Il y a peut être déja du buzz autour de ce film « Bienvenue chez les Ch’ti’ mais on en rajoute, étant du Ch’Nord (bien que ce soit d’adoption pour David et d’origine pour Anne-Sophie)… voilà, courez aller voir ce film, c’est la sortie ch’nationale!
Anne-Sophie et David, les e-commerçants écolos Ch’ti.
Parole de notre médiatique ambassadeur des Chtis de la ville d’Armentières. Attention interview en Chti sous-titrée.
Suite à une discussion sur le sujet avec Edwood, il nous est apparu important pour la démonstration et afin de vous rendre compte de l’importance de sécuriser ses scripts de vous donner quelques exemples d’URL de scripts « pirates » que l’on essaye de faire tourner chez vous. Que vous ayez une boutique, un simple blog ou autre… Si vous savez lire le code informatique, tant mieux pour vous sinon demandez à votre expert informatique et demandez lui ce que font les scripts suivants… Vous serez certainement très surpris.
https://210.176.70.186/cse.jpg
https://canalpt.net/catalog/images/12.txt
https://vps.istri.info/manual/secure.txt
Attention ,les URLs suivants ne sont pas permanents. Ils proviennent à notre avis de sites intermédiaires utilisés par les pirates.
A l’heure où vous lisez ces articles. Certains URL ne seront probablement plus accessibles.
Depuis que nous avons mis en place une sorte de caméra de sécurité virtuelle (en prévention) sur notre serveur, nous mesurons encore plus l’importance de sécuriser nos sites web en général. Cela nous a permis d’abord de dresser le constat suivant et de notre expérience vous préconiser quelques recommandations:
Constats
1°) Nos sites web sont quotidiennement attaquées et probablement tous les sites web existants sur la planète.
2°) Que ces attaques viennent de tous les pays ou supposémment (certains se cachent derrière des serveurs).
3°) Que ces attaques sont automatisées (pour la plupart) ou manuelles dans certains cas.
Concernant les attaques automatisées, cela s’apparente à un sorte de robot qui coure le web en testant les vulnérabilités des sites web et tentent d’y faire éxécuter du code externe pour récupérer informations et données en provenance de votre serveur. Le pirate lui n’a plus qu’à récupérer les informations extraites. Après analyse de certains scripts, on découvre que ces programmes peuvent jusqu’à parcourir votre serveur identifiant toutes les failles possibles (dossiers non protègés, liste de mot de passe, etc) voir y implanter un « cheval de troie » pour de futures opérations.
Concernant les attaques manuelles, des pirates ou apprenti pirates tentent d’exploiter des failles de sécurité sur votre serveur. Soit un pirate s’en prend spécifiquement à votre site web soit il ne fait que profiter d’une faille connue qui n’a pas été encore corrigé sur votre serveur (ce qui est à notre avis plus fréquent).
En effet, les spécialistes de la sécurité avertissent régulièrement la communauté des failles de sécurité afin que tous puissent la corriger rapidement. L’effet pervers étant que certains en profitent pour utiliser cette information pour tenter de pénétrer votre site web.
La logique du pirate rentable
Un pirate qui souhaite être « rentable » ne va pas s’attarder sur un site apparemment sécurisé, il va passer son chemin et va plutôt se diriger ves d’autres sites moins sécurisés où il a plus de chance d’avoir « son retour sur investissement » (comme un voleur). D’où l’interêt d’exploiter des failles connues pas encore corrigées. Comme dans le monde physique, il faut être assez disuassif, pas forcément totalement sécurisé comme une forteresse style du coin d’un oeil: « qui va la? montrez patte blanche » ce qui pourrait être alors disuassif pour vos visiteurs classiques.
De notre côté, récemment, une faille a été publiée concernant un script particulier et ne vous inquiétez pas, dans les jours ou semaines suivants la publication de cette faille, vous êtes surs que la faille a êté testée (et va encore l’être) à maintes reprises, cela est notre cas. Heureusement pour nous que nous sécurisons un minimum notre site web et cela n’a eu aucun effet.
4°) Des motivations différentes à l’origine de ces tentatives d’intrusion
Les motivations semblent différentes. Il y a les ‘hackers éthiques’ et les non éthiques. Il a été reporté que certains « hackers » éthiques alors préviennent alors le webmaster de la faille, d’autres essayent de vendre leurs services après détection du problème et d’autres saisissent l’opportunité pour voler informations et données confidentielles.
Nos conclusions
1°) Rassurant: Pas d’informations bancaires sur notre serveur
C’est là que nous sommes contents qu’aucune information bancaire n’est stockée sur notre site et que toute cette partie est externalisé à notre partenaire bancaire. Nous partons du principe que personne n’est à l’abri d’une faille de sécurité (c’est pas la Société Générale qui pourra nous contredire). Pour le client, bien qu’il doit resaisir à chaque fois ses coordonnées bancaires, cela est bien plus sécurisant.
2°) Faire de la veille sécuritaire.
