Un serveur web est accessible. C’est sa vocation, mais aussi sa faiblesse. Car s’il n’est pas correctement protégé, l’outil qui véhicule l’image de l’entreprise sur Internet peut se retourner contre elle. La plupart des actes malveillants commis à l’encontre d’un serveur web concernent la modification des données qu’il délivre aux internautes.Il s’agit généralement de simples annotations sur la page d’accueil. Elles peuvent aller jusqu’à l’insertion d’une photo pornographique ou de slogans politiques qui peuvent nuire à l’image de la société. Les actes de malveillance peuvent s’exercer de manière plus sournoise et avoir des conséquences plus graves : en modifiant les chiffres d’un rapport publié sur le site de l’entreprise ou des prix sur un catalogue en ligne, un pirate peut causer un préjudice considérable sans que cela ne soit détecté rapidement.Une erreur de configuration du serveur web est souvent à l’origine de ces attaques. Les droits de certains fichiers ou répertoires, s’ils sont mal positionnés, peuvent être aisément modifiés par le pirate. Un bon administrateur système saura cependant éviter les pièges les plus courants pouvant mener à des altérations du fichier index. html.
Attention à la programmation des scripts CGI
D’autres brèches existent : le système d’exploitation peut comporter une faille et permettre l’accès aux fichiers qu’il héberge (le pirate n’a alors même plus besoin de passer par le serveur web !) ; le logiciel serveur lui-même (IIS, Apache, etc. ) peut être victime d’un trou de sécurité connu (grâce aux dépassements de mémoire tampon – très courants -, un pirate peut exécuter un programme interactif sur le serveur).Enfin, dernier grand classique : l’utilisation détournée de scripts CGI sur le serveur. Ces scripts hébergés par le serveur peuvent compromettre la sécurité s’ils sont mal programmés. C’est notamment le cas s’ils ne vérifient pas les données que l’utilisateur saisit dans les champs de la page web avant de les transmettre à l’interpréteur de commandes, s’ils sont sujets à un dépassement de mémoire tampon ou s’ils contiennent une porte dérobée.Mais le contenu n’est pas la seule faiblesse du site. Les pirates peuvent chercher uniquement à neutraliser l’accès au site. Très faciles à mettre en ?”uvre, de telles attaques sont d’une efficacité redoutable, comme l’ont montré celles dirigées contre les grands du commerce électronique en février 2000. Ces dénis de service sont menés en submergeant le site d’un flot de demandes de connexion largement supérieur à ce qu’il peut traiter.Cette version moderne du semi-remorque d’engrais déversé à l’entrée d’une boutique a les mêmes effets : aucun client ne peut se connecter et l’activité s’arrête. Seule une architecture réseau bien conçue et des équipements de filtrage et de répartition de charge peuvent écarter les menaces d’intrusion.
Le coût des prestations pour sécuriser un site web | ||
Prestations | Tarifs moyens constatés | |
Audit préalable | De 15 000 à 40 000 F ht (2 287 à 6 098 €) pour un audit détaillé (système d’exploitation + logiciel serveur + architecture réseau) et les recommandations associées. | |
Coupe-feu | De 50 000 à 100 000 F ht (7 622 à 15 245 €) pour un coupe-feu. Il peut être nécessaire d’en déployer un second dans le cadre du partage de charge. | |
Logiciels de sécurisation supplémentaires (détection d’intrusion, contrôle d’intégrité…) | De 30 000 à 40 000 F ht (4 573 à 6 098 €) pour les logiciels annexes. | |
Total | De 100 000 à 300 000 F ht (15 245 à 45 735 €) | |
Audits de sécurité réguliers en option | Environ 30 000 F ht (4 573 €) pour un test d’intrusion complet. | |
Audits ” léger ” mensuels en option | Par abonnement, de 10 000 à 30 000 F ht (1 524 à 4 573 €) pour l’année. | |
Exemples de tarifs à partir de devis indicatifs établis par les prestataires CF6, Ubizen et Arche Siemens. Le serveur web était déjà installé, les licences du système d’exploitation et du logiciel serveur étaient acquises.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.