Portail officiel de la sécurité informatique - ANSSI - République française

• Je suis...
  • Particulier
  • Entreprise
  •  
• Je cherche...
  • Autoformation
  • Fiche technique
  • Guide de configuration
  • Mémento
  • Question/Réponse
  • Une solution pour me protéger
  • Passeport de conseils aux voyageurs
  • Lien
  •  
• Actualités
  • Alertes
  • Faits marquants
  • Technique
  •  

Fiches techniques

Défiguration de site

Qu’est que c’est ?

La défiguration consiste à endommager l’apparence d’un site internet, par exemple en modifiant, ajoutant ou supprimant la page d’accueil ou une autre page.

Cette action est aussi appelée barbouillage (defacement).

Défiguration

Dois-je m’en préoccuper et pourquoi ?

Dès lors que l’on met en place un site ou un blog connecté à l’internet le risque d’attaque par défiguration existe.

Ce que l’on risque au premier abord, c’est l’atteinte à l’image de marque. La suppression d’une page, surtout si c’est la page de garde, laisse penser à un site mal entretenu. La modification ou l’ajout d’une page peut donner également cette impression, mais les propos tenus ou les images montrées dans cette nouvelle page peuvent être jugés offensant et entacher à tort la réputation du propriétaire du site.

Il ne faut pas se limiter à ce seul risque. La défiguration, bien que désagréable, est bien souvent le symptôme d’un problème de sécurité plus profond et pouvant avoir des conséquences bien plus graves que la simple atteinte à l’image. De la même façon qu’un commerçant qui constate que les objets qu’il a déposés dans sa vitrine ont été déplacés, remplacés ou ont disparu peut penser à une effraction dans sa boutique, le responsable d’un site doit voir dans la défiguration le symptôme d’une intrusion dans son système d’information.

Mon site n’intéresse personne, je ne suis pas concerné

Il existe sans doute chez l’auteur de ce genre d’attaque informatique une sorte de fierté lorsqu’il s’attaque à un site prestigieux. Toutefois, tous les barbouilleurs n’ont pas le talent ou l’audace nécessaire pour s’attaquer à un site de renom. Bien souvent, ils se contentent d’un site qu’ils sont capables de barbouiller. Cela permet de "faire du chiffre" en ayant de nombreux sites défigurés à leur actif.

Si l’on reprend l’image de l’effraction dans une boutique, l’intrus n’y entre pas obligatoirement parce qu’il espère y trouver une caisse bien remplie, mais bien plutôt parce qu’il a trouvé des serrures faciles à fracturer.

Bien souvent dans les barbouillages, comme dans de nombreuses attaques informatiques, l’agresseur ne choisit pas sa cible en fonction de ce qu’elle représente mais plutôt en fonction de ce qu’il sait faire. L’analyse de certaines attaques montre clairement que l’agresseur cherche des sites qui sont fait avec certaines applications connues pour être (momentanément) fragiles.

Qu’elles sont les facteurs de risques ?

Le CERTA a analysé de très nombreux incidents de défigurations de sites. Son expérience le conduit à énoncer quelques mauvaises pratiques qui accentuent considérablement les risques de voir son site barbouillé :

Site oublié

Il arrive souvent de monter un site pour un évènement : par exemple, le site destiné à recenser les évènements organisés à l’occasion de la commémoration des 100 ans de la naissance d’un écrivain. Lorsque l’évènement pour lequel il a été créé est passé, l’équipe qui en avait la responsabilité est souvent engagée sur d’autres activités, si bien que, petit à petit, le site est oublié. Les mises à jour de sécurité ne sont pas appliquées, le nom de domaine n’est pas renouvelé... La sécurité du site se dégrade progressivement et au bout de quelques années, voire simplement de quelques mois, le site devient une proie facile pour un agresseur débutant.

Hébergement mutualisé

Les sociétés qui hébergent les sites offrent généralement une gamme de prestations relativement bon marché basées sur l’hébergement mutualisé. Il s’agit de d’accueillir plusieurs sites sur une même machine. Le prix est suffisamment attractif pour que cette sorte d’hébergement soit très populaire. Toutefois, ce type d’hébergement présente des risques importants au regard du barbouillage.

Une chaîne est aussi solide que son maillon le plus faible. Dans le cas de l’hébergement mutualisé, il suffit en général qu’un seul site sur les (centaines de) sites hébergés sur une même machine soit vulnérable pour que tous les autres vivent sous la menace d’un barbouillage.

Pour bien se remettre d’un incident de sécurité informatique, il faut faire le bon diagnostic. Pour cela il est important d’ausculter (on parle d’autopsie numérique ou d’analyse post-mortem comme dans la médecine légale) toute la machine victime de l’attaque. En général, les hébergeurs sont réticents à donner accès à la machine toute entière, donc bien souvent l’autopsie n’est pas faite correctement.

Si toutefois ce droit d’accès à toute la machine était accordé au responsable d’un autre site victime du barbouillage, ce dernier pourrait prendre connaissance du contenu de tous les autres sites, de leur journaux de consultations... ce qui poserait des problèmes de confidentialité ou de vie privée évidents.

Mauvaise configuration

De nombreux sites sont barbouillés parce que les logiciels sur lesquels ils s’appuient ont été installés tels quels. Or, un certain nombre de configurations par défaut doivent être adaptées pour atteindre un bon niveau de sécurité.

D’autres barbouillages ont lieu parce que les solutions sécurisées de mise à jour du site étaient inconnues ou jugées trop contraignantes si bien que le monde entier était autorisé à changer les pages du site.

Mauvaise réaction

La façon de réagir à un incident de barbouillage n’est pas neutre sur la récidive. Les mêmes causes (sites vulnérables dont les vulnérabilités sont facilement exploitables) vont invariablement produire les mêmes effets. Ne pas chercher à connaître la vulnérabilité qui a permis l’attaque, ne pas boucher les trous de sécurité dont on a connaissance ne peut que conduire à la réitération d’intrusions pouvant avoir des conséquences bien plus graves.

Bien des récidives sont dues à une réaction qui consiste à simplement "mettre la poussière sous le tapis" (restituer ou supprimer la page du barbouillage). C’est largement insuffisant.

Comment réagir ?

Une défiguration, même si elle n’est pas plaisante, doit être considérée comme un symptôme grave d’une attaque informatique. Le CERTA maintient sur son site une note d’information sur les bons réflexes en cas d’intrusion.

Pour aller plus loin