18/10/2018 - La sécurité web avant tout
En bref
La sécurité sur internet est primordiale. D'autant plus si on a une activité exposée sur le web. Je vous donne les astuces pour éviter d'avoir un site hors service et éviter que certains usurpent votre identité. DDoS, Cross site scripting, vous saurez tout après la lecture
La sécurité des échanges
Avant tout, votre site doit être sécurisé. Pour cela, votre nom de domaine doit forcer le mode "HTTPS" dit mode sécurisé. HTTPS est le protocole qui permet de sécuriser les échanges entre la machine du visiteur et les serveurs hébergeant le site. Un certificat valide est nécessaire pour avoir un protocole sécurisé. Le cryptage des données sera alors effectué et les données qui circulent sont donc illisibles pour tout étranger à la communication !
Impulsio met en place le HTTPS par défaut avec une sécurité forte. Vous êtes tranquilles Notre formulaire de connexion sur la page d'administration inclut aussi une sécurité supplémentaire pour éviter les forçages de mot de passe (la solution reCaptcha de Google).
DDoS - Attaque par déni de service
Le résultat
Votre site est hors service ? Il ne répond plus ? Vous avez sûrement subi une attaque dite par déni de service. Plus personne ne peut aller sur votre site internet. Votre image est dégradée et votre business est ralenti.
Le principe
C'est assez simple : quand un utilisateur va sur un site web, il passe d'abord par différents serveurs pour retourner le résultat (le contenu de la page web). L'attaque par déni de service va multiplier le nombre d'utilisateur en peu de temps. On parle donc d'un assaut de plusieurs milliers de "faux" utilisateurs par seconde !
De ce fait, un des serveurs sur le chemin va donc avoir du mal à répondre à toutes ces demandes et tomber en erreur. Le site n'est plus alors distribué aux "vrais" utilisateurs : c'est le deni de service.
Mitiger le risque
Il faut donc limiter voir éviter le risque. Le cas simple c'est que tout les appels viennent de la même adresse IP et donc bloquer cette adresse IP dès qu'elle demande plusieurs accès au site. C'est trop facile ! Les hackeurs font donc une répartition des envois sur plusieurs machines (disons une centaine voire plus) pour éviter d'être bloqué facilement.
La meilleure solution est donc de se retourner vers des professionnels tels que Cloudflare. Ils ont plusieurs serveurs et des règles permettant de détecter rapidement et efficacement les attaques de ce type. Donc de les bloquer !
L'installation de clouflare nécessite une configuration des serveurs DNS afin de diriger le nom de domaine vers cloudflare puis de cloudflare vers vos serveurs qui héberge votre site.
Et impulsio dans tout ça ?
Si vous n'avez pas tout compris, alors vous comprenez sûrement notre importance ! Vous n'avez pas à vous soucier des configurations techniques : nous le faisons pour vous ! Votre site créé avec l'aide d'Impulsio bénéficie directement de la protection Anti-DDoS Cloudflare ainsi que des protections contre les différentes attaques sur le web.
Ainsi, vous êtes protégés des attaques
Les autres attaques
Cross site scripting
Aussi appelé XSS, c'est une faille sur votre site web qui permet d'injecter du contenu directement dans la page. Le risque est multiple : voler des informations, changer le contenu ou rediriger l'utilisateur vers un site malvaillant. Il faut donc se protéger car vos visiteurs ne sauront pas que votre site a été piraté Impulsio vous protège naturellement de ce risque !
Injection de code
L'injection de code utilise les champs des formulaires pour injecter du code (SQL, HTML, Javascript, ...). Si le site n'est pas protégé, le code est exécuté et peut ainsi détruire/modifier des données ou pire... Impulsio inclus une protection contre l'injection de code.
Et c'est tout ?
Vous pouvez lire la liste du Top 10 des attaques de 2017 (dernière parution) (en anglais). Nous vous protégeons de toutes et mettons régulièrement à jour notre code pour vous protéger des futures attaques.