Protégez votre blog des hackeurs

7 mar, 2008 par CharlieArticles similairesInfos

A l’heure où BlogBang se fait hacker (les utilisateurs se font rediriger vers un registrar), ou que de la même façon, WebRankInfo a été dépossédé (le nom de domaine ayant été transféré depuis OVH vers Godaddy), Le Journal du Blog vous propose en trois parties (une chaque semaine) un article à but informatif des considérations et mesures à prendre pour se protéger contre les hackeurs.

Ce sujet a été de nombreuses fois abordé un peu partout sur Internet, mais il convient de faire un petit rappel et surtout d’en énoncer les plus grands principes. On se focalisera bien évidemment principalement sur ce qui nous concerne, à savoir les blogs.

Veuillez noter le fait que cet article n’est pas exhaustif (n’hésitez pas à donner vos autres recommandations en commentaire) et n’entrera pas non plus dans les détails techniques.

Tout d’abord, quels sont les risques ?

Comme vous pouvez vous en douter, ils sont de plusieurs ordres :

Comment les hackeurs s’y prennent-ils ?

Il y a bien évidemment plusieurs façons pour hacker un site, voici quelques unes des méthodes avancées utilisées :

Ou bien, (et c’est cela qui arrive le plus souvent) les hackeurs peuvent subtiliser vos accès car :

  • vous utilisez des ordinateurs publics
  • laissez vos sessions ouvertes
  • stockez vos mots de passe dans les explorateurs web
  • utilisez partout le même mot de passe
  • n’êtes pas discret lorsque vous tapez vos accès dans une zone exposée

Dans les cas ci dessus, le terme « hackeur » n’est peut être pas le plus approprié, car les personnes n’ont rien eu à faire ou presque d’un point de vue technique.

Comment se protéger efficacement ?

Pour commencer, utilisez Firefox ou Opera. Vous pouvez sans trop de soucis naviguer sous Safari mais vraiment en dernier recours sous Internet Explorer.

Pourquoi ? Simplement parce qu’il est bien connu que les hackeurs s’attaquent à la masse. Or les utilisateurs lambda utilisent le plus souvent ces deux derniers explorateurs Web car installés de base sur leurs ordinateurs. Il y aura donc plus de recherche de faille de ce côté-là que sous les explorateurs Web peu connus. D’autres raisons liées à ce choix se trouvent dans ce document très complet.

Conclusion : les hackeurs ont plus souvent à leur disposition des failles sur des explorateurs web dit: « grand public ».

En ce qui concerne maintenant les mots de passe :

  • Privilégiez les longs mots de passe contenant des caractères spéciaux et chiffres
  • Changez vos mots de passe régulièrement
  • Ne stockez jamais vos mots de passe sans les crypter
  • Et surtout ne laissez pas vos explorateurs Web enregistrer vos identifiants!

Pour le dernier point ci-dessus voilà comment faire sous Firefox :
Allez dans Outils puis Option :

screenshot007 Protégez votre blog des hackeurs

Rendez vous maintenant dans la partie Sécurité et décochez : « Enregistrer les mots de passe »

screenshot009 Protégez votre blog des hackeurs

Pour plus de sécurité, cliquez sur l’onglet Vie Privée et décocher l’option surlignée dans l’image suivante :

screenshot010 Protégez votre blog des hackeurs

Les manipulations sont à peu près les même sous tous les explorateurs Web pour un résultat similaire (si vous voulez plus d’explications, n’hésitez pas à nous contacter).

Lorsque vous travaillez en équipe, que vous n’avez pas les compétences pour modifier votre site, ou dans d’autres contextes, il peut arriver le cas où vous ayez besoin de donner vos accès à une tierce personne. Dans ce cas, prévenez-la qu’elle est alors responsable, le temps de son intervention, de la sécurité du site. De préférence, rappelez lui quelques principes de base même si vous pensez que cette personne les connaît. Dès que son intervention est finie, changez tous vos mots de passe en relation direct ou indirect avec le site. En effet, on n’est jamais trop à l’abri en matière de sécurité. Retenez que de façon générale que plus un secret est partagé (ici les accès), plus il y a de risque qu’il soit découvert.

Passons maintenant à la partie que j’intitulerai : Que font les hackers pour accéder aux droits administrateur de nos blogs?

La suite de cet article la semaine prochaine, soyez au rendez-vous!


Vous avez aimé cet article : abonnez-vous au flux RSS !

14 Commentaires »

  1. 4Avatars v0.3.1 v0.3.1

    Dimii le 7 mars 2008:

    Continuer vos articles sur la sécurité des blogs, ceci m’intéresse beaucoup.
    Donc à la semaine prochaine ;)

  2. 4Avatars v0.3.1 v0.3.1

    Roomay le 7 mars 2008:

    C’est dingue l’histoire de Webrankinfo, de quoi rendre légèrement parano.

  3. 4Avatars v0.3.1 v0.3.1

    Charlie le 7 mars 2008:

    Oui, il faut vraiment être méfiant, on n’est à l’abri de rien. Le hackeur était vraiment acharné sur ce coup là…! Heureusement pour lui, il avait déjà pas mal de contacts apparemment.
    En tout cas, je souhaite vraiment bonne chance à Olivier Duchez pour récupérer son DNS, et surtout courage car je sais qu’au niveau de la loi cela prend un certain temps étant donné le fait que les procédures pénales doivent être appliquées à un niveau international. Je pense qu’il le récupèrera vite, je lui fais confiance là dessus.

  4. 4Avatars v0.3.1 v0.3.1

    Matt1113 le 8 mars 2008:

    En effet, la sécurité est un problème, surtout depuis l’affaire de Webrankinfo :s

    Un bon code et un bon navigateur sont la clée de la réussite mais sont souvent impuissant face à de bon hackers… Un jours peut être seront nous tous protégés…

  5. 4Avatars v0.3.1 v0.3.1

    alex de Referencement Blog le 8 mars 2008:

    Salut à tous,

    L’affaire WebRankInfo a effectivement de quoi rendre parano, mais tout le monde n’est pas non plus WRI :D

    A noter que webrankinfo est revenu :D : http://www.webrankinfo.com/

  6. 4Avatars v0.3.1 v0.3.1

    Votre blog et les hackeurs, suite… | Le Journal du Blog le 14 mars 2008:

    [...] opus sur le thème de la sécurité, suite donc du premier article publié la semaine passée. Pour rappel, on en était resté à la [...]

  7. 4Avatars v0.3.1 v0.3.1

    Anonyme le 24 mars 2008:

    Bonjour,
    Attention Blogbang, n’est vraiment pas un site transparent, il est trés facile d’avoir les adresse mail et profils des utilisateurs inscrit, on appel ça du Cross Site Scripting,
    et puisque tu parlais de blogbang, se site est bourré de se type
    faille quand tu post un script dans leur formulaire.
    à l’affichage le script se lance.

    ils ont fait d’énormes erreurs de débutant toutes les transactions du site
    en y incluant la suppréssion d’un compte sont visible, en plus cela est en GET
    cela permet de connaitre qu’elles sont les variables connu par le site pour lançer une action.

    une fois logué, une session utilisateur se créer et à se mmonent on peut faire du Cross Site Scripting.
    sans probleme, inséré un POST dans le formulaire par exemple: alert(”TOTO”);
    Essayez cela fonctionne.
    là, sa va c’est un script gentil qui affiche une alert avec le texte “TOTO” inscrit dessus, mais imaginé quelqu’un qui veut mettre plus qu’un simple alert.

  8. 4Avatars v0.3.1 v0.3.1

    Ravana le 25 mars 2008:

    je suis juste mort de rire !!!!

    mouarf :D

  9. 4Avatars v0.3.1 v0.3.1

    Ravana // Ange ou Démon » Blog Archive » Défiguration de RomainLibeau.com le 25 mars 2008:

    [...] plus ironique… c’est qu’il parlait récemment de sécurité sur le JDB (là et [...]

  10. 4Avatars v0.3.1 v0.3.1

    Gonzague le 26 mars 2008:

    ah tiens à noter que ce billet est dans Tutoriaux et sa suite est dans “dossiers” :-)

  11. 4Avatars v0.3.1 v0.3.1

    Ravana // Ange ou Démon » Blog Archive » Lettre ouverte à Charliend le 27 mars 2008:

    [...] deux articles (ici et là) destiné aux blogueurs partaient d’un excellent sentiment… Malheureusement, tu [...]

  12. 4Avatars v0.3.1 v0.3.1

    Tester la sécurité de votre Blog : Le Journal du Blog le 11 août 2008:

    [...] vous avoir présenté plusieurs manières de protéger votre blog des hackeurs, voici un service vous permettant de tester la sécurité de votre blog. Si vous avez suivi nos [...]

  13. 4Avatars v0.3.1 v0.3.1

    David le 11 août 2008:

    @toutceuxquipensequnboncodesuffit : hum non je ne crois pas trop qu’un bon code suffit, il y a encore les failles dont on a pas forcément pris en compte, exemple : sur une distance de 100m je place des piquets tout les 5m, combien y aura-t-il de piquets ? …
    Voyez ôh combien même les meilleurs développeurs peuvent oublier … C’est bien pour cela qu’il y a des risques …

  14. 4Avatars v0.3.1 v0.3.1

    alex de référencement blog le 11 août 2008:

    Salut David,

    Cela dépend de la largeur des piquets :)
    Je ne comprends pas trop ton exemple, en fait…

Rediger un commentaire