Développement et risques liés au Web actuel

Toutes les news concernant la sécurité

Modérateurs: Guardian, AgnesD, Malekal_morte

Développement et risques liés au Web actuel

Messagede AgnesD le Sam 12 Mai 2007 - 10:12

Le web est devenu un moyen de communication incontournable moderne et polyvalent .
Les accès internet de plus en plus rapides et accessibles à tous,
les technologies permettant de créer son espace sur le net se sont simplifiées et le développement de sites communautaires, de blogs et de services internet divers tels les hébergeurs d'images de fichiers n'ont jamais été aussi en vogue.
Cette accélération des choses est somme toute assez récente mais révèle la survenue d'un nouveau risque en matière sécuritaire.

Les messageries autrefois grands vecteurs de virus sont de plus en plus surveillées et donc des cibles moins vulnérables, le développement du web est lui devenu une manne pour les cybermafias. L'accès aux sites deviens une menace croissante pour les internautes.

[center]Les risques en matière de sécurité sont de différents types:[/center]
  • les sites incluant des failles de sécurité permettant la propagation de malwares.
  • La pollution liée à des sites ou forums laissés à l'abandon ou mal gérés.
  • Les risques liés au développement de la publicité sur les sites et en particulier les hébergeurs d'images ou de fichiers.
  • Les traces que nous laissons sur le net.


En avril, les articles s'accordant a révéler ce problème ont été légion.

Les laboratoires Sophos par leur rapport Top Ten Sophos Avril 2007 tirent la sonnette d'alarme:
=> Ainsi, 245 790 pages Web hébergeant des logiciels malveillants ont été identifiées au cours du mois d’avril 2007, soit une moyenne de 8 193 pages par jour.
=> Les logiciels malveillants basés sur Iframe fonctionnent de la même façon qu’un nombre croissant d’attaques basées sur le Web, à savoir une recherche des vulnérabilités sur des sites légitimes hébergés et une injection de code malicieux sur ces sites. Une fois le site infecté, les visiteurs ne disposant pas d’une sécurité Internet, d’un pare-feu ou de correctifs de sécurité sur leurs PC peuvent à leur tour être contaminés.
=> les recherches de Sophos montrent en effet que 70% des logiciels Web malveillants sont hébergés sur des sites parfaitement corrects. Avec des utilisateurs qui sont facilement « appâtés » vers ces page compromettantes par des courriels d’invitation, la sécurité Internet doit aller au-delà du simple blocage des pages en fonction de la catégorie du site.

Top Ten Sophos Avril 2007

Quelques articles liés à ce rapport publiés fin Avril :
Sécurité: le web désormais plus dangereux que les e-mails
Sophos: un raz-de-marée d'attaques malveillantes sur le Web
Sophos: le mois d'avril a subi des attaques 'raz de marée'
Les sites Web populaires ne résistent pas aux attaques les plus communes

Je souhaitai faire un post plus personnel, j'ai collecté dans se but pas mal d'articles pour l'illustrer, il se trouve que je n'ai pas le temps de rédiger quelque chose de clair et qu'en attendant l'info ne passe pas.
Donc je poste tel quel entre coupé des extraits d'articles.
[center]
La propagation de malwares des sites ou forums défaillants en terme de sécurité.
[/center]
lesnouvelles.net a écrit:
[center]PHP : des scripts plus sûrs en quelques instants[/center]
Les sites Web populaires ne résistent pas aux attaques les plus communes
il s'agit généralement de sites Internet notoires, à savoir des serveurs de commerce en ligne, de services financiers, de santé ou encore dans les domaines des hautes technologies. On note une certaine prudence dans la démarche de communication de la part de la société : WhiteHat ne fournit cependant aucune adresse Web, même à titre d'exemple.


ZD-Net a écrit:[align=center]Comment les spammeurs détournent les sites web des entreprises[/align]
Phishing, spam... Les attaques se multiplient et menacent les systèmes d’information des entreprises, en saturant leurs serveurs. Première partie de notre étude sur les techniques des spammeurs pour déjouer les procédures de sécurité.

