Ma vie privée, mes idées, mon oeuvre...

Aller au contenu | Aller au menu | Aller à la recherche

Mot-clé - hacker

Fil des billets

samedi, août 24 2013

Attaques en cours, protégez vos sites !

Par Patrick P. le samedi, août 24 2013, 09:59 - Internet

Il y a en permanence des attaques sur le oueb, on ne s'en aperçoit en général pas sauf quand c'est massif comme en ce moment contre les blogs WordPress.

C'est un peu l'avantage et l'inconvénient du oueb : les bons projets open source se retrouvent vite sur de très nombreux sites. Du coup, la moindre faille exploitée peut faire des ravages.

WordPress est globalement fiable, tant qu'on n'installe pas n'importe quoi comme thème ou extension et qu'on met en place des utilisateurs / mots de passe corrects.

Si vous n'y connaissez pas grand chose en sécurité informatique et en protection de votre blog, Gonzague Dambricourt avait bien résumé les trucs de base en avril. Je vous laisse lire tout ça et le mettre en place.

samedi, août 11 2012

Et deux de plus...

Par Patrick P. le samedi, août 11 2012, 15:05 - Informatique

Et oui, pas moins de deux histoires parlant de pertes de données ou de fuites se sont encore répandues cette semaine.

La première relate les pertes de données d'un journaliste suite à une attaque bien menée par un hacker. L'agresseur n'a eu qu'à passer quelques coups de fil au bon endroit pour obtenir à la fois les mots de passe et les emails du journaliste, mais du coup ça lui a permis d'en effacer les données numériques. L'histoire a été reprise par Le Figaro.

La seconde affaire est liée à des fuites d'informations personnelles. Après les sites de ecommerce et de stockage en ligne, c'est au tour des éditeurs de jeux massivement multijoueurs comme Blizzard. Voyez ce qu'il s'est produit sur Gizmodo qui en a révélé l'histoire.

Maintenant, j'aurais envie de dire à qui le tour ?

Pour que ça ne vous arrive pas, vous ne pouvez rien faire... quelqu'un qui veut accéder quelque part, en a les moyens ou les connaissance, trouvera toujours une porte d'entrée.

Tout ce que vous pouvez faire est de vous protéger au maximum : des mots de passes et des pseudos différents pour chaque site, plusieurs backups offline de toutes vos données dans des lieux différents.`

Passez un bon week-end ensoleillé et dormez sur vos deux oreilles (ce qui physiologiquement parlant n'est pas très facile à faire sans rouleau compresseur) !

jeudi, août 2 2012

Sécurité informatique et sites en ligne

Par Patrick P. le jeudi, août 2 2012, 18:32 - Informatique

La série de fuites de données privées continue sur le web.

La semaine dernière on apprenait que des comptes Dropbox avaient fuité suite à une erreur de manipulation d'un employé de Dropbox qui stockait ces données sur son compte, protégé par le même mot de passe qu'il utilisait sur un autre site internet s'étaient fait pirater. Qui dit même mot de passe, dit accès à toutes ses infos et par conséquent accès à tout ce qu'il met en ligne.

Aujourd'hui c'est au tour du site Pearl de se faire hacker et de voir les données de ses clients diffusées sur Internet. Leur erreur qui va coûter cher aux personnes dont les données vont circuler ? Ne pas crypter les mots de passe de leurs clients !

Du coup, si vous avez acheté chez Pearl et que vous utilisez toujours le même mot de passe sur d'autres sites (ou la même façon de créer des mots de passe), changez les sur TOUS LES SITES sur lesquels vous êtes inscrit !

Ce qui n'est pas normal, c'est que des informations bancaires auraient aussi pu être récupérées. Normalement, en France, les commerçants ne sont pas censés conserver les numéros de carte bancaire de leurs clients... mais bon, y a toujours des gros sites qui s'en foutent et les gardent pour "simplifier l'expérience d'achat et accélérer ce processus pour leurs clients". Résultat, quand ils se font pirater, ce sont encore les clients qui en prennent pour leur grade.

Si vos coordonnées bancaires sont stockées quelque part, demandez systématiquement leur suppression, ou prenez des abonnements à des cartes bancaires virtuelles comme le proposent certaines banques. Comme ça le numéro ne peut servir qu'une fois pour un montant fixe et ça n'est pas grave s'il circule après.

Quand vous créez des mots de passe, faites la méthode la plus simple : l'appui au hasard sur le clavier de l'ordinateur. C'est pas pratique, mais au moins vous êtes tranquilles.

Et je ne le répéterai jamais assez : faites des sauvegardes de tout ce que vous faites, conservez ces backups sur supports non connectés à Internet et hors de chez vous... et surtout contrôlez vos relevés bancaires. C'est fastidieux, mais ça évite de mauvaises surprises par le prélèvement en douce de petites sommes régulièrement.

mercredi, octobre 27 2010

Vague d'attaque contre phpMyAdmin, une de plus...

