre la puce à l’oreille… Par exemple, quand vous vous inscrivez sur un site, parfois on vous envoie un mail pour vous rappeler votre identifiant et votre mot de passe. Si le mot de passe qui vous est envoyé est en clair, ça signifie qu’il est stocké en clair sur le site internet ! C’est (souvent) une preuve de négligence de la sécurité de ses utilisateurs.

Ça marche aussi pour les liens « mot de passe oublié », si on vous renvoi votre mot de passe en clair, c’est mauvais signe.

Ensuite, certains CMS ou certaines applications web affichent leur version. Si vous vous tenez informé des découvertes de vulnérabilités, vous saurez si la version en question contient des failles.

11) Que faire si l’on pense qu’un site n’est pas sécurisé ?

Personnellement je conseillerai de ne pas l’utiliser tant qu’il reste en l’état ou à minima de ne pas y stocker d’informations trop sensibles.

Ensuite, il est recommandé de prévenir le webmaster pour qu’il corrige le problème.

IV) Sécurité informatique et emploi

12) L’emploi est au centre de beaucoup de débats, est-ce que la sécurité informatique est un secteur qui embauche ?

La réponse est oui !

Que ce soit dans le domaine privé ou public (administrations, police, armée …) le nombre des postes à pourvoir est supérieur au nombre de candidats. Il n’y a que peu de cursus universitaires qui étudient en profondeur tous les aspects de la sécurité informatique, les candidats se sont donc formés par eux-même et donc sont en sous-nombre par rapport aux besoin du marché par rapport à d’autres profils qui sortent par milliers tous les ans des universités.

13) Existe-t-il des formations universitaires spécialisées dans ce domaine ?

Ça commence à se mettre en place, certaines universités proposent des Masters en Crypto et Sécurité par exemple et d’autres étudient la mise en place de formations en cyberdéfense.

V) Le mot de la fin

La sécurité Informatique est un monde passionnant, et chaque jour, de nouveaux sujets, de nouveaux vecteurs d’attaque sont découverts et analysés. C’est la garantie pour ceux qui exercent dans ce domaine de ne jamais s’ennuyer.

Si ce milieu vous intéresse ou si vous souhaitez le découvrir, je vous invite à nous suivre notre site Web Intrusio.fr. ou directement sur Twitter @Intrusio

D’ici peu, nous publierons des cours gratuits pour vous initier ou vous perfectionner aux méthodes de Hacking utilisées par les experts en sécurité informatique pour réaliser leurs audits. Chaque sujet sera accompagné de sites en situations réelles que vous pourrez tenter de pirater grâce aux méthodes enseignées.

A propos de l'auteur

Consultant et Chef de Projet Web, je suis aussi Co-Fondateur de WebZeen et créateur du comparateur de prix de jeux vidéo Call of Deal. Passionné par le WebMarketing, le référencement naturel, les réseaux sociaux et la mobilité, mon objectif au fil de mes articles sera de vous présenter mon point de vue et d'échanger avec vous sur ces différents sujets. Bonne lecture

4 commentaires



    • commenter

      Merci pour ce retour. Est-ce qu’il y a un message particulier ?

      Mathias 14 mars 2013 Répondre


  • commenter

    Bonjour,
    Vous avez parlé dans cette article de la sécurité informatique des sites web, il ne faut pas oublier la sécurité des systèmes d’information tout court. Les problématiques de piratage ou de vols de données touchent de plus en plus les petites et moyennes structures. Il est donc nécessaire, quel que soit l’activité et la taille de l’entreprise, d’avoir une politique pour protéger ses données et les sauvegarder.
    Nous avons rédigé un article sur le sujet, je vous le recommande : http://www.ivision.fr/systeme-dinformation-comment-mettre-ses-donnees-a-labri/
    Bonne continuation

    Ivision informatique 25 septembre 2014 Répondre


    • commenter

      Merci pour ton commentaire !

      Bastien 26 septembre 2014 Répondre


Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *