La chronique sécurité de Paul : « Ne pas en dire trop »

Paul Chronique Sécurité SiebmanB

Paul est encore étudiant mais il a déjà sérieusement un pied dans le monde de la sécurité via plusieurs publications dans des magazines. Alors qu’il s’apprête à intégrer l’école que je m’apprête à quitter, il a accepté de faire partager sa passion. Le sujet me semble bien en rapport avec ma ligne éditoriale étant donné l’importance de la sécurité pour tous ceux qui montent un business basé sur un site web… Beaucoup connaissent sûrement ces techniques et astuces, mais un rafraîchissement de mémoire est toujours bon ! Paul sera donc l’auteur d’une chronique sécurité récurrente sur ce blog.

Son profil Linkedin.

Introduction
Bonjour tout le monde !

Je m’appelle Paul et suis actuellement en DUT Informatique ! J’ai eu des contacts avec Bastien pendant plusieurs mois et ce dernier m’a proposé d’écrire un article sur son blog concernant la sécurité, bien entendu, j’ai sauté sur l’occasion, ça se refuse pas.

Je vais donc essayer de faire en sorte de vous expliquer certaines marches à suivre, méthodologies à respecter si on veut que son application Web soit plus « sécurisée ». Il est clair qu’on est jamais protégé, et l’ombre d’une menace n’est jamais loin. Le milieu de la sécurité informatique est en effervescence et les 0-day (vulnérabilités que l’on va utiliser sans que le patch ou la solution adéquate soit sortie) pleuvent sur la Toile, il faut donc toujours rester aux aguets.

C’est parti, en route vers le magnifique monde des failles Web et des moyens pour se défendre.

Je vais réutiliser dans ma petite étude certains éléments de Bastien qui ont été énoncés dans son article précédent.

Le problème
Pour commencer, il faut faire en sorte de donner le moins d’informations possible à un attaquant comme où on habite, notre numéro de téléphone personnel etc. Je sens les réflexions venir : « J’ai jamais mis ça comme ça sur Internet moi ! Comment il peut remonter ? »

Si vous créez un site, obligatoirement, vous avez un nom de domaine, et au moment de l’enregistrement, vous insérez certains éléments de votre vie privée. Il suffit que le pirate utilise le service WhoIS (Who-is ?) :  « Qui est-ce » en anglais est un service qui permet de retrouver de nombreuses informations concernant un nom de domaine spécifique. Il arrive ainsi à récupérer des informations confidentielles comme des directeurs de service informatique, des adresses e-mail, des adresses privées etc.

Une recherche Google permet de trouver de nombreux sites qui offrent des services « Whois ».

Comme je le disais, donner le moins d’informations à une personne qui vous veut du mal est une première étape à comprendre. Pour cela, comme le dit bien Bastien, tout faire pour éviter du « Directory Listing » ou Listing de répertoire.

2 solutions
Pour cela, vous pouvez utiliser un .htaccess (fichiers de configuration d’Apache qui permettent de définir des règles d’accès concernant certains répertoires). Ne vous arrachez pas les cheveux maintenant, c’est super simple ! Ces fichiers vous permettent d’écrire des règles dedans, et quand une personne voudra accéder à un dossier spécifique, le serveur regardera d’abord dans le fichier .htaccess s’il a les droits nécessaires.

Autre solution beaucoup plus simple est de placer un fichier index.php / index.html / index.htm, … à la base de votre dossier. Dès lors, il n’y aura plus de « Directory Listing » et si la personne souhaite voir tous les fichiers du répertoire, elle ne tombera que sur le fichier index.html / index.htm / index.php, …

Si vous utilisez du PHP ou tout autre langage pour avoir ce qu’on appelle un site « dynamique », faites-en sorte de ne pas laisser de fichier de configuration ou d’informations comme phpinfo. « phpinfo ? késako ? », De base phpinfo() est une fonction de PHP qui permet, comme son nom l’indique, de voir de nombreuses informations concernant PHP.

Dès lors, en fonction de la configuration du serveur, on peut en déduire et donc réaliser l’une ou l’autre attaque.

Une réponse à “La chronique sécurité de Paul : « Ne pas en dire trop »”

  1. André dit :

    Merci Paul! J’ai hâte de lire la suite de tes chroniques 🙂

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *