Sécurité Web - Les bonnes pratiques pour Joomla

1,552 views

Published on

Présentation généraliste de la sécurité des sites web, et focus sur les bonnes pratiques de sécurité pour les sites réalisés avec le CMS Joomla

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,552
On SlideShare
0
From Embeds
0
Number of Embeds
48
Actions
Shares
0
Downloads
62
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide
  • Dans 70% des cas, le cyberdélinquant est un salarié ou un ancien salarié de l’entreprise Exemple récent du piratage de le pen : http://lexpress.presse.fr/info/france/elysee_2007/actu.asp?id=9590
  • Mise en cause de la responsabilité légale du chef d’entreprise : voir p. 40
  • Sécurité physique :Antivol des portables, salles réservées (ou placard) aux serveurs
  • Un bon mot de passe est un mot de passe fort, qui sera donc difficile à retrouver même à l'aide d'outils automatisés mais facile à retenir. En effet, si un mot de passe est trop compliqué à retenir, l'utilisateur mettra en place des moyens mettant en danger la sécurité du SI, comme par exemple l'inscription du mot de passe sur un papier collé sur l'écran ou sous le clavier où l'utilisateur doit s'authentifier. Pour ce faire, il existe des moyens mnémotechniques pour fabriquer et retenir des mots de passe forts. Méthode phonétique Cette méthode consiste à utiliser les sons de chaque syllabe pour fabriquer une phrase facile à retenir. Par exemple la phrase « J'ai acheté huit cd pour cent euros cet après midi » deviendra ght8CD%E7am. Méthode des premières lettres Cette méthode consiste à garder les premières lettres d'une phrase (citation, paroles de chanson...) en veillant à ne pas utiliser que des minuscules. Par exemple, la citation « un tiens vaut mieux que deux tu l'auras » donnera 1tvmQ2tl'A.
  • Evoquer le RAID ?
  • Le ver peut entrer dans l'ordinateur en se camouflant, y rester longtemps puis ne se déclencher qu'à un moment donné. Le plus souvent la diffusion de ver se fait par la messagerie électronique. L'ordinateur infecté envoie automatiquement un mail à toutes les adresses de votre messagerie à votre insu.
  • Sécurité Web - Les bonnes pratiques pour Joomla

