9 sites internet sur 10 seraient vulnérables ?

Ou comment jouer sur les peurs des utilisateurs

BinarySEC a diffusé un communiqué de presse portant sur les dangers qui peuvent toucher les serveurs web. Malheureusement, cet éditeur de logiciels de sécurité mélange des faits intéressants à des informations largement exagérées.

Première affirmation, 15 % des sites auraient été piratés. Un élément difficile à vérifier, le propre d’une intrusion étant de demeurer indétectable. BinarySEC part de ce chiffre de 15 % pour donner dans le sensationnalisme facile :

Selon Richard Touret, PDG et cofondateur de BinarySEC, « 9 sites sur 10 sont vulnérables. Dans 75 % des cas, le talon d’Achille concerne les couches applicatives du web. Or seulement 10 % des budgets sécurité des services informatiques sont consacrés à la protection des couches applicatives. C’est exactement sur ces lacunes que comptent les voyous du web. La difficulté est qu’ils passent outre les polices et les législations nationales en agissant de n’importe où dans le monde ».

Si la compagnie a parfaitement raison, nous nous interrogeons sur ce taux de vulnérabilité de 90 %. BinarySEC donne le détail des attaques possibles : vol de données confidentielles, cybersquatting, mise en indisponibilité d’un site par déni de service, manipulation de sites de e-commerce et maquillage de sites.

Ces chiffres prennent alors tout leur sens. Dans ces conditions, nous pouvons même aller plus loin en lançant – nous aussi – un scoop : « 100 % des serveurs web sont vulnérables aux attaques par déni de service ». La belle affaire.

Richard Touret ajoute que « la plupart des postes de travail dans le réseau d’une entreprise ont un antivirus, unantispam, voire unfirewallpersonnel. Mais les sites web – pourtant exposés au monde entier – n’ont aucune protection ! ». Un appel du pied pour ses solutions de sécurité. Nous nous demandons toutefois dans quelle mesure un serveur web, qui ne sert pas de relais d’informations (comme un serveur de courrier électronique, où les recommandations de BinarySEC sont censées) a besoin d’un antispam, voire d’un antivirus. Linux – qui équipe une majorité de serveurs web – n’est pas sensible à ce genre de menaces.

Reste le problème du pare-feu. Au sens strict, son utilisation n’a pas de sens pour une machine dont le but est justement de présenter des services vers l’extérieur. Toutefois, et BinarySEC a tout à fait raison sur ce point, il peut être utile pour bloquer les services « non connus ». Qui peut aujourd’hui connaître la liste complète des processus serveur activés sur une machine ? La complexité des distributions Linux rend la maîtrise de ce paramètre de plus en plus aléatoire.

BinarySEC oublie toutefois la source principale des problèmes liés aux serveurs web : l’accès administrateur. Aujourd’hui, nombre de serveurs sont accessibles en telnet ou en ftp, une véritable porte ouverte pour les pirates.

Un système d’exploitation à jour, un minimum de services actifs, un pare-feu pour bloquer tout port inutilisé, un accès administratif via SSH et des mots de passe solides, voilà la solution qui évitera la plupart des problèmes d’intrusion.