Votre publicité ici avec IMPACT_medias

Faille de sécurité des systèmes de gestion de contenu: la Confédération met en garde

Les gestionnaires de sites Internet facilitent la tâche des pirates Les utilisateurs ne doivent pas négliger les mises à jour, car une grande partie des tentatives de piratage sont placées sur des systèmes de gestion de contenu non actualisés.

29 oct. 2015, 12:40
/ Màj. le 29 oct. 2015 à 13:15
Au premier semestre 2015, des escrocs ont copié des données trouvées dans un CMS et s'en sont servi comme moyen de chantage contre le propriétaire du site.

De nombreux amateurs et PME alimentent leur site Internet en utilisant des systèmes de gestion de contenu. En oubliant d'actualiser ces outils, ils sont une cible idéale pour les pirates informatiques, met en garde la Confédération.

La sécurité des sites Internet est le thème prioritaire du rapport semestriel publié jeudi par la Centrale d'enregistrement et d'analyse pour la sûreté de l'information (MELANI). Des milliers de nouveaux sites sont mis en ligne chaque jour grâce à l'usage de système de gestion de contenu (content management system, CMS) comme WordPress, Typo3, Joomla! et Drupal.

Grâce à eux, les internautes n'ont aucun mal à publier des contenus sans avoir de solides connaissances en informatique. Ces systèmes présentent régulièrement des failles de sécurité pour lesquelles les fabricants proposent généralement très vite des mises à jour ad hoc. En 2014, pas moins de quatorze failles de sécurité ont été découvertes et corrigées dans le logiciel CMS Drupal, neuf dans Joomla!, et même 29 dans Wordpress.

Les internautes ne doivent pas négliger les mises à jour, car une grande partie des tentatives de piratage sont placées sur des CMS non actualisés. Il existe des outils permettant de détecter et d'attaquer des sites vulnérables.

Beaucoup de sites fragiles

En Suisse, 70% des sites utilisant le logiciel Wordpress présentent des failles de sécurité. Au premier semestre 2015, des escrocs ont copié des données trouvées dans le CMS et s'en sont servi comme moyen de chantage contre le propriétaire du site. Les PME sont d'autant plus menacées que leur système de gestion de contenu renferme souvent des données de clients.

Pour optimiser la sécurité, MELANI recommande par ailleurs la mise en place d'une authentification à deux facteurs pour accéder à l'interface d'administrateur. L'accès administrateur devrait être limité à certaines adresses IP et une attention particulière portée à la sécurité de la machine du web master.

Un pare-feu (de type ModSecurity) pour bloquer les attaques de la Toile avant qu'elles n'atteignent l'application visée est également indiqué. Des instructions et des listes de contrôle sont téléchargeables sur le site www.melani.admin.ch.

Votre publicité ici avec IMPACT_medias