De nombreux sites web hébergés sur des serveurs dédiés ont récemment été exploités, à leur insu, pour diffuser des quantités massives de spam. Pour parvenir à leurs fins, les auteurs de ces spam se servent de formulaires utilisés sur les sites, tels que des pages de contact.
Ce type de détournement n'est pas nouveau: des spammeurs détournent déjà les scripts d'envoi d'e-mails mal sécurisés, qui permettent de stipuler directement l'adresse du destinataire. Y compris des scripts très populaires (comme le tristement célèbre "FormMail.pl").
L'originalité vient ici du fait que les webmasters victimes avaient pris soin de protéger leur script d'envoi de courriers.



Sophos a écrit: [center]Les spammeurs piratent des sites Web pour vendre des médicaments[/center]
Ces campagnes de spam, qui proposent des médicaments vendus en ligne, renvoient les utilisateurs vers des pages hébergées sur des sites préalablement piratés, d’où ils sont ensuite redirigés automatiquement vers l’adresse finale. Les sites piratés utilisent le PHP, un langage deprogrammation très courant mais qui a déjà présenté de graves failles de sécurité dans le passé.


ZD-Net a écrit: [center]Sites web: 5 mesures pour ne pas servir de tremplin à des spammeurs[/center]
Voici comment se prémunir, très simplement, de ce type d’attaque.Si les grandes entreprises ont les moyens de financer une politique interne de sécurité informatique, il n'en est pas de même pour les PME et TPE. Pour s'assurer une vitrine internet, les petites structures mettent souvent en ligne des sites web, bardés de pages et modules de contacts, présentant de multiples failles. Un mode de communication souvent conseillé sur un plan commercial, pour trouver des clients.

Ce besoin d'ouverture présente cependant un risque. Nous avons vu en effet comment les spammeurs sont capables de manipuler le site internet d'une entreprise, à partir d'un formulaire de contact. Qu'ils détournent simplement, en manipulant les en-têtes dans un champ de contact. Cette "attaque par injection d'en-têtes" peut néanmoins être évitée, par quelques règles de bon aloi.



01 Net a écrit:[center]Les sites Web sans faille restent rares[/center]
Une étude de WhiteHat sur les vulnérabilités de la Toile révèle que deux tiers des sites analysés rendent possible l'injection de code externe, appelée « cross site scripting ».
La société américaine WhiteHat vient de compiler dans un livre blanc les résultats des études de vulnérabilité des sites Web qu'elle réalise pour ses entreprises clientes.
Ainsi, le « cross site scripting » est de loin la vulnérabilité la plus répandue sur la Toile. Près des deux tiers des sites analysés par WhiteHat présentaient ce défaut. C'est d'autant plus grave que cette faille est également l'une des plus dangereuses. Elle permet d'injecter du code externe dans un site Web et, par voie de conséquence, de voler des informations relatives aux sessions ou aux cookies.



Les applications Web toutes faites permettant à chacun d'entre nous avec quelques connaissances de monter son propre blog, forum ou site ( à partir de CMS par exemple) nous permettent de nous affranchir de certaines des nuisances liées à l'utilisation de services gratuits comme la diffusion de publicité incontrôlée.
Par contre le nombre de personnes utilisant ce genre d'applications augmentant elles deviennent des cibles plutôt intéressantes pour des pirates potentiels...
Qu'une faille existe et soit trouvée et voila qu'une exploitation massive est possible.
Comme pour les logiciels qui sont sur votre PC, des correctifs de sécurité sont publiés par les développeurs, c'est à vous qu'il incombe de les appliquer.

On a déjà vu des vers ciblant les forums phpbb ou d'autres parasites de ce genres...
Sécurité: le ver Santy utilise Google pour trouver ses victimes Dans le cas présent ce n'est pas le visiteur qui était visé mais vu l'ampleur de la diffusion on ne peut négliger ce fait.

