sécurité

Les sites non HTTPS ciblés par Google Chrome 62

Https securiteGoogle a toujours œuvré pour l’optimisation de la sécurité des utilisateurs et de leurs données sur le web. Prévu pour le mois d’octobre 2017, Chrome 62 a été conçu pour mieux informer les utilisateurs sur les risques liés aux interactions sur des plateformes non HTTPS.

Chrome 62 : un nouveau système d’avertissement à la disposition des utilisateurs

Récemment, Google a lancé une vaste campagne e-mailing ayant pour objectif d’informer les webmasters sur les changements apportés à Chrome. A partir du mois d’octobre 2017, le navigateur va fournir un nouvel avertissement “non sécurisé” aux internautes accédant à des sites non HTTPS.

L’avertissement est disponible en navigation classique, en navigation privée et serait dynamique, selon la firme de Mountain View.

En navigation non privée, la version 62 de Chrome avertit l’utilisateur dès que celui-ci renseigne un champ sur une plateforme non sécurisée. Le message devrait s’afficher même si il n’était pas présent durant le chargement de la page.

En mode privée, elle informe l’internaute sur la faible protection de leurs données dès le chargement des pages de sites non HTTS, mais également lors du remplissage de champs.

Un encouragement à la migration vers HTTPS

Les messages d’avertissement sont déjà présents sur les anciennes versions de Google Chrome, mais cette mise à jour devrait permettre au navigateur de cibler un nombre plus important de sites présentant des interfaces non-sécurisées. Elle vise aussi à mieux informer les utilisateurs sur les risques qu’ils encourent.

En renforçant l’efficacité de son système d’avertissement, Google souhaite encourager les plateformes à migrer vers HTTPS et donc de fournir un meilleur niveau de sécurité aux internautes. En refusant de se plier à cette exigence, un site web s’expose à divers problèmes, tels que l’augmentation du taux de rebond. 

A titre d’information, près de 50% des Français privilégient Google Chrome lors de leur navigation sur la toile.

Vous souhaitez bénéficier d’un accompagnement de professionnel dans la création et le renforcement de la sécurité de votre site web ? Contactez Futur Digital.

Les précautions à prendre pour éviter les piratages informatiques

HackingAucun site n’est à l’abri d’une attaque informatique pouvant entrainer de graves répercussions sur ses activités. Hormis les anti-virus classiques, il est nécessaire de prendre quelques précautions afin d’empêcher les piratages.

Les solutions pour sécuriser un site web

Un simple anti-virus peut difficilement bloquer les attaques informatiques sur un site web. Pour se protéger contre le piratage, il est tout d’abord conseillé d’installer un plug-in de sécurité sur son CMS.

Ensuite, il est important de changer les droits des divers fichiers de sa plateforme. Cette opération est réalisable, à condition que le serveur accepte les modifications.

Après les changements de droits, il est indispensable de mettre en place un système de sauvegarde régulier des données. Cette mesure permet d’effacer les éventuels fichiers corrompus, en cas de piratage, sans pour autant perdre les données de sa plateforme.

A titre d’information, il est également recommandé d’effectuer une mise à jour constante de son système de protection.

Que faire en cas de hacking ?

Dans de nombreux cas, un site ayant subi une attaque informatique présente des modifications qui n’ont pas été effectuées par son administrateur. Ces modifications peuvent toucher sa mise en page et entrainer des dysfonctionnements au niveau du panneau d’administration : touche ne répondant pas, etc.

Dès la détection d’un changement inhabituel sur sa plateforme, il faut en premier lieu analyser ses données puis, faire appel aux autorités compétentes. Afin de paraître crédible aux yeux de la police et de porter plainte plus facilement, il est fortement conseillé de réunir et de présenter toutes les preuves de l’attaque.

Il est à noter que, certains CMS sont nettement plus aisés à pirater que d’autres. Bien qu’il soit le système de gestion de contenu le plus utilisé, Wordpress est sans nul doute le plus fragile face aux attaques informatiques.

Vous souhaitez renforcer la sécurité de votre site et de vos données ? Faites appel à un professionnel. Contactez Futur Digital.

WordPress 4.7.1 : mis en place pour résoudre des problèmes de sécurité

Security wordpressWordPress 4.7.1 a connu récemment une mise à jour pour permettre aux utilisateurs du système de gestion de contenu open-source de résoudre un certain nombre de problèmes de sécurité. Les développeurs de WordPress incitent donc les utilisateurs du CMS à appliquer la mise à jour qui corrige les failles de sécurité enregistrées dans les versions antérieures. Découvrez les avantages de cette nouvelle version.

Les problèmes de sécurité résolus grâce à la nouvelle version WordPress 4.7.1 

La version WordPress 4.7.1 corrigent les failles de sécurité telles que :

  • Remote code execution (RCE) dans PHPMailer. La mise à jour a concerné PHPMailer. 
  • TREST API qui expose les données utilisateurs à tous ceux qui disposent des droits de publication d’un article public. La nouvelle version a posé des limites spécifiques sur l’API REST.
  • Cross-site scripting (XSS) via le nom d’un plugin dans update-core.php.
  • Cross-site request forgery (CSRF) bypass via l’upload de fichier Flash.
  • Cross-site scripting (XSS) via le fallback du nom du thème.
  • La publication via le mail par défaut mail.example.com si les paramètres par défaut n’ont pas été modifiés.
  • Cross-site request forgery (CSRF) au sein de l’édition live des widgets. Le CSRF aussi appelé XSRF est un type de vulnérabilité des services d’authentification web.
  • La faiblesse cryptographique dans l’implémentation de la clé d’activation en mode multisite.

Comment procéder à la mise à jour ?

Le processus de mise à jour se fait automatiquement. Si toutefois, les mises à jour automatiques des versions sont désactivées, il faut aller sur le tableau de bord dans «  Mises à jour » et cliquer sur « Mettre à jour maintenant » et le tour est joué.

