Leçon 3 : À quoi ressemblent les menaces pour la sécurité?
Il existe plusieurs types de menaces pour la sécurité. Le fait d’être conscient.e de certaines menaces courantes peut t’aider à mettre en place un plan pour faire face à ces problèmes. Les menaces peuvent prendre la forme de vulnérabilités des logiciels, d’attaques de mots de passe ou même d’événements de crise.
Attaques sur les vulnérabilités du code logiciel
On parle d’attaques sur les vulnérabilités du code logiciel lorsque des attaquant.es trouvent des faiblesses dans le code de ton site Web et les exploitent. Il existe trois principaux types de vulnérabilités des logiciels.
- Attaques par injection SQL (Structured Query Language/langage de requêtes structuré) : Un.e attaquant.e fait en sorte que la base de données SQL de ton site Web (l’endroit où sont stockées les données de tes client.e.s) révèle des informations sensibles ou se modifie elle-même.
- XSS (Cross-Site Scripting/exécution de scripts de site à site) : Un.e attaquant.e fait en sorte que ton site Web charge un code JavaScript malveillant dans le navigateur d’un visiteur.
- RCE (Remote Code Execution/exécution de code à distance) : Un.e attaquant.e fait en sorte qu’un fichier de site Web exécute un code malveillant qu’il lui fournit.
Conclusion : Surveille ton site et mets en place d’autres mesures pour t’assurer qu’un pirate n’essaie pas de s’introduire dans ton code. (Nous parlerons des moyens de le faire dans la prochaine leçon.)
Attaques sur les mots de passe
Les attaques sur les mots de passe visent les internautes dont le mot de passe est faible. Les deux attaques les plus courantes sont les attaques par force brute et les attaques par bourrage d’identifiants.
- Force brute : Imagine quelqu’un devant une porte verrouillée avec un trousseau de clés contenant un million de clés, mais ne sachant pas laquelle ouvre la serrure, la personne insère chaque clé jusqu’à ce qu’elle trouve la bonne. C’est une attaque par force brute. Un.e attaquant.e utilise une énorme liste prédéfinie de mots de passe courants (des millions de mots de passe) jusqu’à ce que l’un d’eux fonctionne, qu’il/elle soit bloqué.e ou qu’il/elle abandonne. C’est pourquoi l’utilisation d’un mot de passe unique protégera au mieux tes comptes!
- Attaques par bourrage d’identifiants : Un.e attaquant.e obtient des données relatives à des noms d’utilisateur et à des mots de passe à partir de brèches de données connues, puis tente de se connecter avec le même nom d’utilisateur ou le même mot de passe sur d’autres sites Web. C’est pourquoi la réutilisation des mots de passe est si dangereuse. Par exemple, si tu utilises le même nom d’utilisateur et le même mot de passe sur de nombreux sites Web, les pirates pourront se connecter à tous tes autres comptes si un seul d’entre eux est compromis.
Conclusion : Choisis un mot de passe solide et ne le réutilise pas dans plusieurs comptes! Cette vidéo te montre comment sécuriser tes mots de passe.
Événements de crise dans ton centre de données d’hébergement
Les événements de crise survenant dans le centre de données de l’hôte peuvent également constituer une menace. Il peut s’agir d’incendies, d’inondations ou même de pannes matérielles au niveau du réseau. Ces événements peuvent provoquer la déconnexion de ton site Web du réseau ou même la perte de données si tu ne disposes pas d’un système de sauvegarde.
Conclusion : Tu ne peux pas empêcher une catastrophe comme une inondation, mais tu peux faire une sauvegarde de ton site pour ne pas avoir à le reconstruire de A à Z.
Lien : Voici la solution de sauvegarde de site Web automatique de GoDaddy que tu peux configurer et oublier
Tu te sens un peu dépassé.e? Ne t’en fais pas! Il y a de l’espoir.
SQL, XSS, RCE… oh là là! Tout cela peut sembler un peu compliqué. Ne t’en fais pas, nous allons t’expliquer les mesures pratiques que tu peux prendre pour sécuriser ton site Web dans la prochaine leçon. Si tu veux obtenir un peu plus d’informations avant de poursuivre, consulte les ressources supplémentaires ci-dessous.