Comment protéger un site web ?

L’idéal serait bien sur que tous les sites web soient programmés correctement, sans aucune failles exploitables etc. Mais ça, on y arrivera jamais. D’abord parce qu’aucun développeur web n’est également expert en sécurité (et que les experts en sécurité ont mieux à faire qu’a créer des sites web…) Ensuite parce que, dans toutes les entreprises, c’est évidement la rentabilité qui prime (et va-y que je délocalise le développement vers les pays qui proposent le meilleure taux horaire, etc).

Du coup, c’est mort, 99% des sites web dans le monde sont très probablement « troués » et avec l’évolution des technologies (html 5) ce sera de pire en pire.

Et la vous allez me dire : Oui mais il existe des « firewall web », qui analysent les requêtes et bloquent les attaques blablabla. Ce serait bien si ça pouvait fonctionner. Sauf que ça ne peut pas. Et ce n’est pas moi qui le dit, mais le directeur technique de DenyAll, petite boite française bien sympathique qui, justement, vend des solutions de protection de ce genre (mod security en prend pour son grade, mais pas que).

Je recommande très vivement à tous ceux qui s’intéresse un peu à la sécurité de jeter un œil à cette présentation. Attention, ça va vite, et si vous ne savez pas déjà parfaitement ce qu’est une injection SQL ou une attaque de type XSS vous serez largué en quelques secondes. Oui, l’accès à cette présentation nécessite de remplir un formulaire à deux balles (email obligatoirement valide pour recevoir le lien) mais faites moi confiance, remplissez le, vous ne le regretterez pas…

Autre présentation (même orateur) : « Html5, danger immédiat » (oui le titre est merdique) disponible sur cette page. Moins technique que la précédente, elle concerne les nouvelles problématiques posées par html5. A voir également donc.

Les plus attentifs de mes lecteurs auront remarqué que je n’ai pas répondu à la question posée dans le titre de ce billet. Je doute qu’il existe une réponse simple à cette question, notamment pour un particulier. Les solutions proposées par DenyAll sont assez efficaces mais aussi totalement inabordables pour le commun des mortels. Donc, en ce qui nous concerne : auto-herbergement, utilisation exclusive de logiciels open source à jours et sauvegardes régulières. Si vous avez de meilleures solutions, je suis preneur.

Pour le reste il faut voir le bon coté des choses. Des sites webs tous piratables, c’est très bien pour l’humanité. Je veux dire, les grands groupes et les gouvernements ont déjà un contrôle bien trop important du net et de nos données. Le fait que leurs systèmes d’informations soient tous intrinsèquement buggués ne peut que rétablir (un peu) l’équilibre…

2 commentaires

  1. LordFPL Répondre

    Le seul ordinateur totalement sécurisé est celui débranché du réseau… et éteint électriquement…
    Ça aide ? Non ? Tant pis j’aurai essayé ^_^

  2. Baronsed Répondre

    LordFPL : eh non :p
    Comme l’explique Mitnick, la principale faille est humaine : manipuler les personnes est souvent plus facile que de pirater le SI. Donc un ordinateur éteint… on peut le faire allumer par celui qu’on manipule.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.