Pour tous vos soucis de sécurité sur Internet, n’hésitez pas à recourir le service d’un professionnel. Faites appel à Futur Digital.

L’Europe encore vulnérable à une cyber-attaque majeure

Cyber attaqueEn 2016, l’Union Européenne a réalisé son quatrième exercice de cyber défense et malgré les mesures prises, il semblerait que le Vieux Continent ne soit pas encore prêt à faire face à une cyber-attaque majeure.

Une simulation pour évaluer le niveau de sécurité en Europe

Le quatrième volet de l’exercice de cyber défense “Cyber Europe 2016” a vu la participation de 28 pays de l’UE, ils ont évalué et optimisé leur capacité à faire face à d’importantes attaques informatiques.

Mobilisant plus de 1 000 personnes, l’exercice a duré plus de six mois et s’est terminé par un entrainement intensif de deux jours, le 13 et 14 octobre. Elle a été réalisée sous la supervision de l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l’information) et a porté aussi bien sur des données informatiques que sur des comptes de réseaux, des spots d’information télévisuels et des articles diffusées en ligne.

Pour mettre les participants dans une situation plus ou moins réelle d’attaque cybernétique de grande ampleur, les organisateurs ont imaginé un scénario catastrophe dans lequel un groupe de pirates procèdent à la diffusion de faux messages sur les médias sociaux, de révélations compromettantes ainsi qu’à la suppression de données d’entreprises et d’organisations européennes. 

Des efforts à fournir

Après le quatrième volet de l’exercice, l’Agence européenne chargée de la sécurité des réseaux de l’information a effectué un bilan et a remarqué, dans un premier temps, une certaine amélioration de la coopération de crise au niveau de l’Union Européenne.

Elle a également constaté que la gestion et la communication de crise ont atteint un niveau plus élevé sur le Vieux Continent.

Toutefois, l’agence a décelé un manque d’efficacité dans les processus mis en place pour la gestion d’une cyber-attaque de grande ampleur. Pourtant, selon elle, l’efficacité opérationnelle générale dépend en grande partie de celle de ces processus.

Dans l’optimisation de la sécurité de votre site web, n’hésitez pas à faire appel à l’expertise de Futur Digital.

Comment se prémunir d’une fraude sur internet ?

Fraude internetL’achat en ligne s’est démocratisé partout dans le monde. Personne n’est à l’abri d’une fraude lors d’un paiement sur internet. Il est donc essentiel de mieux s’organiser et de se protéger face à cette menace à dimension internationale, puisque les arnaqueurs ont la capacité de créer un site « vitrine ».

Vérifier la véracité du site avant d’acheter

Quelques outils peuvent être téléchargés gratuitement pour fournir l’évaluation donnée par les cybernautes. Ces add-on peuvent répondre sur la crédibilité ou non d’un site marchand visité par les consommateurs.

Les Conditions Générales de Vente (souvent abrégées par le sigle CGV) livrent des renseignements, tels que le prix, la provenance du produit, la livraison, le numéro de téléphone, l’adresse postale de l’e-commerçant, etc.

Les mentions légales sont obligatoires sur un site de vente en ligne. Elles apparaissent souvent en bas d’une page internet.

Le « https:// » atteste de l’authentification de l’e-boutique du codage des données de son site web. Il doit strictement apparaître lors du paiement en ligne, tout en indiquant que la transaction est bel et bien sécurisée. La vérification de ce protocole permet à un e-consommateur d’éviter les actes frauduleux.

Contacter le service client et se renseigner sur la solution de transaction

La solution le plus simple consiste à appeler personnellement le service commercial pour s’assurer qu’une personne physique peut accompagner l’acquéreur avant, durant et surtout après la vente. Il est conseillé de s’abstenir s’il n’y a aucun numéro ou au moins une adresse mail affichée sur le site.

La confirmation du mode de paiement par un appel téléphonique est importante pour vérifier la solution de transaction employée par l’e-commerçant. Si la solution utilisée n’est pas claire, il est primordial de se rendre sur la page internet de la société pour vérifier son authenticité.

Pour sécuriser votre site et vos activités sur le web, offrez-vous l’accompagnement d’un spécialiste. Contactez Futur Digital.

Les prestataires d’audit de sécurité informatique ayant une qualification PASSI selon l’ANSSI

Securite 1La sécurité informatique est essentielle pour ne pas s’exposer à des risques de piratage. C’est dans ce contexte que beaucoup de sociétés ou d’organisations confient la gestion de la sécurité de leur système informatique à des prestataires externes. Actuellement, l’ANSSI ou Agence Nationale de la sécurité des SI compte 11 prestataires d’audit de sécurité informatique qualifiés PASSI.

ADVENS

Cette entreprise a déjà plus de 15 années d’expérience dans le domaine de la sécurité informatique. Elle a une longue liste de clients dont Accor, McDonald's, SFR, Société Générale, etc.

AMOSSYS  

Cette société basée à Rennes a été créée par des consultants maitrisant le monde de l’industrie de la défense et du service en 2007. Elle possède deux locaux à Paris et compte parmi ses clients le ministère de la Défense, Thales ou encore France Telecom.

Bull

Elle fait désormais partie d’Atos. Installée en Ile-de-France, elle est connue pour son ancienneté et ses activités dans la sécurité informatique.

CGI Business Consulting

Il s’agit d’une filiale du groupe canadien CGI qui compte près de 10 000 collaborateurs en France. La plupart des entreprises du CAC 40 sont ses clients.   

Hervé Schauer Consultants

Elle a été fondée en 1989 et compte près de 500 clients.

