Je vais rapidement vous expliquer les premiers bons réflexes à avoir le jour ou cela vous arrivera. En effet ce n'est pas si cela arrive, mais quand cela vous arrivera. D'ailleurs la dernière étude de Wavestone n'est pas rassurante avec 100 % des sites audités ayant une faille de sécurité (Wavestone Bilan de la Sécurité des sites web en France). Vous allez voir des étapes à respecter sur le process depuis la découverte à la remise en service.
Ceci n’est pas un article technique il faut le lire comme une personne n’ayant pas ou peu de connaissance en sécurité. Les sujets techniques vont faire l’objet d’autres articles.
Edit : depuis octobre 2017 vous pouvez aussi vous rendre directement sur la plate-forme : https://www.cybermalveillance.gouv.fr/
Comment savoir que mon site a été piraté ?
Ou la grande méchante question. Généralement vous recevez l’appel d'un ami, un sms où vous vous en rendez compte par vous-même. Souvent cela est flagrant quand la page de votre site Internet a été changé pour afficher tout autre chose notamment des revendications. C'est ce que l'on appelle un « deface ». C'est très courant et si le pirate à réaliser cela il y a fort à parier qu'il a fait autre chose.
Quand c'est un piratage plus subtil vous allez être avertie par votre navigateur avec un affichage qui peut ressembler à celui de la capture d'écran plus bas, sinon votre anti-virus (et même sous Mac OS) peut vous avertir en cas de code malveillant sur le site. Bien sûr votre prestataire agence-web ou encore hébergeur vous préviendront dès qu'ils auront détecté l'attaque et ce ne sera pas toujours les premiers.
Pour la suite de l'article on va partir du principe que vous avez fait votre site Internet vous-même et que vous avez une prestation d'hébergement quelque part. Mais ces démarches sont aussi valables si vous gérez des sites Internet pour des clients.
Etape 1 : reprendre la main au pirate
Déjà ne vous roulez pas en boule dans un coin, ce n'est pas productif. Un petit juron ou deux pourquoi pas ça peut détendre. Une fois la mauvaise surprise avalée et vos esprits retrouvés, soit 30 secondes plus tard, que faire ?
Lorsque votre site Internet est piraté le plus urgent c'est de le désactiver. Créez une page index.html de maintenance pour prévenir vos internautes. Par contre je vous conseille d'être plutôt évasif et de mettre juste un message du genre « Site en cours de maintenance technique, de retour très bientôt !».
Avant de l'envoyer via FTP sur votre site Internet, connectez-vous à l'interface de gestion de votre hébergeur. Vous allez devoir changer les mots de passes FTP ainsi que les mots de passes des bases de données. Si jamais vous utilisiez un de ces mots de passe ailleurs, c'est mal, mais il faudra ne pas oublier de le changer sur le(s) compte(s) où il est utilisé. Je vous conseille aussi de renforcer le mot de passe d'accès à votre compte chez votre hébergeur.
Une fois que vous avez changé vos mots de passe, installer votre page de maintenance.
Etape 2 : /maintenance-mode on
Je vous conseille de télécharger tout votre site Internet dans un dossier, on verra plus tard pourquoi. Une fois le téléchargement fini n'oubliez pas de passer les fichiers téléchargés à l'antivirus. Pendant que votre anti-virus est au travail supprimez tous les fichiers via FTP de votre site Internet, sauf votre page de maintenance.
Faite une sauvegarde aussi de votre base de données, on reviendra aussi plus tard là-dessus sûr que faire avec. Voilà votre site n'est plus néfaste, ouf ! Que faire maintenant ?
Etape 3 : remise en service ?
C'est la partie la plus compliquée, concrètement il ne faut pas juste renvoyer votre dernière sauvegarde pour restaurer votre site Internet. En effet il a été attaqué soit via une faille dans l'application soit dû à un mot de passe faible sur votre base de données ou votre accès FTP et pourquoi pas sur votre gestion d'hébergement. Ou pire encore c’est le serveur ou est votre site qui a été attaqué. Dans ce dernier cas contacté votre hébergeur rapidement pour avoir des informations et savoir quand pouvoir relancer votre site Internet.
Pour le remettre en service dans de bonne condition c’est plutôt compliqué… En fait vous n’avez que trois solutions :
- Vous êtes expert en sécurité vous auditez votre code et pouvez le corriger (on demande quand même à un confrère de jeter un œil c’est une bonne idée).
- Vous n’êtes pas expert en sécurité à peine développeur, ou développeur non formé à la sécurité, contacter un expert en sécurité pour réparer votre site Internet
- Idem que le cas N°2, mais contacter un expert vous effraie… Appeler la gendarmerie ou la police nationale, elles disposent d’unité spécialisée pour vous accompagner.
Quelle que soit la solution que vous avez retenue il faudra donner votre dernière sauvegarde d’avant l’attaque. Ainsi que ce que vous avez téléchargé à l’étape 2 de cet article.
Conclusion
Si votre site Internet contient des informations personnelles, e-mail, nom, prénom, etc. vous devrez alors en informer la CNIL. Si vous passez par un expert en sécurité il peut vous proposer de faire la démarche pour vous.
Si vous choisissez un prestataire veillez à convenir avec lui d’un suivi annuel du site Internet. Car un site qui a été piraté une fois sera très très régulièrement visité. Il en va de même pour un serveur ou un compte e-mail.
Si vous avez aimez cet article n'hésitez pas à le partager ou me faire vos commentaires via Twitter ou le formulaire de contact du blog.
Crédits images : Designed by Freepik & Designed by Freepik