Articles 03/05/16

Hacking et Piratage de votre site web : que veulent réellement les pirates?

Si vous utilisez un système de gestion de contenu populaire (un CMS comme WordPress), les chances de voir votre installation visitée par des pirates sont importantes.

Malheureusement, si vous êtes mal préparé l’expérience peut se révéler douloureuse, voire dommageable pour votre réputation en ligne. En tous les cas pour votre domaine et pour vos visiteurs.

Que veulent ces pirates ?

À moins que votre site web ou votre organisation ne dispose d’une image de marque particulière, il y a très peu de risques que vous subissiez une attaque de type « defacing ». Cela représente un quart des attaques de sites.

Une attaque « defacing » vise à remplacer votre page d’accueil par un message du type « Marcel Anonyme est passé par ici » : une provocation et/ou une revendication liée à la thématique de votre organisation.

Ou parfois vos agresseurs veulent simplement couper votre site web pour diverses raisons.

Que font les attaquants d'un site web? — Que font les attaquants d’un site web?

La très grande majorité des attaques vise à pouvoir utiliser vos ressources :

la puissance de votre serveur
et l’autorité de vos pages dans les classements de Google.

Rodéo-Hacking

Les pirates veulent profiter le plus longtemps possible de votre espace. C’est une partie de rodéo-hacking : il faut rester en ligne le plus longtemps possible.

La majorité des scripts, qui sont installés lors d’une intrusion, ont pour objet :

de générer des actions de spam (envoi massif d’e-mails pornographiques ou pharmaceutiques),
de servir de relais pour des attaques DDOS,
de générer du faux trafic vers certains sites,
de capturer le navigateur de vos visiteurs pour leur faire réaliser des actions à leur insu (par exemple votre navigateur réalise des clics sur des publicités sur d’autres sites, insérer des messages sur FB en hackant les profils de vos visiteurs ou des clics sur des liens dans les résultats de Google),
… (imagination sans limites)

Un bon serveur web peut envoyer 60 à 100 millions de spams en une journée. Imaginez que vous découvrez l’intrusion 90 jours plus tard.

Cela fera 5,4 à 9 milliard d’emails pourriels envoyés depuis votre serveur.

Si les emails utilisaient l’en-tête de votre domaine, il y a fort à parier que vos propres envois d’emails seront placés sur les listes noires des différents services de qualité. C’est donc toute votre entreprise qui peut souffrir car vos emails arriveront dans les boites spams.

Comment un hacker arrive-t-il à rentrer sur votre site web?

Dans cette vidéo, réalisée par un consultant en sécurité, vous avez une illustration d’une application « coquille » capable de charger une trentaine d’applications d’attaques qui vont essayer de rentrer par les portes, les fenêtres, la toiture, les caves, le garage, … de votre site web.

Prenez la peine de regarder les premières minutes, vous serez surpris de voir la vitesse avec laquelle, il réalise l’opération d’intrusion.

La plaie des mini-sites invisibles

Des mini-sites, en page statique, sont installés au cœur de votre site Web. Ils se trouvent dans des répertoires inaccessibles depuis votre navigation. Ils sont là incognito (pour vous).

Ces faux sites ont pour principale stratégie de créer des réserves de pages utiles pour créer des liens vers d’autres sites monnayables.

Dans ce cas-ci, les pirates ne sont pas intéressés par vos visiteurs. Ceux-ci ne verront jamais ces pages.

Mais les moteurs de recherche, eux, trouveront des liens cachés dans votre navigation. Arrivés sur ces pages « factices », ils suivront les liens sortants reliant d’autres sites web.

En manipulant l’algorithme de Google, ces pirates arrivent à créer des réseaux de milliers de sites. Ils connectent des centaines de milliers voire des millions de pages.

Imaginez une défaillance sur un plugin qui est installé sur 500.000 sites web. 100.000 sites sont infectés. Prenons l’exemple de voir installé 2 mini-sites de 100 pages sur chacun des sites infectés.

Bingo ! Vous avez 20 Mo de pages à votre disposition.

Cette toile d’araignée « invisible » fabrique une fausse popularité aux sites qu’ils veulent réellement promouvoir. Ce qui leur permet d’obtenir d’excellents classements dans les résultats de Google (et d’autres moteurs).

Votre site est sérieux. Il existe depuis plusieurs années. Vous avez produit des centaines voire des milliers de pages. Vous avez obtenus des liens « propres » depuis des sites de confiance.

Il est donc très difficile pour Google de découvrir l’entourloupe.

Du moins rapidement.

Et quand le pot aux roses est découvert, c’est votre domaine qui est pénalisé par Google. Votre site peut être simplement déclassé de ses indexes en souffrant d’une pénalité manuelle.

Les pirates s’en moquent : vous êtes un perdu parmi des centaines de milliers.

La mauvaise nouvelle : les netlinks ou backlinks pourris

Les pirates ont utilisé « leur toile » pour vous envoyer des centaines de liens malsains vers les pages cachées au cœur de votre site web.

Ils en ont besoin pour créer une « fausse popularité » qui a son tour influencera d’autres pages.

Une fois l’attaque neutralisée sur votre serveur, vous aurez effacés les mini-pages. Mais les backlinks pourris pointeront toujours vers votre site. Et cette mauvaise réputation sera très dommageable si vous n’agissez pas fermement pour la nettoyer.

Commence alors votre parcours de pénitence : un long travail de nettoyage et de sollicitation de clémence des employés du dieu Google en charge vérifier vos efforts.

Vous pouvez attendre trois à six mois avant de retrouver les classements sur les requêtes que vous convoitez.

Dans le prochain article

Nous aborderons les bonnes pratiques à gérer en amont de votre projet web sur le CMS WordPress.

Crédit photo : mibuchat