Saison 3, Épisode 2,5 : Cyber Attaques > YWC.TRADE

Saison 3, Épisode 2,5 : Cyber attaques

Oui je sais cela peut paraitre étrange un épisode 2,5, mais il se trouve qu’après le 2 et avant le 3 il faut introduire un problème rencontré récemment, les cyber attaques . Avant de voir ce dont il s’agit et comment les contrer. Rendons à César …

Donc jusqu’à il y a peu nous faisions appel à une société extérieure connue pour déjouer les cyber attaques. Il s’agit de Sucuri. Mais l’année 2020 étant passée par là, et une légère baisse de CA, on se décide parfois à faire des choix drastiques et on supprime un poste de dépense. Mais cette suppression ne peut s’envisager que si on y consacre un peu de temps.

1-Cyber attaques et mot de passe

Alors moins de 16 caractères ce n’est même pas la peine de l’envisager parce que les attaques en force brute risquent rapidement de pénétrer le système. On ne peut prévoir le nombre d’attaquants qui vont se liguer contre une même entreprise ou entité. Gouverner c’est prévoir, alors on choisit un mot de passe de 40 caractères.

Et pour le tester ? Facile utilisez donc ce testeur et dites nous en commentaire quelle est la résistance de votre mot de passe. Et comme un conseil ne coute rien, voici comment nous choisissons nos mots de passe. Nous utilisons une des méthodes qui a fait ses preuves en cryptographie. On choisit un ouvrage papier qui nous sert pour en extraire des phrases, qui elles vont être utilisées comme mot de passe. Prenez l’ouvrage que vous voulez, celui qui vous parle le plus, ne le divulguez pas, et vous aurez un nombre inépuisable de mots de passe à votre disposition.

Nous consacrerons un article complet aux mots de passe dans lequel nous déterminerons si la complexité de celui-ci influe sur le temps nécessaire pour le casser.

2- Cyber attaques et adresse mail

Évidemment si vous utilisez une seule adresse mail pour tout votre site y compris votre accès à l’administration cela risque de vous poser rapidement un problème. Le but du jeu étant de compliquer au maximum la tâche à ceux qui tentent de pénétrer votre système. Nous utilisons une adresse mail non publique, qui ne correspond à rien. Cette adresse mail ne reçoit jamais de courrier, elle n’expédie rien, elle n’existe pas, vous ne la connaitrez jamais. Il vous suffit d’en créer une complètement différente de celle(s) que vous utilisez et de la relier à votre accès.

3- Cyber attaques et adresses IP

Nous utilisons un plug-in de géolocalisation des adresses IP et limitons le nombre de tentatives d’accès. Par ailleurs vous pouvez bloquer certains pays d’où vous pressentez … que les cyber attaques peuvent majoritairement provenir. Mais contrairement à ce que vous pourriez croire, les attaquants peuvent aussi provenir de votre propre pays. Donc soyez circonspects quand vous décidez de bloquer un pays. Il serait dommage que vous soyez tellement protégé, que plus aucun visiteur ne visualise votre site …!

Dès qu’une tentative d’accès infructueuse est détectée elle est ajoutée à la liste des adresses IP bloquées au bout d’un nombre d’essais et d’un intervalle de temps que nous avons déterminé. Nous enregistrons toutes les adresses qui tentent de pénétrer notre système ainsi que celles qui réussissent. Nous pouvons précisément les géolocaliser à l’aide d’un programme comme celui-ci. Conserver une trace des logs vous aidera pour le cas où vous devriez déposer une plainte.

4- Cyber attaques et failles de sécurité

Malheureusement malgré toutes vos précautions il existe des failles de sécurité dans tous les programmes, il importe donc que vous vous employiez à les combler :

4-1 XML-RPC

Si vous examinez la copie d’écran ci dessous vous verrez que de très nombreuses tentatives ont eu lieu via XML-RPC et encore uniquement sur une période de 4 minutes.

Blocage de cyber attaques XML-RPC

Alors vous vous posez surement la question, mais c’est quoi XML-RPC. C’est devenu aujourd’hui une faille de sécurité alors que c’était un moyen de communiquer via ping-backs. Cette application s’est dépréciée depuis l’utilisation de l’API REST. Mais il n’en demeure pas moins qu’elle est activée par défaut dans WordPress depuis la version 3.5.

L’applicatif IFTTT, utilise notamment le protocole XML-RPC. Donc si vous bloquez l’accès vous ne pourrez plus l’utiliser. C’est un choix à réaliser en fonction d’une balance bénéfice-risque. Prenant en compte d’un côté l’ouverture à de nouveaux applicatifs et de l’autre les risques d’intrusion associés.

Ce risque est largement documenté comme ici ou . A vous d’opérer donc les choix qui s’imposent, chaque situation est unique.

Pour éviter que des cyber attaques DDoS n’utilisent justement ce protocole pour pénétrer votre site. Cyber attaques dans lesquelles il s’agit de submerger votre site par des multitudes de requêtes qui vont planter le serveur. Et une fois celui-ci planté vous pouvez subir des piratages informatiques. Vos concurrents vont en profiter…

Or plus votre site sera off-Line renvoyant une erreur 502 à Google plus vous perdrez de classement. Donc avant d’en arriver là bloquons tout de suite XML-RPC.

Dans XML-RPC, chaque requête envoie un couple (identifiant, mot de passe) pour l’authentification. Risqué comme procédé, d’autant que REST utilise désormais OAuth avec des jetons de sécurité.

Sur la copie d’écran ci dessous vous pourrez constater la diminution drastique des attaques XML-RPC après la fermeture de l’accès.

Diminution drastique des cyber attaques via XML-RPC après fermeture de l'accès.

On passe de presque 1500 attaques par jour à un peu plus de 500. Mais comme vous pouvez aussi le constater les cyber attaques ne viennent pas que de pays exotiques ( et loin s’en faut ! ) : 19% des USA, et aussi 15,5% de France. Eh oui comme dit l’adage : “Protégez moi de mes amis, mes ennemis je m’en charge”. Et sur une période de 6 jours nous avons bloqué les attaques provenant de 4200 adresses IP différentes !

Une petite vérification étant toujours bien utile voici le lien permettant de savoir si XML-RPC est activé sur votre site WordPress. Le nôtre renvoie une erreur 405 : Méthode non autorisée, et un code réponse serveur 403 : Accès interdit.

4-2 La faille Zero Day Exploit

Les cyber attaques 0-day sont celles où il y a le plus à craindre. En effet ce type d’attaque n’a pas fait l’objet de documentation ni d’aucune publication. Donc aucun correctif connu. Mais du fait de leur spécificité et de leur rareté, elles nécessitent des compétences informatiques de haut niveau elles sont davantage destinées à une monétisation qu’à une attaque directe. Elles visent plus WordPress la société que des sites WordPress en particulier.

Difficile de s’en prémunir donc ce qu’il faut faire. Mettre à jour le plus rapidement possible tous vos logiciels et plug-ins, les maintenir, supprimer ceux qui sont inutiles ou désactivés, privilégier ceux qui ont fait l’objet de mises à jour récente et fréquente, et qui ont une communauté.

Enfin dernier élément ce type d’attaque vise principalement Windows et Android, donc si vous êtes sous Mac ou Linux les risques seront limités.

Et vous pour vous prémunir des cyber attaques quelles solutions avez vous retenu ?