Compromission de site web : Détournement de trafic

Partager

Vous avez un petit site Internet qui présente vos activités et votre savoir-faire. Ce site web a été mis en place par une société tierce spécialisée dans le domaine (une web-agency) qui se charge en outre de faire les modifications quand cela est nécessaire.
Ce site web est hébergé sur les plateformes d'un opérateur ou prestataire pour un coût de l'ordre de 40€/mois voir moins selon les services souscrits.

Beaucoup de petites sociétés comme les PME/PMI devraient se retrouver dans cette description.

Maintenant, imaginez deux minutes, que votre site web est attaqué par un "pirate". Le grand classique c'est que ce dernier change la page d'accueil afin d'y afficher un message de type "politique" ou "revendicatif" ou alors tout simplement pornographique... Le coté intéressant, c'est que vous rendez rapidement compte (ou l'un de vos clients...) que quelque chose ne tourne pas rond...

Mais cela serait trop simple... trop évident...

Dans le cas présenté par le SANS ISC dans son mémo du Jeudi 9 octobre intitulé "Watch that .htaccess file on your web site" l'attaquant est beaucoup plus astucieux tout en restant diablement efficace.

Via une manipulation d'un fichier de configuration ".htaccess", il détourne les visiteurs vers un autre site que le votre, et ce uniquement si ils arrivent depuis un moteur de recherche...
Si par contre, vous consultez votre site depuis un bookmark ou un lien provenant d'un site d'un partenaire ou d'un mail, la page habituelle s'affiche...

Ce petit fichier ".htaccess" est très souvent "oublié" et parfois même incompris de beaucoup de personnes alors qu'il permet de faire beaucoup de choses intéressantes (bonne ou mauvaises comme c'est ici le cas).

PS: Sans être juriste, votre responsabilité pourrait être engagée si vous n'avez pas fait ce que vous deviez pour sécuriser votre site Internet (ou si vous laissez les choses trainer pour les corriger). Rappelez-vous que c'est votre site qui renvoie les internautes vers des pages pouvant contenir du contenu illicite ou encore des programmes d'exploitation de failles...

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la prise en compte de la sécurité dans le cycle de vie des produits et services. Je suis passionné par la sécurité informatique et prends énormément de plaisir à partager cette passion via des vidéos, présentations et articles. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens. Vous avez des questions, des idées, des propositions : vous savez où me trouver ! :-)