Comprendre la sécurité web - Christophe Villeneuve
Titre : Création de Comprendre la sécurité web
Intervenant : Christophe Villeneuve alias
Lieu : Ubuntu Party - Paris
Date : Novembre 2016
Durée : 42 min 59
Licence de la transcription : Verbatim
Statut : Transcrit MO
00’
Bonjour à tous et bonjour à toutes. Là il y avait une petite image, elle sera mise dans les slides ; je n’ai pas compris pourquoi elle a disparu, mais bon, il y avait un petit bouclier avec un petit chevalier qui était en train d’essayer de pénétrer et de transpercer le bouclier. Donc je trouvais ça rigolo. Mais vous la verrez après.
Donc tout d’abord qui je suis ? Je suis Christophe Villeuneuve. Je suis consultant pour l’entreprise AUSY. On est ISO, je ne sais plus le numéro, mais c’est autour de la sécurité donc on est impliqués. Je suis aussi impliqué dans tout ce qui est autour de PHP, MariaDB. Je suis aussi représentant de Mozilla et puis aussi Drupal. Et puis, bien entendu, j’ai amené deux compagnons, on va dire, deux éléphants qui sont là, qui sont toujours très friands de trouver des familles d’adoption et ils sont toujours là aussi pour ramener des bonnes connaissances et des bonnes nouvelles auprès de leur famille et de tout le monde.
Je suis aussi auteur du livre Drupal avancé, donc autour du CMS. Et les problématiques de sécurité de sites web, j’ai un certain vécu et tout ce dont on va parler aujourd’hui, il y a certains des cas que j’ai eu la joie et la tristesse aussi de bénéficier, c’est-à-dire me faire pirater. Oui, avant que je me mette vraiment dans la sécurité, parce que c’est toujours très gênant, pour vous je ne sais pas, mais pour l’avenir, lorsqu’on se fait pirater un site internet, c’est toujours désastreux. Pas au niveau utilisation, mais au niveau conséquences. Et là, les conséquences c’est important, donc on va essayer d’anticiper ces conséquences et surtout éviter l’inévitable c’est-à-dire « mince j’ai un joli site, mais il s’est fait hacker. »
Bien entendu quelques petits évènements de cette année que j’ai pu organiser.
Quand on parle de sécurité, souvent, quand on était jeunes, enfin quand moi j’étais jeune, pour vous je pense que peut-être vous avez déjà eu peur, mais souvent « moi je n’ai pas peur, je ne crains pas la sécurité, c’est pour les autres. Ça ne sert à rien, ce n’est pas le but. Ce n’est pas pour nous, c’est pour les autres. Donc moi je suis tranquille, je ne fais que des choses propres. » Souvent c’est ça que mes collègues ou d’autres personnes, quand je discute, me disent : « Non, non, moi ça va très bien. Les attaques, ah, ah, je rigole, je n’en bénéficie pas. » Manque de pot, à l’heure d’aujourd’hui, il y a 10 ans on disait la même chose et aujourd’hui on le dit encore, toujours, que les attaques ça touche toue le monde. Qu’elle que soit la méthode, qu’elle que soit la technique et même à votre insu vous pouvez vous faire attaquer sans vous en rendre compte.
Donc toutes ces notions, cette approche, vous allez avoir peur. Alors ne soyez pas triste, parce qu’à la fin de la session il y a quand même des solutions, mais souvent, quand j’aborde cette thématique autour des sites web, eh bien, souvent après j’ai des questions me disant : « C’est vrai tout ça ? » Donc oui, il y a des choses qui sont vraies, il y a des choses que je ne vais pas pouvoir vous dire ici, que je pourrai vous dire sur le site de Mozilla, tout à l’heure, si vous venez me voir, mais il y a des choses qui peuvent faire très peur. Mais on n’est pas là pour prévoir le pire, on est là pour éviter le pire.
Donc quand on parle souvent de sécurité eh bien on a ces petites notions de : « Ça ne sert à rien. C’est pour les autres. La sécurité je ne m’en occupe pas. Je n’ai pas besoin d’antivirus, je suis protégé. » Mais manque de pot, même si vous ramenez une clef USB, même si vous allez sur Internet eh bien déjà l’Internet, c’est déjà une faille de sécurité. Oui ! Déjà juste en allumant votre ordinateur c’est déjà une faille de sécurité parce qu’il n’y a énormément de choses dont vous n’avez pas le contrôle et qui dit ne pas avoir le contrôle dit envoyer les informations où quelqu’un peut faire, à l’insu de votre plein gré, des opérations que vous ne souhaitez pas.
