Forums de WDMédia-Hébergement
Vous n'êtes pas identifié(e).
- Contributions : Récentes | Sans réponse
#1 01-04-2009 00:13:15
La sécurité de l'infrastructure Web Media Hebergement
Bonjour à l’équipe de Web Media Hebergement,
J’ai lu, entre autres sur Actualité Voila et sur Le Monde, qu’un nouveau et puissant virus va servir en ce début de mois d’avril 2009. Son nom est Conficker aussi appelé virus poisson d’avril, il s'attaque notamment au serveur Web.
Blague ou pas, je poste surtout ce sujet pour le faire point concernant la sécurité de l’infrastructure Web Média Hébergement.
Quelles sont les solutions de sécurité mises en place sur le serveur de Web Media Hebergement, la machine qui héberge nos sites web ? Les mises à jour du serveur sont-elles faites régulièrement ? L’ensemble est-il correctement sécurisé ? Avez-vous déjà eu des attaques ?
Merci pour vos réponses.
Bien à vous.
Dernière modification par Eric-F (01-04-2009 00:13:37)
Hors ligne
#2 01-04-2009 00:51:32
Re : La sécurité de l'infrastructure Web Media Hebergement
Bonjour,
Ho le beau poisson qui à l'air de se dessiner 
Pour en revenir au sujet de votre préoccupation, la sécurité est un vaste thème, et tout bon informaticien sait que quelqu'un qui veut entrer quelque part trouvera toujours un moyen, c'est plutot une question de temps et de cout, on va dire. On ne peut donc pas assurer une sécurité absolue, meme en démontant les disques dur et en les expédiant aux 4 coins du monde (notez quand dans ce cas, en général, les données sont plus dur à atteindre, pour un site web, c'est génant 
.
Toutefois, vous vous doutez bien que notre infrastructure n'est pas un moulin a vent !
Nos systèmes ont donc des autorisations d'accès restreints, tant physiques que logiciels, et les mises à jours sont faites régulièrement (pour dire, le monitoring nous remonte les serveurs qui ne sont pas à jour afin que nous fassions le nécessaire).
Nous avons de plus fait le choix de restreindre les actions systèmes possibles depuis PHP, et d'isoler chaque site par les configurations appropriées.
Reste que nous ne pouvons pas être à l'abri de failles vicieuses. Notre collaboration régulière avec d'autres entreprises ayant la meme activité nous permet cependant de les voir arriver avant qu'elles ne soient utilisées chez nous, tel une faille de PHP4 vicieuse et à ce jour non patché dans la distribution officielle, qui permettait d'ouvrir un reverse shell sur le serveur cible. Cette faille détecté chez un de nos confrères a été patché par nos soins sur son infrastructure et sur la notre en meme temps
Les rares attaques que nous avons rencontrés se rangent en 3 catégories, dont 2 d'impact limité :
- le premier type, le plus courant, concerne l'attaque d'un site en particulier, via des failles dans les codes PHP du dit site. A ce niveau malheureusement nous ne pouvons pas intervenir en amont, l'audit de chaque script serait monstrueux en terme de temps. Toutefois, ce genre d'attaque n'abouti au final qu'a la défiguration / suppression du site concerné par le pirate, et donc pas de danger pour les autres sites. Dans la mesure du possible, nous essayons de bloquer ce genre d'attauqe si nous la detectons (par exemple lors d'un envoi massif de spam via la faille).
- le second type, moins fréquent, concerne l'attaque d'un compte ftp ou mail, en général via une attaque brute force, auquels ne resistent pas longtemps les mots de passe faible (genre quand on a l'idée de mettre comme mot de passe "contact" pour le compte mail contact@domaine.tld, c'est du déjà vu). Si l'attaque est violente, nous pouvons la detecter et donc mettre dehors le pirate. Mais ils sont de plus en plus rusé, et utilisent généralement un rythme lent et en provenance de plusieurs sources. La meilleure solution est donc un mot de passe fort. La encore, l'impact est au final limité au compte piraté, les comptes FTP étant bloqués dans leurs répertoires. Le piratage d'un compte mail est plus génant car il conduit a un flot de spam, mais là encore, c'est généralement vite detecté.
- enfin, le troisième type, très rarisimme, est l'attaque par DDOS. Dans ce genre de cas, ce n'est pas une attaque visant une intrusion, mais tout simplement visant à rentre innacessible des sites. Dans ce genre de cas, nous avons une alerte très rapidement, et nous travaillons avec notre fournisseur de transit pour bloquer en amont, et en cas de grosse grosse attaque (cela fut le cas une fois dans notre histoire, plus de 1 Gbps d'attaque entrante), l'option du bloquage de l'ip cible et du changement de l'ip concernée au niveau du service fonctionne bien. Dans ce cas précis, la coupure avait été d'une heure trente dans le pire des cas, le délai de propagation DNS des zones étant d'une heure chez nous.
Bref, si l'infrastructure (notez bien que je parle d'infrastructure, par de serveur au singulier, car il n'y a pas "une machine qui héberge nos sites web", mais plusieures, des nodes web servant les sites, des load balancer repartissant la charge, gérant le DNS et le FTP, des filer contenant les données, des nodes mails, et des serveurs SQL) n'est pas aussi sécurisé qu'une banque, elle l'est quand meme suffisament pour l'hebergement de site web
En espérant avoir répondu a votre interogation, je retourne voir ce que je peux inventer comme poisson et vous souhaite une bonne nuité/journée
Cordialement,
Nicolas Lafont
Hors ligne