I-Tracing

Implantée en Ile-de-France, elle a été fondée il y a dix ans. Elle possède deux locaux à Londres et travaille pour les grands comptes, notamment Crédit Agricole, Bolloré, la préfecture de Police de Paris ou la RATP.

Intrinsec Sécurité

Elle a rejoint la SSII Neurones en 1999 et a développé ses activités dans le monde en 2014. Elle possède un centre certifié d'alerte et de réaction aux attaques informatiques ou CERT.

Lexsi

Lexsi possède plus de 200 spécialistes et compte un CERT ou Computer Emergency Response Team.

Sogeti ESEC

Sogeti ESEC est une filiale du groupe Capgemini.

Solucom

Fondée en 1990, Solucom emploie plusieurs experts en sécurité informatique. Elle dispose d’un CERT depuis 2013.

Thales Communications & Security

Elle a été fondée en 2011 par le groupe Thales. Elle vise particulièrement les marchés mondiaux de la défense, de la sécurité et du transport terrestre.

Pour vous conseiller sur votre sécurité sur Internet, faites appel à Futur Digital, un vrai professionnel dans le domaine.

Règlement sur la protection des données personnelles : Les points à retenir

Protection des donneesLa mise en vigueur du règlement portant sur la protection des données personnelles est prévue pour le 25 mai 2018. Il comporte 99 articles mais certains points doivent d’ores et déjà être pris en compte par les entreprises pour faciliter leur mise en conformité.

Le traitement des données personnelles

L’article 5 du règlement sur la protection des données personnelles porte sur le traitement de ces dernières.

Les entreprises doivent uniquement collecter les données des internautes pour des finalités bien déterminées, explicites et légitimes.

Par ailleurs, elles doivent créer un registre de données, prévoir un système de traitement des donneés sensibles, limiter les renseignements demandés aux utilisateurs, vérifier l’exactitude de ces informations et les mettre à jour régulièrement.

Le responsable du traitement et les sous-traitants pouvant accéder aux informations sont responsables de leur traitement. En cas de non-respect du texte, l’entreprise encoure une sanction allant de 10 millions d’euros à 20 millions d’euros.

La sécurisation des données

Dans les articles 32 à 34, le nouveau règlement exige la mise en œuvre d’un système de protection des données des internautes, dès la conception des produits et des services.

Avant de mettre un article en ligne, un e-commerçant doit penser à la sécurité des informations personnelles que les internautes peuvent délivrer lors de l’acquisition. Il doit mettre en œuvre différentes mesures, telles que la pseudonymisation ou le chiffrement.

La mise en place d’un DPO (Data Protection Officer)

A partir du 28 mai 2018, tout site traitant des renseignements personnels ou réalisant du profiling doit posséder un DPO, ou Data Protection Officer.

Elément indispensable à la mise en conformité d’une entreprise vis-à-vis du règlement, ce professionnel a pour rôle de contrôler, de sensibiliser, de former et d’être en contact permanent avec l’autorité de décision. Dans certains cas, il peut se charger de la création des registres de traitement.

Pour plus d’efficacité en matière de sécurité des données, entourez-vous d’un expert comme Futur Digital.

Pensez à la sécurité de votre data-center

Securite data centerChiffres d’affaires, dossiers personnels, états financiers, documents de veilles concurrentielles…, toutes les informations peuvent maintenant être stockées et gérées virtuellement grâce à l’informatique. Seules les personnes autorisées y ont accès afin d’éviter toute fuite indésirable.

Cependant, il arrive que le système de stockage ou data-center comprenne un défaut et les données deviennent moins sécurisées. Heureusement que la technologie permet de surmonter ce problème. C’est le cas de l’hyperviseur Xen qui est un centre multi-locataire.

Une faille corrigée dans l’hyperviseur Xen

Un hyperviseur, ou gestionnaire de machine virtuelle, est un programme qui permet à plusieurs systèmes d’exploitation de fonctionner sur une même machine.

L’hyperviseur open source Xen est utilisé par des fournisseurs de Cloud, des hébergeurs de serveurs privés et par des systèmes d'exploitation sécurisés comme Qubes OS.

Une faille de sécurité, présente dans le code de base de Xen depuis près de 5 ans dans l’hyperviseur de la même marque, affecte ses versions 4.8.x, 4.7.x, 4.6.x, 4.5.x et 4.4.x, permet à des hackers d'accéder au système d'exploitation et de lire la mémoire de l'utilisateur, ce qui expose les data-centers multi-locataires à leurs méfaits éventuels.

Le data-center est un lieu physique ou virtuel pour stocker et gérer toutes les informations sur un sujet ou une entreprise et ses activités. Leur accès par des personnes indésirables peut entraîner de graves préjudices comme la diffusion d’informations confidentielles.

La vulnérabilité ne peut néanmoins être exploitée que par des systèmes d’exploitation invités. Le logiciel prend seulement en charge les machines virtuelles matérielles (Hardware Virtual Machines) et les machines virtuelles para-virtualisées (PV) basées sur un logiciel.

Qubes (système d'exploitation qui utilise Xen pour isoler les applications à l'intérieur de machines virtuelles) prévient également qu’un hacker peut exploiter cette faille pour compromettre l'ensemble de son système. Ses développeurs ont ainsi corrigé cette faiblesse avec un pack Xen des versions 3.1 et 3.2 de Qubes.

L’agence Futur Digital vous conseille dans le renforcement de sécurité de vos données, faites appel à des professionnels !

La sécurité des applications web : un enjeu stratégique

Securite appLes applications web sont aujourd’hui omniprésentes. Qu’il s’agisse de Facebook, de Webmail ou autres, elles sont utilisées au quotidien par toutes les tranches d’âge.

De la même manière que les sites web, les utilisateurs y accèdent par un simple navigateur : il suffit d'une connexion à Internet.

