Avec l’actualité de ce début 2015, la sécurité informatique devient un sujet dont beaucoup de monde parle. Cependant, l’immense majorité des entreprises ne connaissent pas l’étendue des risques liés à la sécurité de leur site. Partie II : La sécurité informatique : un enjeu méconnu et sous-estimé.
- Les boutiques fantôme
Enfin, certains pirates créent pour leur usage personnel, sur un site de e-commerce piraté, une « boutique fantôme ». Ils créent en réalité une nouvelle page, invisible pour les visiteurs normaux et pour l’entreprise, où ils installent leur boutique, en général de produits illicites ou obtenus illicitement. Ainsi, seuls les « connaisseurs » ont accès à cette boutique cachée, via l’URL qu’ils tapent directement. Ici également, le but est lucratif.
Dans tous les cas, le possesseur du site piraté est légalement responsable, même s’il n’est pas au courant de ce qui se trame dans son dos. C’est aussi très mauvais pour son image. Pour faire une analogie, c’est comme si un gérant découvrait, dans la cave de son restaurant de prestige, un réseau de prostitution. Même si le restaurant ignorait que sa cave était utilisée ainsi et que les organisateurs avaient fait forger une clé, il serait légalement responsable et son image en pâtirait.
Dans une moindre mesure, l’utilisation des ressources d’un site par un pirate peut également faire ralentir le site en question, qui aura moins de ressources à disposition pour satisfaire ses visiteurs légitimes. Cela peut avoir des conséquences très importantes : une perte de crédibilité pour un site institutionnel, une perte éventuelle de clients pour les industriels, une perte de revenus potentiels pour les e-Commerçants (57% des acheteurs en ligne abandonnent un site sur lequel ils ont l’intention d’effectuer un achat si la page met plus de 3 secondes à charger).
- Attaque de données et confidentialité
- Attaque sur les utilisateurs du site
Une fois qu’un pirate a pris possession d’un site, il peut modifier son code source. Il a donc notamment la possibilité de rajouter dans ce code source une « commande » qui cause le téléchargement d’un malware, ou virus, sur les appareils des visiteurs du site (ordinateur, tablette, smartphone…). Voir le cas du journal Forbes et la modification d’un de ces widgets. Ce virus permettra au pirate de prendre le contrôle de ces appareils ou de récupérer leurs données. C’est un bon moyen pour le pirate d’augmenter facilement et rapidement son parc de machines.
Là encore, cela donne une très mauvaise image du site, qui va perdre énormément de visiteurs, d’autant plus si c’est l’un d’entre eux qui révèle l’attaque suite à l’utilisation frauduleuse de ses données. De plus, un moteur de recherche tel que Google identifiera le site comme malveillant et agira en conséquence sur son référencement. Le moteur de recherche va prévenir les visiteurs que le site est douteux, ou même complétement leur bloquer l’entrée au site si la connexion n’est pas sécurisée.
- Ciblage des codes sources
Avant d’explorer le sujet de la récupération des bases de données, arrêtons-nous sur un autre type de vol, moins connu : le vol de code source. En effet, certains sites web contiennent des codes source sensibles ou d’excellente qualité, qu’ils ne souhaitent pas voir dévoilés ou utilisés par un tiers ; c’est en réalité un vol de leur expertise. Un pirate peut par exemple créer une copie du site pour l’utiliser à des fins malveillantes, simplement imiter sa mise en page… Il va utiliser un code de qualité sans payer au développeur du code tout le travail de création, qui peut avoir été très long. Même si ce vol n’est pas aussi grave que celui d’un ensemble de numéros de carte bleue, il reste important à noter.
- Vol de bases de données
L’une des plus grandes peurs des entreprises, à raison, est le vol de leur base de données. Enormément d’informations peuvent être récupérées : nom, prénom, informations familiales, nom des enfants et du conjoint, âge, numéros de carte bancaire, de carte d’identité, de sécurité sociale, habitudes d’achats… C’est ce qu’a vécu la boutique français LBO. On entend régulièrement parler de ce type d’attaques, ce n’est que la dernière en date officiellement divulguée.
Il est par exemple tout à fait possible de déterminer, via un site de réservations, quand une famille part en vacances afin de pouvoir aller cambrioler sa maison au bon moment. Cela se fait beaucoup actuellement et ces informations s’achètent facilement auprès des pirates. En fait, en recoupant plusieurs sources, on peut facilement tout savoir sur n’importe qui.
De plus, si un utilisateur s’enregistre sur un site piraté via un compte de réseau social (Facebook, Twitter…), le pirate aura également accès au compte en question, sur lequel il pourra publier du contenu non approuvé.
Les pirates peuvent également usurper l’identité des personnes présentes sur la base de données. Ils peuvent par exemple envoyer des e-mails en leur nom, à leurs amis, afin de tenter d’infecter leurs machines et d’en prendre le contrôle. Il n’y a aucune limite à ce qu’un pirate en possession de ces informations peut faire.