Pourquoi parle-t-on de sécurité ? Parce qu’il y a toujours des menaces. On les entend à la radio, on les entend au Journal de 20 heures, mais nous, la sécurité numérique il faut penser que depuis toujours eh bien les hackers, les pirates, toutes ces personnes qui ont des plus ou moins bonnes ou mauvaise intention vont essayer de trouver quelque chose, comme la petite souris, le moyen de récupérer – là ici c’est le morceau de gruyère, même s’il y a le piège – eh bien le hacker, c’est ça. Il va essayer de trouver par n’importe quelle manière de pouvoir pénétrer dans votre site internet. Les risques eh bien c’est de se faire hacker, c’est-à-dire une jolie page noire, où il y a marqué « hacké ». C’est toujours dommageable surtout quand c’est quelqu’un de votre famille qui vous appelle en disant : « Eh ! Ton site on ne peut plus consulter l’information ! »
Les conséquences, quand on se fait pirater, c’est que si votre site est fixe, c’est-à-dire des pages qui ne bougent pas, il n’y a pas de bases de données, ce n’est que du contenu, ce n’est pas très gênant. Et encore, on peut se servir de cet espace comme de zone de stockage, c’est-à-dire que votre site ne sera plus du tout accessible. Par contre, s’il possède une base de données, vous allez être confronté à un carnet d’adresses. Donc le carnet d’adresses va être aspiré vers l’extérieur, sans que vous ne vous en rendiez compte. Vous allez perdre des données. Vous allez me dire : « Bon, ce n’est pas grave, j’ai juste quelques données, quelques contenus, je peux les retaper ». Oui, quand c’est un site personnel, quand c’est un blog, quand c’est un site vitrine. Mais lorsqu’on parle de vitrine, c’est aussi un risque. Parce que la vitrine, c’est la vitrine, l’image que vous faites pour vous, pour la compagnie, pour la société où vous bossez. Et si vous faites quelque chose et que la compagnie, d’un seul coup, voit que son site se fait pirater, ce n’est pas bon du tout pour son image, pour continuer sa survie dans les mois et les années après.
Pour cela, il existe énormément de pistes pour savoir si les outils, ce que vous avez l’habitude d’utiliser peuvent être à jour. C’est-à-dire, je ne sais pas si vous faites des sites internet, on va dire que oui, vous faites des sites avec un WordPress, un Dotclear, avec un CMS, un Framework, des langages plus compliqués, eh bien tous ceux-ci ont une vie, c’est-à-dire que, régulièrement, il y a des mises à jour comme un logiciel bureautique que vous utilisez tous les jours, un logiciel Windows, un Linux, un LibreOffice, régulièrement vous voyez des mises à jour. Il faut les mettre en place, il faut les appliquer. Le site internet c’est la même chose, parce qu’il y a des choses que référencent des bibliothèques de failles qui s’appellent CVE security[1] où comme là, là je l’ai téléchargée il y a quelques heures, c’est-à-dire qu’il y a quand même en failles très critiques il y a 11 929 sites outils qui sont identifiés, comme quoi on peut pirater. On ne va pas entrer dans les détails, mais ça va impacter tout.
Moi ce que j’ai fait, je m’en excuse auprès d’Ubuntu puisqu’ils m’ont accordé de venir ici, j’ai regardé Ubuntu. Ubuntu que vous avez pu utiliser ou télécharger ou installer, puisqu’on est dans une Ubuntu Party, et donc j’ai regardé et je vois qu’en 2016 eh bien il y a quand même encore pas mal de failles de sécurité qui ont été identifiées. C’est-à-dire que le système d’exploitation, aussi, bénéficie de risques de failles, de prises de contrôle, différentes attaques de piraterie. Lorsqu’on clique sur une, là c’était une faille XSS, heureusement on a l’information comme quoi la faille a été détectée telle date et là vous voyez, une semaine après, elle a été corrigée. Donc si vous mettez à jour, comme ici Ubuntu, eh bien vous êtes sauvé parce que les mises à jour sont faites. Le seul risque c’est que vous avez 7 jours avec des failles et des susceptibilités de vous faire pirater.
Cependant, les vulnérabilités sont souvent connues. Lorsqu’on fait un site internet, eh bien souvent on oublie de tester la sécurité. Vous faites votre site internet, vous faites votre habillage, vous faites votre contenu, tout est beau, et vous le mettez en production. Le seul problème c’est que le CMS que vous avez utilisé, vous n’avez pas ajouté les modules de sécurité, c’est-à-dire que dans les préférences, où ce sont des extensions supplémentaires, il faut les activer. Lorsque vous activez ces extensions, eh bien vous allez avoir une sécurité supplémentaire fournie par le CMS, le Framework, l’outil que vous utilisez. Si vous n’activez pas ces cases-là, vous allez être confronté à un risque de faille de sécurité.
09’ 30
Il y a aussi beaucoup aussi d’évolutions,