Cependant, ces applications étant accessibles de partout et par tout le monde, elles sont particulièrement exposées aux attaques de pirates. Dans ce contexte, leur sécurité s’avère un enjeu stratégique pour chaque utilisateur.

Nul n’est à l’abri d'un piratage, prenez les mesures suffisantes

Le monde virtuel est une excellente plateforme de communication. Cependant, il est menacé par un fléau très inquiétant : les cyber-attaques. Personne n’est épargné, tellement les applications web sont nombreuses et facilement accessibles.

Le milieu du web évolue sans cesse et la sécurité de la technologie est un travail difficile à réaliser. Chaque jour voit son nouveau lot de failles de sécurité et de techniques de contournement.

Aujourd’hui encore, de nombreux prestataires travaillent avec des développeurs qui ne prêtent pas attention à la sécurité de leur application. Par conséquent, rien n’est assuré, que ce soit la confidentialité des données ou l’intégrité de l’application elle-même.

Le piratage arrive même aux « meilleurs », pourrait-on dire. Mais il est envisageable de mettre en place des mesures de sécurité pour limiter les dégâts.

Quelques bonnes pratiques

La sécurité de son application web doit être réfléchie en amont. Si dès le départ, vous ne portez pas une attention constante à la sécurité de votre projet, vous pouvez être sûr qu’il comportera des failles.

Il ne faut pas attendre la fin du développement ou une attaque venant de l’extérieur pour colmater une brèche. Cela peut entrainer des conséquences irréversibles et un coût très élevé.

Votre code doit être robuste et ne faites jamais confiance aux entrées utilisateurs ou aux données externes.

Les techniques d’espionnage et de contournement de sécurité évoluent tous les jours, il convient de rester en alerte pour ne pas se faire dépasser par les avancées techniques.

Souhaitez-vous renforcer la sécurité de votre site web, n’hésitez pas à faire appel à un expert pour vous accompagner. Contactez Futur Digital.

Les clés pour éviter la prise d’otage : Ransomware

RansomwareUn Ransomware (Rançongiciel ou logiciel de rançon) est un logiciel qui prend des données personnelles en otage en échange d’argent, qui permet d’obtenir la clé pour les déchiffrer.

Les différents Ransomwares

Différents types de Ransomwares sont utilisés pour des prises d’otages de fichiers personnels d’utilisateurs, dont les Malwares et les Scarewares.

Les Malwares (Locky) sont les logiciels les plus intimidants, mais certaines solutions permettent de s’en défaire. Ils cryptent les fichiers et ne les déverrouille qu’après paiement d’une rançon.

Les Scarewares sont des logiciels plus simples qui se servent de faux antivirus ou de faux outils de nettoyage, ils réclament une rançon pour réparer une fausse panne sur l’ordinateur.

Réparation des dommages

Le Ransomware cause beaucoup de dommages à l’utilisateur et à son ordinateur, car le Malware infecte le PC et masque les icônes, les raccourcis et les fichiers.

Voici comment détecter la présence d’un Ransomware :

Sous Windows 7

  • Ouvrir « ordinateur »
  • Appuyer sur « Alt » et sélectionner « outils »
  • Cliquer sur « Options dossiers » et sélectionner « Affichage »
  • Sélectionner « Afficher les fichiers, les dossiers et les disques cachés », puis cliquer sur OK

Sous Windows 8, 8.1 et 10

  • Ouvrir une fenêtre « Explorateur de fichiers » de Windows
  • Sélectionner l'onglet « Affichage » dans le volet supérieur
  • Vérifier les objets cachés

Dans le cas où l’option « Afficher les fichiers cachés » apparait, ouvrir « ordinateur » ou « explorateur de fichiers », se rendre à « C:\Users\ », ouvrir le dossier du compte Windows, cocher chaque dossier caché, ouvrir « propriétés », décocher le signe caché et cliquer sur OK.

Si les données ne s’affichent toujours pas, les fichiers sont alors cryptés et impossible à décrypter à moins d’avoir la clé de déverrouillage, qui se trouve sur le serveur du pirate.

Les PC qui disposent de système de sauvegarde peuvent scanner les virus sur un autre PC non infecté pour sauvegarder tous les fichiers importants, supprimer Les malwares responsables et restaurer les fichiers sauvegardés.

Certains PC ne disposent pas de système de sauvegarde, alors les utilisateurs peuvent essayer de récupérer certains fichiers à partir de copies de volume masquées « Shadow Volume Copies » (permet la restauration du système Windows) si le Ransomware ne les a pas supprimés.

On peut restaurer et ouvrir « Propriétés » pour afficher la liste des précédentes versions avec le clic droit de la souris, soit utiliser un programme (Shadow Explorer) pour parcourir les instantanés.

La meilleure manière de se prémunir de ces attaques est de sauvegarder les données régulièrement et d’automatiser les sauvegardes de données.

Moyens de protection

Plusieurs méthodes sont utilisées pour éviter les prises d’otages de Ransomware.

  • Utiliser un bon antivirus et tenir à jour Windows, Adobe, Java, etc.
  • Nettoyer régulièrement le navigateur, supprimer les barres d’outils et les add-ons suspects
  • Faire attention aux pièces jointes et aux spams
  • Se doter d’un bon système de sauvegarde

Pour toutes vos préoccupations sur les Rançons logiciels, faites appel à un professionnel pour vous conseiller. Contactez l’agence Futur Digital.

Failles de sécurité sur internet : les stratégies à connaitre

SecuriteAucun site n’est à l’abri de piratage informatique. Le meilleur moyen de protéger sa plateforme est de connaître ses failles et d’apporter quelques modifications. Voici quelques-uns des problèmes qu’on peut rencontrer sur un portail en PHP.

Les problèmes au niveau des variables

Pour exploiter un script d’un site web, certains pirates tentent d’intervenir au niveau des variables. S’ils peuvent agir librement sur ces derniers, ils auront accès aux nombreuses zones de la plateforme et mettre en œuvre leurs plans.