Là encore, c’est l’image du site qui est très affectée, et au-delà l’entreprise. Selon les Echos, en France, une entreprise perd en moyenne 4,5% de ses clients lorsqu’il est découvert qu’un incident a touché l’intégralité de ces données.
- Fraude au paiement
Quand un pirate contrôle une machine, il peut y déposer un programme qui regarde et enregistre tout ce qu’il se passe sur le site correspondant. Ce programme est invisible sans analyse poussée du code source ; il est donc tout à fait possible que l’un d’entre eux soit déjà présent sur votre site. Il a ainsi accès aux identifiants et codes de tous les clients se connectant (ce qui constitue également un vol de données).
Il peut aussi prendre une commission sur toutes les transactions, ou même rediriger certains paiements vers son compte plutôt que celui de l’e-commerçant ; c’est ici du vol pur et simple.
Il lui est également possible de faire du shoplifting : le pirate va utiliser une faille pour ne pas payer le prix demandé par le commerçant, mais un prix qu’il aura fixé lui-même. Il pourra donc payer 1 € un produit qui vaut en réalité 200€. La transaction ayant été complétée sans problème à cause de la faille, l’e-commerçant recevra une confirmation de paiement sans erreur et ne se rendra compte de l’arnaque que trop tard. Une faille de ce type concernant les paiements via Paypal sous la plateforme Magento a d’ailleurs été révélée en 2012. Cette faille a bien sûr été corrigée depuis.
Le but ici est très clair : l’argent. C’est le moyen le plus direct pour un pirate d’en gagner.
- Intrusion
Il est possible d’aller encore plus loin et de ne pas se limiter aux actions touchant le site web. Un pirate peut facilement atteindre le serveur interne de votre entreprise via celui de votre site internet. C’est ce que l’on appelle les attaques par rebond.
En fait, le serveur interne (physique) est souvent relié au serveur hébergeant le site internet via un tunnel VPN. Il s’agit d’une connexion (physique ou virtuelle) transmettant des données chiffrées, permettant au site web d’accéder à des informations contenues dans le serveur interne (par exemple, la base de données clients). Les entreprises s’imaginent que le chiffrement de leurs données suffit à protéger leur Intranet, et que dans le pire des cas seul leur site internet sera piraté.
Mais par l’intermédiaire de nombreux rebonds, il est tout à fait possible d’arriver jusqu’au serveur interne.
Ce risque n’est absolument pas hypothétique. Par exemple, Target a subi en 2014 un vol de données, touchant environ 100 millions de clients via son fournisseur de climatisation. Ce prestataire avait en effet accès au serveur interne de Target pour pouvoir réguler la température des locaux ; il a été la porte d’entrée du pirate.
Il s’agit donc ici d’avoir accès à toutes les informations sur l’entreprise, ses clients, ses locaux, ses employés…
Cela peut même aller jusqu’à l’atteinte physique de l’entreprise : au-delà des données privées et sensibles contenues dans l’Intranet, un pirate peut, par exemple, obtenir le chiffrage des badges d’accès aux locaux et ainsi en créer d’autres, laisser les portes ouvertes, fermer l’accès à tous les badges déjà existants… Cela peut également se traduire par la prise de contrôle du réseau interne : mainmise sur le service téléphonique, accès à l’ensemble des dossiers de l’entreprise (données confidentielles, stratégiques, RH…)
Toutes ces attaques et, en général, le contrôle d’une machine correspondant à un site internet par un pirate peuvent causer la faillite d’une entreprise. C’est ce qui est arrivé à la société MtGox, plateforme d’échange de monnaie virtuelle Bitcoin, après qu’une attaque informatique a causé la disparition de 750 000 bitcoins de clients et 100 000 appartenant à la société. Elle a déposé le bilan en février 2014.
- Les solutions pour protéger votre entreprise
Nous espérons que cet article vous a fait comprendre que toutes les entreprises et tous les sites sont vulnérables aux attaques, et que la sécurité n’est plus un « bonus » à remettre à plus tard, mais bien une nécessité urgente.
Heureusement, il existe des solutions pour se prémunir efficacement contre ces attaques. Prenons l’exemple de CerberHost, une solution développée par NBS System. C’est un Cloud privé de très haute sécurité, composé de 8 couches de protection logicielles et humaines, dont le périmètre de sécurisation s’étend du site web au matériel physique, en passant par les bases de données, l’applicatif, le réseau… Il garantit la sécurité des sites à 99,9%, grâce à une amélioration continue permise par l’équipe R&D. En effet, ces solutions doivent toujours s’adapter pour intégrer les nouveaux types d’attaques, dans un contexte toujours en évolution.
L’objectif, avec ce type de solutions, est de protéger les sites contre tous les cas possibles via une sécurisation optimale et en rendant les attaques trop chère, pénibles ou complexes afin de décourager les pirates et les faire changer de cible. Il est important de mettre votre site entre les mains de personnes compétentes et surtout spécialisées en sécurité, pour le bien de votre entreprise comme celui de vos clients.
Partie I : La sécurité informatique : un enjeu méconnu et sous-estimé.