Soit vous (ou votre responsable informatique) êtes responsable de vos scripts, à vous de faire de la veille sécuritaire. Si vous avez un site complètement externalisé (c’est à dire que vous ne vous occupez pas de la partie scripts web), discutez en avec votre prestataire pour voir sa politique sur la question. N’hésitez pas à regarder ce que dit le contrat en la matière car personne n’est à l’abri d’une faille de sécurité.
3°) Faites les mises à jour le plus rapidement possible.
Si les mises à jour concernent un aspect de la sécurité du site web, alors le plus tôt, le mieux.
4°) Faites de la prévention
Des milliers de visiteurs visitent chaque jour votre site. Impossible de repérer qui fait quoi… alors essayez de détecter en amont les comportements suspicieux sur votre site. Attention à veiller entre un subtil équilibre entre sécurité et performance de votre site web.
5°) Essayez de garder vos messages d’erreur pour votre responsable informatique
Quand un programme /script plante à l’écran, nous vous conseillons de garder vos messages d’erreur explicites pour vous car tout plantage peut donner signal à un pirate des failles potentielles de votre site. Evitez donc d’afficher les messages d’erreur explicites (celui qui dit pourquoi techniquement votre page web a planté) de votre site (ou alors faites le de manière plus discrète ou par email).
Une des contradictions relevées dans notre expérience d’ecommerçant écolo!
L’urgence
Visiteur: Bonjour, il nous faudrait ce produit écologique le plus rapidement possible. C’était pour hier! ».
TAV: « Euh…il y a l’option express. Il faut savoir que l’express, ce sont tous les moyens rapides mises à disposition pour acheminer votre colis c’est à dire avion avion + camion + tournée spéciale à l’adresse de livraison »
Sans commentaires
En écologie, on s’attarde sur les flux d’énergie et de matière… mais il existe aussi une « écologie de l’information » avec ses producteurs, ses consommateurs et malgré cet aspect « non palpable », cela a pourtant des effets qui peuvent se réveler terribles sur le monde vivant et notamment nos concitoyens (lynchage médiatique, rumeurs colportés par la presse, etc)!
Pour aborder ce sujet, nous vous recommandons chaudement notre lecture du moment: « Le Grand Bazar de l’info ou pour en finir avec le maljournalisme », d’Yves Agnès.
Tout un système qui part en vrille
L’auteur nous dresse l’état du monde de l’information en France et ce n’est pas terrible, terrible: précarité des travailleurs de l’information, uniformisation et marchandisation de l’information, irresponsabilité des médias (surtout quand des fausses informations sont données), non éthique, lynchage médiatique, « pipolisation »… Ce qui était à l’origine un outil démocratique se transforme peu à peu en outil de divertissement! Bref, à lire et à relire!
Quelques points notables
Les effets de la recherche du profit dans le monde de l’information
Cela a des effets directs et immédiats sur l’information: diminution de la qualité de l’information, et uniformisation du type d’information. Le quantitatif privilège le qualitatif. L’information est de moins en moins fiable. Il y a un chapitre intéressant sur les effets positifs et négatifs de changement de propriétaire. Là où la presse pouvait enfin se libérer du gouvernement et de l’Etat, elle est soudain devenue prisonnière d’interêts privés. Privé? Public? Eternel question? Dans tous les cas, la concentration de pouvoir est toujours mauvaise que ce soit l’un ou l’autre.
La disparition de l’éthique dans le monde de l’information
Peu à peu, l’auteur semble dire que l’éthique dans la profession devient de plus en plus rare. Présomption d’innocence? Des noms ou des fausses informations sont balancées au grand public (par exemple l’affaire actuelle de la Société Générale), rarement les médias reviennent sur leurs erreurs, ils ne sont jamais responsables, pas de mea culpa. Ils balancent des informations sans se préoccuper des conséquences sur la vie des ces personnes. L’auteur semble dire qu’actuellement une carte de presse ne garantit pas l’intégrité et l’éthique d’un journaliste. Certains vont travailler pour des magazines « people » alors que d’autres se lancent plutôt dans l’investigation mais surtout ce qui est compliqué, c’est que personne ne veut une « autorité » pour protéger l’intégrité et l’éthique de la profession.
Extraits éditeur
Informations fausses, biaisées, purement promotionnelles, » pipolisées « , minimisées ou sur-valorisées… Les » bavures » sont quotidiennes dans les journaux, à la radio, à la télévision, sur Internet. De la petite erreur qui agace aux tromperies caractérisées qui révoltent, l’info est à la dérive. Elle est devenue une simple marchandise, un spectacle permanent, une course à l’audience au mépris du public. Depuis une vingtaine d’années, la malinformation a pris une ampleur considérable, entamant sérieusement la confiance envers les journalistes et les médias. Désormais, on leur demande des comptes. Car une bonne information est nécessaire au bon fonctionnement de la démocratie. Yves Agnès montre l’ampleur des dégâts et en analyse les principales causes. Il propose aussi des solutions, qui passent par le réveil des citoyens, des responsables politiques et des journalistes.
Nous vous conseillons ce livre pour mieux decrypter le monde de l’information qui nous entoure.