Par Patrick P. le mercredi, octobre 27 2010, 22:10 - Internet

OVH a lancé une nouvelle alerte ce soir à ses clients inscrits sur leurs mailings listes.

Une nouvelle fois une vague massive de scans de phpMyAdmin (et d'autres softs open source) est en cours depuis plusieurs jours et des attaques anciennes ont été lancées sur les machines vulnérables.

Je viens de contrôler les logs de mes machines, elles font partie de celles qui subissent régulièrement les scans. Pour le moment aucun n'a abouti à une attaque, mais j'en ai raz le bol de mettre à jour les softs chaque semaine sur tous les serveurs. Par conséquent, je viens de retirer phpMyAdmin de mes hébergements.

Comme indiqué sur le site d'Olf Software à compter de ce jour phpMyAdmin est interdit sur mes machines et je fournirai dans les jours qui viennent une version isolée sur une machine séparée pour tous mes clients.

Si vous avez installé phpMyAdmin sur l'un de vos sites ou serveur, chez moi ou ailleurs, pensez soit à le protéger par htaccess (le dossier complet, pas juste le programme de connexion), soit à le retirer purement et simplement et utiliser la version fournie par votre hébergeur.

Dans les logs de scans, j'ai trouvé des perles qui démontrent que les développeurs de ces logiciels open source n'ont (ou n'avaient) aucune notion de sécurisation de quoi que ce soit. Ca saoule de voir des bidouilleurs avoir un tel potentiel de nocivité sur l'internet en général juste par manque de réflexion... sur des logiciels que nous sommes trop nombreux à considérer comme des références et à installer massivement !

Quoiqu'on en dise, les logiciels propriétaires ont un gros avantage par rapport aux logiciels open source : leurs failles ne sont pas décelables facilement car leur source n'est pas lisibles par ceux qui passent leur temps à chercher un moyen d'attaquer tout le monde. Ok les logiciels open source sont corrigé plus vite, mais voilà, leurs utilisateurs ne sont pas au courant ou ne font pas les mises à jour, ce qui revient au même par rapport aux logiciels propriétaires.

Voici quelques rappels pour vos sites :

  • n'utilisez que des logiciels à jour et vérifiez qu'ils le restent
  • appliquez systématiquement tous les correctifs disponibles (même si ceux ci entraînent d'autres bogues)
  • n'utilisez que le strict nécessaire, évitez d'installer tout et n'importe quoi juste parce que quelqu'un vous a dit que c'était bien, si ce n'est ni utile, ni utilisé
  • lorsque vous faites des tests, faites les en dehors de vos sites, soit en local (WAMP, EasyPHP et d'autres solutions vous permettent de travailler sans serveur sur PC comme sur Mac) soit sur un hébergement séparé du reste et que vous effacez complètement après vos tests

Si vous programmez :

  • testez systématiquement tous les paramètres que l'on passe à vos programmes,
  • n'utilisez JAMAIS de chemin d'accès en paramètre ni de nom de fichier sans l'avoir au préalable contrôlé (les trucs du style ?page=modele/mapage.html est à proscrire car on peut très bien mettre ?page=/etc/htpasswd et afficher les mots de passe du serveur quand celui-ci 'est pas sécurisé)
  • utilisez systématiquement une fonction d'échappement lorsque vous passez des paramètres à une requète SQL : mysql_real_escape_string() est à privilégier par rapport à tout le reste

Et pensez systématiquement à faire des sauvegardes de votre travail, que votre hébergeur en fasse de son côté ou pas (et je rappelle au passage que je n'en fais pas pour les données de mes clients, donc prenez vos précautions).

Une dernière chose : sauf cas particulier sur lesquels je n'ai pas eu le choix, safe_mode et openbase_dir sont configurés sur tous les hébergements que je propose.

Ce n'est pas pour le plaisir d'embêter mes clients à gérer proprement les chemins d'accès aux programmes ou les droits sur les fichiers, c'est qu'à force de voir des failles dans des sites de clients qui en impactaient d'autres, j'ai été contraint de les mettre en place. Ca vous saoule pour créer des dossiers via Apache, c'est normal, mais il y a des façons d'éviter le soucis et de rester sécurisé grâce à ces protections. Ne les désactivez que si je vous l'autorise et que si nous n'avons pas trouvé d'autre solution.

Bizarrement, les logiciels qui ont un soucis avec le safe_mode sont justement des logiciels open source alors que des développements faits maisons, proprement, l'ont rarement...

Tout ceci étant dit, prenez vos précautions dès maintenant si vous avez un logiciel open source sur votre site : vérifiez que les accès à sa configuration n'utilisent pas les mots de passe par défaut, que le dossier d'admin est bien sécurisé et que le logiciel concerné est à jour.