Pour remédier à ce type de problème, il est fortement conseillé d’utiliser des sessions et des cookies. Ils permettront d’éliminer les variables sensibles des URLs du portail et d’empêcher les personnes malintentionnées de les exploiter.

Les redirections

Même si elles sont pratiques, les redirections sont à bannir puisqu’elles peuvent faciliter l’accession aux espaces protégés. En effet, en entrant un faux de mot de passe, le visiteur va tout d’abord atterrir sur la page protégée, avant d’être immédiatement redirigé vers un message d’erreur. S’il souhaite réellement effectuer des actions illégales sur le site, il pourra donc bloquer son navigateur ou enregistrer la page afin de voir l’intégralité de l’espace protégé.

Pour que les pirates ne puissent exploiter les redirections, il est conseillé d’empêcher les visiteurs d’entrevoir les espaces protégés de sa plateforme, en entrant par exemple :

If ($password != “mot de passe”)  {Print’ Insérez le contenu de votre section admin’ ;} else {print’ Erreur de connexion !’ ;}

La faille include

En exploitant la faille include, un pirate peut accéder à l’intégralité d’un site et y apporter des modifications, telles que l’ajout ou la suppression de fichier. Il peut également installer des programmes malveillants sur la plateforme et consulter les mots de passe de l’administrateur.

Les portails qui subissent ce type de problème ont souvent un code de type : < ? include ($page) ?>. Ces sites intègrent des pages à d’autres et sont soumis à des risques de piratage. Dans la majorité des cas, leurs URLs se présentent sous la forme suivante : http://wwwnomdusite.com/index.php?page=accueil.php.

Le meilleur moyen d’éliminer cette faille est d’entrer un code qui permet d’enlever les caractères spéciaux comme les slashs. Ainsi, quand le pirate tentera d’intégrer un script, il devra utiliser au moins un slash et un message d’erreur apparaîtra automatiquement.

Comment sécuriser et protéger votre site internet développé sous le CMS Joomla ?

Securite joomlaJoomla est un système de gestion de contenu très populaire. Mais comme ces confrères CMS, il est très souvent la cible privilégiée des pirates. Chaque jour, des milliers de sites Wordpress sont piratés,  la cause principale est souvent une négligence au niveau de la sécurité.

C'est pourquoi il est important de protéger votre blog si vous ne voulez pas perdre tout votre travail et le temps investi dans votre projet. Comment sécuriser et protéger votre site internet développé sous le CMS Joomla ?

Assurez-vous que votre site Joomla et que vos extensions sont à jour

La règle principale pour éviter de se faire pirater est de s'assurer que votre site est bel et bien à jour. Dès qu'une faille de sécurité est repérée, elle est très rapidement corrigée par les équipes de Joomla qui publient une nouvelle mise à jour corrective.

Il est donc impératif de mettre régulièrement votre site internet à jour afin de mieux le sécuriser. Il est judicieux de faire une vérification toutes les semaines.

Par ailleurs, les extensions sont des éléments importants sur lesquelles repose une grande partie de la sécurité du blog. En effet, lorsqu’une extension est obsolète, elle représente une porte ouverte pour un hacker qui profitera de cette brèche pour ravager votre site.

Vérifiez régulièrement que vos extensions sont toujours développés et mises à jour par son développeur.

Vérifiez et mettez à jour vos thèmes

Avant de télécharger un thème, vérifiez s'il existe des avis sur lui et sur son développeur. Les thèmes ne sont pas que de simples images et autres illustrations graphiques, ce sont de vrais logiciels. Il faut donc les mettre à jour.

Utilisez un login et un mot de passe compliqué

Il est étonnant, voire choquant, que des millions de personnes utilisent des mots de passe génériques, comme "password", "azerty", "123456", leur date de naissance. Ces informations sont faciles à retrouver pour un hacker.

Corsez votre mot de passe avec une combinaison de chiffres, de majuscules et d’accents ou de phrases par exemple. 

Pour mieux sécuriser votre site, il est avisé de faire appel des spécialistes. Contactez dès maintenant l’agence Futur Digital pour un meilleur accompagnement.

La sécurité des objets connectée : Un problème marginal ?

Cyber securiteQu’il s’agisse d’interphones, de caméras de surveillance, de montres sophistiquées ou de réfrigérateurs, les objets connectés se sont multipliés et bouleversent déjà les habitudes. Connectés 24h/24 à Internet, ils sont conçus pour faciliter nos conditions de vie et bien souvent on en oublie même leur présence.

Pourtant, tapi dans l’ombre, un danger nous guette : ces objets peuvent être utilisés pour lancer des attaques. Est-ce vrai ou est-ce une série de légendes? La sécurité des applications IDO (Internet Des Objets) est une question qu’il convient d’analyser et de démystifier.

La sécurité des objets connectés est-ce trop compliqué ?

D’où vient le problème ? Certains sites ont tendances à proposer des solutions simples et magiques pour une sécurité efficace des objets connectés, c’est n’est rien d’autre que du marketing !

En effet, tout comme une architecture a besoin de murs pour renforcer sa résistance, de même une protection efficace de l’IDO doit comprendre : 
    Un bon chiffrement
    Une vérification cryptographique de chaque code et configuration
    Une analyse de sécurité externe par des professionnels de la cybersécurité
    Une gestion OTA (Over The Air), notamment pour les mises à jour et le répertoire logiciel, la télémétrie et la gestion des politiques
    Un recours à une sécurité analytique pour contrer les attaquants les plus sophistiqués.

Les applications IOT ne se mettent-elles pas à jour ?

La mise à jour de certains terminaux n’est certes pas le cœur de métier des fabricants d’objets connectés. Cependant, de nombreux équipements connectés tels que les voitures, DAB et autres sont constamment mis à jour. La question clé n’est pas de pouvoir le faire, mais de le vouloir, voire de le devoir.