    1. 1. Joomlapero – 29 novembre 2011 .:: La sécurité des sites Joomla ::. Comment l'aborder, les points essentiels
    2. 2. Sécurité web - Généralités <ul><li>Les biens les plus précieux d’un site web : </li></ul><ul><ul><li>ses contenus (articles, commentaires…) </li></ul></ul><ul><ul><li>ses fichiers originaux (sons, photos, vidéos) </li></ul></ul><ul><ul><li>sa base membres/clients </li></ul></ul><ul><li>Le « but du jeu » est de garder le site en ligne et de conserver l’intégrité des données… </li></ul>Joomlapero – 29 novembre 2011
    3. 3. Sécurité - Généralités <ul><li>Les risques peuvent venir de l’extérieur (pirate, virus, hacker…) </li></ul><ul><li>Mais bien souvent le risque est interne ! </li></ul><ul><li>La faute qui provoque la faille n’est pas forcément volontaire </li></ul>Joomlapero – 29 novembre 2011
    4. 4. Sécurité - Généralités <ul><li>Origine des risques : </li></ul><ul><li>Attaque malveillante </li></ul><ul><li>Panne matérielle </li></ul><ul><li>Panne logicielle </li></ul><ul><li>Incident de l’environnement (feu, inondation, orage…) </li></ul><ul><li>Erreur humaine </li></ul>Joomlapero – 29 novembre 2011
    5. 5. Sécurité - Généralités <ul><li>Se protéger doit devenir un réflexe </li></ul><ul><li>Toutes les personnes qui gèrent le site doivent y être sensibilisées </li></ul><ul><li>La responsabilité du chef d’entreprise ou du directeur de publication peut être engagée pénalement ou civilement Art. 226-17 du code pénal (pour les données personnelles) et 1383 du code civil (responsable par négligence ou imprudence…) (entre autres…) </li></ul>Joomlapero – 29 novembre 2011
    6. 6. Sécurité - Généralités <ul><li>On compare souvent la sécurité à une chaîne : Le niveau de sécurité d'un système est caractérisé par le niveau de sécurité du maillon le plus faible . </li></ul>Joomlapero – 29 novembre 2011
    7. 7. Sécurité matérielle <ul><li>Sécurité physique des machines </li></ul><ul><ul><li>Attention au choix de l’hébergeur </li></ul></ul><ul><li>Sauvegardes des données </li></ul>Joomlapero – 29 novembre 2011
    8. 8. Sécurité logicielle <ul><li>En local </li></ul><ul><li>Sur le serveur </li></ul>Joomlapero – 29 novembre 2011
    9. 9. Accès FTP sécurisés <ul><li>Si votre hébergeur le permet, utilisez une connexion FTP sécurisée (sftp) </li></ul><ul><ul><li>Les communications sont cryptées entre votre PC et votre serveur </li></ul></ul><ul><ul><li>Les sniff sont inefficaces ! </li></ul></ul><ul><li>Ne donnez pas les codes FTP principaux à tous les intervenants </li></ul><ul><ul><li>Limitez les accès aux répertoires de travail réels </li></ul></ul><ul><ul><li>Seuls les super admins ont besoin des accès complets </li></ul></ul>Joomlapero – 29 novembre 2011
    10. 10. Configurez les permissions <ul><li>Objectif : empêcher des modifications du code de Joomla par des personnes non autorisées </li></ul><ul><li>Préconisations pour une install standard de Joomla : </li></ul><ul><ul><li>Répertoire racine : 750 </li></ul></ul><ul><ul><li>Fichiers : 644 </li></ul></ul><ul><ul><li>Répertoires : 755 </li></ul></ul>Joomlapero – 29 novembre 2011
    11. 11. Installation et sécurisation <ul><li>Installer Joomla normalement (utiliser un préfixe différents de jos_ pour les noms des tables de la base de données) </li></ul><ul><li>Remplacer le superadmin par défaut (admin) </li></ul><ul><li>Déplacer les fichiers sensibles hors de la racine du site web </li></ul><ul><li>Utiliser JSecure (9,99$) ou Secure Authentication (gratuit) pour modifier l’url d’accès à l’administration </li></ul><ul><li>Mettre en place une procédure de sauvegarde. </li></ul>Joomlapero – 29 novembre 2011
    12. 12. Les mots de passe <ul><li>Un bon mot de passe est un mot de passe fort, qui sera difficile à retrouver même à l'aide d'outils automatisés mais facile à retenir. </li></ul><ul><li>Pour s’amuser un peu… </li></ul><ul><ul><li>Méthode phonétique Exemple « J'ai acheté huit cd pour cent euros cet après midi » deviendra ght8CD%E7am. </li></ul></ul><ul><ul><li>Méthode des premières lettres Exemple, la citation « un tiens vaut mieux que deux tu l'auras » donnera 1tvmQ2tl'A. </li></ul></ul><ul><li>A tester : How secure is my password ? </li></ul>Joomlapero – 29 novembre 2011
    13. 13. Sauvegarde et externalisation <ul><li>Les sauvegardes permettent de retrouver des données malgré les risques : </li></ul><ul><ul><li>Effacement malencontreux de données </li></ul></ul><ul><ul><li>Bug sur mise à jour </li></ul></ul><ul><ul><li>Attaque </li></ul></ul><ul><li>Les fichiers ET la base de données de Joomla doivent être sauvegardées </li></ul>Joomlapero – 29 novembre 2011
    14. 14. Sauvegarde et externalisation <ul><li>La sauvegarde peut être effectuée : </li></ul><ul><ul><li>Avec une extension spécifique (akeeba backup) </li></ul></ul><ul><ul><li>Via ftp et phpmyadmin </li></ul></ul><ul><li>La sauvegarde doit être régulière, la fréquence dépend des actualisations réalisées sur le site </li></ul><ul><li>La restauration des données doit être testée </li></ul>Joomlapero – 29 novembre 2011
    15. 15. Sécurité du code <ul><li>Pensez à mettre à jour vos systèmes sur serveurs dédiés </li></ul><ul><li>Suivez et appliquez les mises à jours de Joomla </li></ul><ul><li>Idem pour les extensions : pensez aux mises à jour ! </li></ul><ul><li>Consultez la liste des vulnérabilités http://docs.joomla.org/Vulnerable_Extensions_List </li></ul><ul><li>Abonnez vous aux flux RSS de sécurité de Joomla : </li></ul><ul><ul><li>Joomla </li></ul></ul><ul><ul><li>Extensions </li></ul></ul>Joomlapero – 29 novembre 2011
    16. 16. Les extensions Joomla <ul><li>Choisir des extensions fiables (facile à dire) </li></ul><ul><ul><li>Ne pas installer des extensions non suivies </li></ul></ul><ul><ul><li>Installer des versions stables (pas beta ou alpha) </li></ul></ul><ul><ul><li>Regarder l’historique des MAJ de l’extension (nb de correctifs, nb de bugs) </li></ul></ul><ul><ul><li>Voir la communauté autour de l’extension </li></ul></ul><ul><li>Attention à l’utilisation d’extension piratées </li></ul><ul><ul><li>Risque de codes malicieux </li></ul></ul><ul><ul><li>Ouverture de backdoor sur le site </li></ul></ul><ul><ul><li>Pas de solution logicielle comme sur un PC </li></ul></ul>Joomlapero – 29 novembre 2011
    17. 17. La réécriture d’URL en mode SEF <ul><li>Optimise la visibilité du site dans les moteurs de recherche </li></ul><ul><li>Améliore la sécurité par la dissimulation des noms des extensions utilisées </li></ul><ul><li>L’extension sh404SEF apporte ces réponses mais aussi : </li></ul><ul><ul><li>permet de désactiver la balise meta « generator » </li></ul></ul><ul><ul><li>permet de filtrer les adresses IP autorisées à se connecter au site </li></ul></ul><ul><ul><li>est muni d’un bouclier contre plusieurs types d’attaques </li></ul></ul>Joomlapero – 29 novembre 2011
    18. 18. Pour résumer… <ul><li>S’équiper des bons outils et les mettre à jour </li></ul><ul><li>Avoir un système de sauvegarde </li></ul><ul><li>Utiliser des identifiants complexes </li></ul><ul><li>Utiliser les extensions officielles </li></ul><ul><li>Se maintenir informé des risques de sécurité </li></ul>Joomlapero – 29 novembre 2011 Et comme dit l’autre : &quot;mieux vaut prévenir que guérir&quot;

    ×