Outils de contrôle de la vulnérabilité des sites Internet

Á la mode est actuellement le cross-site-scripting (XSS), l’injection de code (code injection) et les applets signés. Nous avions décrit en détail le fonctionnement et la tendance (trend) de ces attaques dans nos articles précédents :

Risques de sécurité sur tous les systèmes d'exploitation (Mac et Linux compris) !!!

et Pourquoi de plus en plus de virus et autres bestioles informatiques, et ceci sur toutes plateformes ?

Rappelons toutes fois que pour ne pas devenir victime d’une telle attaque, qu’en dehors de la nécessité d’installer un antivirus, d’un firewall (pare-feu), d’un antispyware et d’un antitroyen, il faut impérativement aussi télécharger et installer les mises à jour (updates, patches, correctifs) du système d’exploitation utilisé (Windows, Mac, Linux, et autres…) et surtout veiller à mettre à jour les logiciels dits « utilitaires indispensables », tels que « Java, Adobe Acrobat Reader, Adobe Flash, Firefox, Internet Explorer, Opera, etc. ».

Veuillez télécharger notre didacticiel, qui vous guidera à travers l’utilisation du service gratuit en ligne Secunia Software Inspector , à l’adresse Scan gratuit de logiciels installés

Nos articles précédents s’occupaient seulement de l’internaute, mais qu’en est-il pour le webmaster (webmestre), celui qui s’occupe de la conception, création et gestion d’un site Internet ?

Pour la création de sites Internet on utilise de plus en plus le PHP et des CMS (Content Management System), basant sur le PHP et/ou basant sur du Java et Python. Les plus connus sont certainement Joomla (anciennement Mambo), Typo3, et pour la création de forums le phpBB2.

Or dans toutes ces applications des vulnérabilités ont été découvertes et on en trouvera certainement aussi dans le futur. Ces vulnérabilités doivent être colmatées au plus vite afin de ne pas permettre à la mafia informatique d’avoir accès au serveur où le site Internet est hébergé et ainsi de préparer le site Internet avec du code malicieux pour infecter les visiteurs.

Pour toujours être informé des vulnérabilités, nous vous conseillons de visiter les sites Internet Security Focus et Securityspace et de vous abonner à leur flux d’information RSS.

Voir aussi l’article 5.000 sites Internet infectés par jour

Le webmaster doit donc toujours être au courant des vulnérabilités présentes et précédentes et ainsi tenir à jour impérativement le code source de ces applications. Le webmaster a donc une très grande responsabilité pour garder sécurisé un site Internet, chose pas facile du tout.

Mais comment savoir maintenant, même ayant travaillé sérieusement (des non-sérieux existent aussi) si un site Internet est bien sécurisé pour ne pas permettre à la mafia informatique de le détourner (hijacking) pour des actions illégales ?

Heureusement il existe une multitude d’outils, même gratuits qui permettent de faire des tests approfondis « Web site assessment » du serveur et des applications y présentes, dont voici une sélection non exhaustive, ainsi que des sites Internet réputés traitant la sécurité spécifique de ses attaques:

SECURITY DATABASE

http://www.cisecurity.org

http://www.acunetix.com

http://www.nessus.org

http://www.sensepost.com/research_tools.html ---> WIKTO

http://www.qualys.com/forms/trials/freescan

http://www.sans.org/top20/#c1

http://www.snort.org

http://www.alertsite.com

http://www.gamasec.com

http://www.watchfire.com

http://en.wikipedia.org/wiki/cross_site_scripting

Avec cette sélection d’outils de contrôle vous disposez maintenant d’un arsenal puissant pour pouvoir vérifier la sécurité de vos applications. Mais n’oubliez pas non plus la sécurité de l’ordinateur avec lequel vous entretenez la gestion de votre site Internet. Si celui-ci n’est pas assez sécurisé il se pourrait qu’il soit infecté et que les pirates informatiques aient accès à votre code d’accès du serveur. À ce moment là ce sera le contrôle total !!!

Veuillez lire aussi les articles suivants :

Logiciels tests intrusion (JournalDuNet)

70% des sites Internet seraient vulnérables (JournalDuNet)

Nous tenons à préciser que ces outils sont seulement à utiliser pour le test des propres sites. Toute tentative de les utiliser sur d'autres sites est une effraction aux lois et sera puni !!!

Shields up !!!