Il est important de faire la mise à jour régulière des équipements industriels puisqu’ils ont une durée de vie moyenne de 19 ans.
La sécurité coûte-t-elle trop chère pour les milliards de terminaux qu’on déploie ?

Lorsqu’on considère les économies d’échelle qui impliquent un surcoût de la sécurité de seulement quelques centimes d’euros par appareil ou encore les conséquences financières provoquées par une cyberattaque, on se rend compte que cet argument n’est pas valable.

Sachez que l’agence Futur Digital est spécialisée dans la cybersécurité, alors si vous recherchez un expert dans le domaine, contactez-nous.

Les cyber-attaques les plus courantes

Cyber attaques

Le monde virtuel est menacé par un fléau très inquiétant : les cyber-attaques. Perpétrées par des pirates pour la gloire ou de l’argent, ces menaces peuvent être aussi destructrices qu’un attentat terroriste. Que les fins soient liées à de l’espionnage industriel ou entre États, à des escroqueries financières, à de la malfaisance, les cyber-attaques sont alarmantes.

Dans cette rédaction, nous levons le voile sur les coulisses des cyber-attaques, les scénarios les plus courants et les moyens d’y faire face.

Les principales cyber-attaques

L’équipe de Verzion vient de publier son « Data Breach Report », un rapport sur les entreprises victimes de cyber-attaques. Elle s’est penchée sur les 1400 cas d'attaques étudiés par le RISK (Research, Investigations, Solutions and Knowledge) en 2016.

Il ressort de cette analyse que les attaques impliquent désormais tous les services d'une entreprise, du conseil d'administration jusqu’au service informatique en passant par les ressources humaines, la communication…

Pour faire simple, Verizon a créé 16 caricatures des scénarios d'attaques. Ces caricatures sont réparties en quatre groupes :

  • les logiciels malveillants

Il s’agit de l’ensemble de programmes développé dans le but de nuire à un système informatique comme les Ransomware (données prises en otage), le vortex polair ou les attaques encore inconnues.

  • le facteur humain

Ce sont des causes impliquant des erreurs commises par des prestataires extérieurs, la perte ou le vol d'un appareil dont les données sont liées à celles de l'entreprise, une mauvaise manipulation entraînant l'effacement de données sensibles, etc.

  • le matériel compromis

Il s’agit du terminal utilisé comme canal (terminal mobile, le lot et objets connectés…

  • les mauvaises configurations

Ce sont les fichiers dont les droits ou propriétaires ont été mal réglés ou  la dégradation des performances sous l’effet d’une demande excessive.

Les actions à mener en cas de cyber-attaque

En cas de Cyber-attaques, il est recommandé de :

  • Conserver les éléments de preuve ; envisager les conséquences de chaque action
  • Faire preuve de flexibilité ; s’adapter systématiquement aux circonstances
  • Communiquer avec un maximum de cohérence
  • Reconnaître ses limites et s’adjoindre les services de partenaires
  • Documenter les actions et les découvertes ; se préparer à les expliquer

Pour mieux gérer les cyber-attaques, fiez-vous à Futur Digital.

Le guide de la sécurité avancée sur internet

Securite internet

 

 

 

 

 

 

L’internet est une excellente plateforme de communication, de recherche, de savoir et de divertissement. Cependant, cet outil peut être utilisé à mauvais escient, d'où la nécessité d’avoir les bons réflexes de sécurité.

Contrôler la sécurité des terminaux et des points d’accès au réseau

Généralement, les responsables de la sécurité informatique de l’entreprise se contentent de filtrer les pages web qui traversent le réseau. Cette technique est certes efficace, mais elle peut être contournée facilement par les cybercriminels avérés.

Une autre astuce de sécurité bien connue est l’utilisation du protocole TLS (Transport Layer Security), qui assure la confidentialité, l’intégrité des données échangées, l’authentification du serveur et du client. Malheureusement, ce protocole ne permet pas aux Administrateurs Systèmes d’intercepter les contenus des pages quand les utilisateurs visitent les sites web de type HTTPS.

Certains administrateurs mettent en place une autorité de certification au niveau des terminaux ou des points d’accès au réseau pour décrypter et crypter les trafics.

Pour protéger efficacement un réseau informatique, le responsable de la sécurité doit mettre en place un système de défense par couche, contrôler la sécurité des terminaux, des points d’accès et des sorties.

Bloquer les sites internet indésirables

Les sites de paris en ligne, le P2P, les contenus violents et extrémistes peuvent ternir l’image de l’entreprise et impacter le rendement. Certaines opinions laissent croire que ce sont ces sites qui sont les plus corrompus, ce qui n’est pas le cas.

Les sites web les plus attaqués par les cybercriminels sont des sites officiels, de publicité, d’actualité et de fort trafic.

Pour prévenir d’éventuelles attaques, il faut filtrer les URL, scanner les trafics et accéder régulièrement aux patchs.

Rediriger les trafics des utilisateurs hors site vers le siège

Les utilisateurs hors site sont protégés souvent  par un système de routage du trafic vers le siège. Mais les échanges sont lents, la localisation se perd souvent et le coût du trafic est élevé.

Le système UTM est une belle alternative à ce problème, car il permet d’avoir un accès internet local et sécurisé au niveau des autres sites.

Pour bénéficier dune sécurité internet optimale, sollicitez des professionnels. Contactez Futur Digital.

