Faille de sécurité des systèmes de gestion de contenu: la Confédération met en garde

chargement

Criminalité informatique Les gestionnaires de sites Internet facilitent la tâche des pirates Les utilisateurs ne doivent pas négliger les mises à jour, car une grande partie des tentatives de piratage sont placées sur des systèmes de gestion de contenu non actualisés.

  29.10.2015, 12:40
Au premier semestre 2015, des escrocs ont copié des données trouvées dans un CMS et s'en sont servi comme moyen de chantage contre le propriétaire du site.

De nombreux amateurs et PME alimentent leur site Internet en utilisant des systèmes de gestion de contenu. En oubliant d'actualiser ces outils, ils sont une cible idéale pour les pirates informatiques, met en garde la Confédération.

La sécurité des sites Internet est le thème prioritaire du rapport semestriel publié jeudi par la Centrale d'enregistrement et d'analyse pour la sûreté de l'information (MELANI). Des milliers de nouveaux sites sont mis en ligne chaque jour grâce à l'usage de système de gestion de contenu (content management system, CMS) comme WordPress, Typo3, Joomla! et Drupal.

Grâce à eux, les internautes n'ont aucun mal à publier des contenus sans avoir de solides connaissances en informatique. Ces systèmes présentent régulièrement des failles de sécurité pour lesquelles les fabricants proposent généralement très vite des mises à jour ad hoc. En 2014, pas moins de quatorze failles de sécurité ont été découvertes et corrigées dans le logiciel CMS Drupal, neuf dans Joomla!, et même 29 dans Wordpress.

Les internautes ne doivent pas négliger les mises à jour, car une grande partie des tentatives de piratage sont placées sur des CMS non actualisés. Il existe des outils permettant de détecter et d'attaquer des sites vulnérables.

Beaucoup de sites fragiles

En Suisse, 70% des sites utilisant le logiciel Wordpress présentent des failles de sécurité. Au premier semestre 2015, des escrocs ont copié des données trouvées dans le CMS et s'en sont servi comme moyen de chantage contre le propriétaire du site. Les PME sont d'autant plus menacées que leur système de gestion de contenu renferme souvent des données de clients.

Pour optimiser la sécurité, MELANI recommande par ailleurs la mise en place d'une authentification à deux facteurs pour accéder à l'interface d'administrateur. L'accès administrateur devrait être limité à certaines adresses IP et une attention particulière portée à la sécurité de la machine du web master.

Un pare-feu (de type ModSecurity) pour bloquer les attaques de la Toile avant qu'elles n'atteignent l'application visée est également indiqué. Des instructions et des listes de contrôle sont téléchargeables sur le site www.melani.admin.ch.

ATS

Résumé du jour

Ne ratez plus rien de l'actualité locale !

Abonnez-vous à notre newsletter et recevez chaque soir toutes les infos essentielles de la journée!

Recevez chaque soir les infos essentielles de la journée !

Résumé de la semaine

Ne ratez plus rien de l'actu locale !

Abonnez-vous à notre newsletter et recevez chaque samedi toutes les infos essentielles de la semaine !

Recevez chaque samedi les infos essentielles de la semaine !

À lire aussi...

PandémieCoronavirus: toutes les nouvelles de ce lundi 2 aoûtCoronavirus: toutes les nouvelles de ce lundi 2 août

Il s’est passé quoi?Les 5 infos à retenir dans l’actu suisse de ce lundi 2 aoûtLes 5 infos à retenir dans l’actu suisse de ce lundi 2 août

JusticeAncien chef du SECO: aucun contrat signé par lui-mêmeAncien chef du SECO: aucun contrat signé par lui-même

BlocusZurich: UBS et Credit Suisse visés par des activistes du climat, 83 arrestationsZurich: UBS et Credit Suisse visés par des activistes du climat, 83 arrestations

ArboricultureAbricots: des étudiants de l’Université de Lausanne veulent utiliser la génétique pour lutter contre le gelAbricots: des étudiants de l’Université de Lausanne veulent utiliser la génétique pour lutter contre le gel

Top