ZD-Net a écrit:[center]Les développeurs des sites web 2.0 négligent-ils la sécurité des utilisateurs?[/center]
Des experts américains tirent la sonnette d’alarme face à la course aux nouvelles fonctionnalités du web 2.0. Ils voient reproduire les erreurs du passé, à savoir la négligence de la sécurité. L’usage de la technologie Ajax accroît les risques.
La notion de "web 2.0" est sur toutes les lèvres, et sur toutes les pages web, avec une multitude de nouvelles fonctionnalités. Mais comme lorsque les logiciels bureautiques ont fait leurs débuts, les questions de sécurité sont négligées, affirment les experts.


[center]Les blogs et forums mal entretenus, mal gérés ou abandonnés...
[/center]

Attention webmasters et bloggers...
Pensez à surveiller en permanence vos sites sous peine de les voir se transformer "poubelles du web"
Les commentaires, Trackbacks sont très prisés mais malheureusement rares sont ceux qui pensent à les vérifier et les nettoyer souvent.
Mieux si vous ne souhaitez pas vous embetter avec cela pensez à les désactiver ou les rendre inaccessibles aux visiteurs.

Pour les forums nous assistons à des vagues d'inscriptions de membres factices à des fins de diffusion d'adresses de sites parfois simplement douteux d'autres fois réellement dangereux.
A vous administrateurs de faire en sorte de juguler le phénomène, de nettoyer et surveiller les inscriptions et les posts indésirables, ainsi que les liens dans les profils. Bref de surveiller et de gérer vos créations.
Quelques liens pour vous aider en ce sens.
Anti-spam des forums - Travail coopératif pour Webmasters
Tuto pour renforcer un peu la protection des forums phpBB

En dernier recours si vous ne souhaitez plus entretenir contrôler ou développer vos blogs ou forums ne les laissez pas à l'abandon !!!
Fermez les, rayez les du Web car rien de pire que ce genre d'épaves....
C'est volontairement et par sécurité que je ne met pas de liens vers de tels sites mais si vous fouinez un peu je suis sure que vous en avez déjà rencontré ou que cela ne devrait tarder...
En ce cas s'il vous prend l'envie de contacter le webmaster n'hésitez pas à le faire afin peut être de pouvoir le faire nettoyer voire fermer son site.
Nombreux sont ceux qui n'ont pas réelle connaissance de ce fait et donc polluent par inadvertance.

[center]
Les services Web proposés gratuitement contre la diffusion de publicité.
[/center]
Les hébergeurs d'images ont déjà été pointés du doigt.
On rencontre de plus en plus de services de ce type.... hébergement de vidéos, de fichiers...
Souvent rémunéré par la publicité... parfois celle ci est diffusée de manière à créer la confusion ou à tromper l'internaute naif...
A vous de prendre les mesures adéquates pour contrer ou juguler cette derniére.

Clubic a écrit:[center]MySpace : blog et bannière publicitaire infectée[/center]
Le service d'hébergement de blogs MySpace, très utilisé et très populaire outre-Atlantique a été victime d'une bannière publicitaire infectée par un troyen. En effet, la publicité pour le site «deckoutyourdeck » diffusée à travers les pages liées aux profils des utilisateurs de MySpace était directement lié à un troyen.


Webmaster si l'utilisation de publicité n'est pas absolument vitale pour le maintien en ligne de votre site, essayez de l'éviter.
En effet des moyens de contrôle sont possibles mais c'est souvent a postériori que l'on agit et c'est sans compter sur les failles potentielles qu'elle génère.
Infos du net a écrit: Google AdWords piraté
Google a admis récemment que des pirates avaient réussi à insérer dans son service de publicité AdWords des liens pointant vers un site malveillant. Ce problème, révélé par le Times Online, a touché un nombre inconnu de machines.
Google Adwords ?

A destination des gestionnaires de sites Web, ce service de Google propose, contre une rémunération, d’insérer de la publicité pour un site sur les pages de résultat des recherches. L’intérêt de ce service est que l’affichage de la publicité dépend du contenu de la recherche.