Les règles de base à respecter pour sécuriser ses données

Securite des donnees

 

 

 

 

Malgré la mise en place de systèmes de sécurité issus des dernières avancées technologiques, certains sites web subissent des attaques plus ou moins dangereuses et s’interrogent encore sur les failles de leurs dispositifs de protection. Il faut savoir que, si les pirates informatiques utilisent souvent des techniques telles que les injections SQL ou les Blind SQL injections, ils sont également à l’affût des oublis et des prises de risques des e-marketers et des communicants digitaux pour s’introduire dans un système. Ainsi, bien qu’il soit nécessaire de protéger son site avec des logiciels spécifiques, il faut en premier lieu respecter les règles de base de sécurité.

Ne jamais oublier les mises à jour

L’erreur est humaine et les développeurs, malgré leurs compétences exceptionnelles, peuvent laisser des bugs ou des vulnérabilités dans leurs logiciels. Cependant, afin d’éviter que leurs clients ne soient attaqués, ils mettent en place des mises à jour permettant de corriger les défaillances qu’ils détectent, au fur et à mesure de l’utilisation de leurs programmes. C'est pourquoi il est important de toujours mettre ses logiciels à niveau pour ne pas laisser des failles pouvant être exploitées par les cybercriminels.

Ne jamais prêter son mot de passe

Les pirates sont continuellement en quête de solutions faciles pour s’introduire dans un système. Dans la majorité des cas, ils peuvent demander le mot de passe d’un site pour, soi-disant, répondre à un besoin urgent. L’erreur à ne pas commettre est d’accepter leur requête.

En règle générale, un mot de passe ne doit être utilisé que par une seule personne. Si toutefois, le prêt a eu lieu en raison d’une situation exceptionnelle, il est fortement recommandé de le changer le plus rapidement possible pour éviter les attaques et les vols de données.

Ne jamais cliquer sur un lien suspect

Dans de nombreux cas, les cybercriminels utilisent des e-mails pour s’introduire dans un site. Les courriels sont d’excellents moyens de piéger les web-marketeurs et les communicants digitaux puisque dans la frénésie de leurs activités, ceux-ci s’interrogent rarement sur les possibilités d’attaque via leur boîte.

Pour éviter de se faire piéger, il est donc important de toujours prendre son temps durant la consultation de ses e-mails et d’évaluer la qualité de ces derniers, avant de cliquer sur un quelconque lien pouvant rediriger vers des sites malicieux. 

Dans la sécurisation de votre site et de vos activités sur le web, offrez-vous l’accompagnement d’un expert. Contactez Futur Digital.

Comment un paiement en ligne est-il sécurisé ?

Paiement et sécuriteContrairement aux idées reçues, les arnaques liées aux paiements ne sont pas aussi fréquentes sur la toile que dans les boutiques classiques. Cependant, il est recommandé de bien renforcer la sécurité de votre e-boutique pour éviter les éventuelles attaques des pirates. Mais comment un paiement sur le web est-il sécurisé ?

La sécurisation des paiements en ligne

Le niveau de sécurité diffère en fonction de la solution de paiement. Dans le cas des cartes, la sécurisation est généralement effectuée par la banque et/ou le fournisseur puisque le processus d’achat s’effectue sur leur serveur. Ainsi, l’e-commerçant n’aura pas à mettre en place des systèmes de protection coûteux pour éviter les attaques de cybercriminels.

Si les paiements ne sont pas pris en compte par un tiers de confiance, le cryptage reste la barrière la plus efficace contre les tentatives d’arnaque. Le codage est une solution incontournable pour rendre illisibles par les personnes mal intentionnées les informations relatives aux transactions.

Le cryptage permet également d’éviter la modification des informations et de s’assurer que l’auteur de la transaction n’est pas un pirate.

Il est à noter que tout achat en ligne doit s’effectuer dans un espace sécurisé. Pour connaître rapidement si la page de paiement est sécurisée ou non, vérifiez si l’adresse URL débute par https et s’il présente un petit cadenas fermé.

Les solutions de paiement les plus utilisées

Les chèques et les virements comptent parmi les solutions classiques de paiement sur la toile. Ils sont faciles à mettre en place et ils sont très appréciés par les seniors parce qu'ils offrent un niveau de sécurité optimal. Les sites qui proposent ces moyens de paiement ne sont pas obligés de mettre en place des systèmes de protection spécifiques.

La carte bancaire est la plus utilisée par les internautes. Elle offre également un excellent niveau de sécurité même si les administrateurs des sites marchands doivent, dans certains cas, renforcer leur sécurité pour bloquer les attaques des cybercriminels.

Rapide et efficace, PayPal est un système économique de validation en temps réel des transactions par carte de crédit. Durant l’achat d’un article, le client est automatiquement redirigé sur des serveurs cryptés et le commerçant encaisse directement l’argent sur son compte.

Vous désirez optimiser la sécurité de vos moyens de paiement ? Offrez-vous l’accompagnement d’un professionnel en faisant appel à Futur Digital.

Sécurisation des achats en ligne : les solutions biométriques plus efficaces

Keyboard 621830 640L’authentification à deux étapes utilisant le SMS est une des méthodes les plus utilisées pour sécuriser les transactions sur Internet. Pourtant, selon l’avis d’une agence américaine, cette solution présente des failles.

La sécurité est un des enjeux du commerce en ligne. Les acheteurs ont besoin d’être rassurés lorsqu’ils se rendent sur un site e-commerce. C’est dans ce sens que plusieurs solutions censées protéger contre notamment le piratage des données ont été mises en place. Parmi elles, on a l’authentification en deux étapes qui utilise le SMS que l’on trouve sur notamment sur les réseaux sociaux comme Facebook ou Twitter.

Cette méthode est aussi très utilisée dans le paiement en ligne. Le principe est simple. Pour valider un paiement par carte bancaire, la banque envoie à l’utilisateur un code unique via SMS que ce dernier devra saisir en plus de son mot de passe.

Risque de piratage

Cette méthode est cependant remise en question par la National Institute of Standards and Technology (NIST), l’agence américaine en charge des normes technologiques liées au commerce. Les experts mandatés par la NIST ont identifié des failles dans ce système. Ils ont en effet trouvé qu’il est possible d'intercepter ou de rediriger ces SMS. Un hacker peut ainsi obtenir le code secret d’une carte bancaire en interceptant les messages. Pour cela, il lui suffit d’installer un logiciel malveillant sur le smartphone de l’éventuelle victime pour en prendre le contrôle.

Ainsi, la NIST recommande l’abandon de cette méthode comme moyen d'authentification. À la place, elle suggère l’usage d’application dédiée où le code éphémère est généré par celle-ci. Quelques établissements financiers font déjà appel à ce système pour sécuriser les transactions de leurs clients en France. Mais d’après l’agence, les systèmes les plus efficaces à ce jour s’appuient sur l’authentification biométrique.

En somme, un paiement est validé après reconnaissance des empreintes digitales ou de l’iris. Amazon par exemple a breveté une solution où il faut se prendre en photo pour finaliser un achat. Il faut savoir qu’en France, les personnes qui se sont fait pirater leurs données sont rarement dédommagées.

Pour mettre en place un site sécurisé, faites appel aux services de l’agence Futur Digital.

3 conseils pour sécuriser votre blog sur Wordpress

Wordpress 1415619 640Pour qu’un blog puisse générer des revenus raisonnables et attirer des centaines de visiteurs, il est indispensable de procéder à la réalisation de différentes tâches : référencement, optimisation de la présence sur les réseaux sociaux, etc. Pourtant, ces mois voire ces années de travail peuvent partir en fumée en seulement quelques secondes si le site ne dispose pas de dispositifs de sécurité assez performants pour contrer les attaques des pirates. Voici quelques conseils pour réduire les risques de piratage.

Mettre à jour les jours et Wordpress

Pour éliminer les éventuelles failles de sécurité de votre blog, mettez à jour sa version Wordpress, son thème et ses plugins.

Les mises à jour sont importantes puisque dans la majorité des cas, elles permettent de corriger les problèmes de sécurité repérés par les développeurs dans les anciennes versions.

En règle générale, Wordpress informe les administrateurs sur la présence d’une nouvelle version. Cependant, il importe de procéder à la sauvegarde complète du blog avant l’installation.

Trouver un autre nom d’utilisateur

Il est déconseillé d’utiliser le nom d’utilisateur par défaut proposé par Wordpress. Pour ne pas faciliter la tâche des pirates, il est préférable de supprimer l’utilisateur par défaut et de créer un autre nom.

Il est à noter que les identifiants tels qu’“admin” sont généralement les premières cibles des cybercriminels.

Mettre en place des limites au niveau des nombres d’identifications

Par défaut, Wordpress ne met aucune limite au nombre d’identification. Ainsi, un pirate peut essayer diverses combinaisons autant de fois qu’il le souhaite et peut mettre en œuvre un script pour trouver l’identifiant et le mot de passe correspondant au compte de l’administrateur.

Pour ne pas subir des attaques par force brute, l’idéal est de limiter le nombre d’identifications. Cette technique rendra le piratage bien moins facile et permettra de vous protéger des personnes malintentionnées qui peuvent tenter de pénétrer dans votre blog en essayant quelques combinaisons.

La mise en place des limites peut s’effectuer grâce à l’utilisation de plug-ins, tels que Login Lock Down.

Pour sécuriser efficacement votre blog, optez pour l’accompagnement d’un professionnel en contactant l’agence Futur Digital.

 

Comment protéger votre site des hackers ?

Man 1187192 640  Les pirates attaquent généralement un site web pour la gloire ou l’argent. Certains utilisent des scripts présents sur la     toile, tandis que d’autres créent leurs propres programmes pour s’introduire dans les plateformes web et intercepter des  paiements ou voler des données. Pour renforcer efficacement la sécurité de votre portail, suivez ces quelques conseils.

 Mettre ses logiciels à jour

 En général, les pirates utilisent des programmes pour détecter les failles dans les sites avant de passer à l’action. Pour  éviter qu’ils ne détectent des problèmes au sein de votre plateforme web, mettez à jour vos logiciels de protection et votre  CMS.

À noter que les hackers peuvent utiliser un site comme une plateforme de phishing ou d’envoi de spams. En cas de piratage, l’hébergeur peut décider de suspendre le portail jusqu’à ce que le propriétaire corrige le problème.

Mettre en place des droits d’écriture, de lecture et d’exécution

Les droits d’écriture, de lecture et d’exécution sont d’excellents moyens pour se protéger contre les attaques automatiques des pirates. Néanmoins, sachez que certains hébergeurs n’offrent pas l’opportunité de mettre des règles spécifiques sur un site.

Dans le cas où l’hébergeur ne propose pas de droit de groupe, vous pouvez donc utiliser des droits 604 pour les fichiers et 705 pour les dossiers de votre portail. Ces restrictions permettent de sécuriser efficacement vos données.

Pour renforcer davantage les parties sensibles de votre plateforme, il est recommandé de donner des droits 404 ou 444 au fichier config.php et.htaccess.

Renforcer les mots de passe

Dans de nombreux cas, les hackers tentent de pénétrer dans un site en devinant les mots de passe FTP ou SQL. Changez régulièrement vos mots de passe et optez pour des combinaisons de 8 caractères minimum, comprenant des lettres et des chiffres. Évitez de choisir des mots d’un dictionnaire français, anglais ou allemand. En effet, les hackers ont à leur disposition des dictionnaires de toutes les langues.

Il également déconseillé d’opter pour un mot de passe similaire pour le FTP, la base SQL, l’e-mail et l’interface administration de votre portail.

Dans la sécurisation de votre e-boutique et/ou de votre blog, optez pour l’accompagnement d’un professionnel. Contactez Futur Digital.

×