Les forums et blogs gratuits eux aussi peuvent révéler le même type de problèmes.
Ainsi que d'autres qui leurs sont plus particuliers...

Les tags ou mots clefs
Associer des mots-clés à des photos, des liens ou des informations pour mieux les agréger : une idée loin d'être neuve mais qui voit seulement depuis peu fleurir des services multiples. Flickr, del.icio.us, Technorati ou Metafilter sont en train de relier le Web de la blogosphere et des flux RSS.
De plus en plus utilisé sur les sites....
Omacronides a écrit:[center]L'anarchie des mots-clés[/center]
vous associez à un contenu quelconque (billet de blog, article, image, vidéo, etc.) un ou plusieurs mots-clés ou « marqueurs » (tags). Ces marqueurs sont référencés par un prestataire de service et utilisables par tout un chacun sur le web. On finit ainsi par construire une immense base de données de documents en ligne partagée par tous et où plus un mot-clé est utilisé, plus il est visible.
http://del.icio.us/tag/
http://www.technorati.com/tag/


Les spamblog
Le principe du 'spamblog' ou 'sblog' est simple : créer de faux blogs sur des portails de weblogs connus – comme Blogger, le service de blogs de Google -, y incorporer des flux RSS, et y placer de multiples liens vers leurs sites de spam.

[center]Nos traces sur internet...[/center]
01net a écrit:Plus de la moitié des recruteurs d'outre-Manche disent avoir déjà été influencés par des données personnelles des candidats glanées sur laToile.


Canoe a écrit:Les ados apprennent à limiter les renseignements sur eux en ligne
Les adolescents ne pensent pas deux fois avant d’entrer leur prénom et d'inclure une photo à leur profil en ligne, mais la plupart choisit de ne pas inclure son nom entier ou de rendre son profil accessible à tous, révèle une nouvelle étude.


TF1/Lci a écrit:[center]Il frime sur YouTube et finit au tribunal[/center]
Un jeune homme de 25 ans, qui avait diffusé sur internet une vidéo le filmant au volant de sa voiture à 225 km/h, a été convoqué par la police.
Sa voiture a été identifiée à cause d'un petit éclat sur le pare-brise


Bon tout cela peut paraitre anecdotique cependant les traces que nous laissons sur le net sont souvent bien tenaces.
Allez effacer les pages mises en cache par les moteurs de recherches...
Les blogs ont un coté certes très sympa et ludique, mais peut être est-il bon de réfléchir un peu sur les parcelles de soi que l'on souhaite rendre publiques....
Idem si vous postez sur vos sites ou blogs les photos de vos proches ou amis...
C'est devenu courant et accepté mais peut être faut-il être prudents avec cela...et réfléchir un peu avant de le faire.

On a peur de nos jours d'être fichés ici ou là mais dans le cas du Net nous offrons un matériau de première classe à tous ceux qui pourraient vouloir en savoir plus sur nous. Et nous le faisons en toute confiance et sérénité...
Non le Net n'est pas si virtuel que cela... Et les traces que nous laissons révèlent une parcelle de nous au monde entier...

Pour finir...A méditer.

Vnu Net a écrit:[center]Google se propose d'être la mémoire de votre surf[/center]
Le service Google Web History permettra de conserver une trace de toutes les pages, images et vidéos consultées, sans limitation de durée.
Google a levé le voile sur un nouveau service permettant de conserver une archive complète de l’historique de navigation d’un internaute.
Google Web History permettra à un utilisateur d’archiver, de rechercher et d’afficher toutes les pages, images et vidéos qu’il a visitées sur le World Wide Web.

Voila en espérant non pas vous avoir fait peur, mais plutôt vous avoir fait prendre conscience de quelques pièges de plus.
:P
Avatar de l’utilisateur
AgnesD
Co-Admin
 
Messages: 3737
Inscription: Mar 15 Mar 2005 - 21:17

Retourner vers Sécurité informatique

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 1 invité

cron