Quelle est la vulnérabilité de votre fournisseur d'hébergement Web?

Article écrit par:
  • Guides d'hébergement
  • Mise à jour: Sep 14, 2020

Les tentatives de piratage sur les sites Web sont beaucoup plus courantes que vous ne le pensez. Bien que beaucoup d'entre nous ne les voient pas, des attaques silencieuses sont toujours en cours partout sur le net. Une bonne partie des attaques visent les comptes d'hébergement Web.

Il existe deux grandes catégories de vulnérabilités d'hébergement Web. Le premier est général, tandis que le second est plus spécifique au plan. Par exemple, parmi les types de plans d'hébergement Web, l'hébergement mutualisé est généralement considéré comme le plus vulnérable.

Vulnérabilités de l'hôte Web

Vulnérabilités d'hôte Web générique

1. Tentatives de création de botnet

On sait que des acteurs malveillants ciblent des serveurs Web entiers dans leurs tentatives de création Botnets. Dans ces tentatives, les cibles communes incluent les infrastructures de serveur Web et impliquent généralement des exploits accessibles au public.

Ces efforts avancés et concentrés peuvent souvent surmonter les fournisseurs d'hébergement Web moins résilients. Heureusement, une fois découvertes, les vulnérabilités sont généralement corrigées assez rapidement par la plupart des hébergeurs Web.

2. Attaques DDoS

Statistiques des attaques DDoS
Durée des attaques DDoS au premier trimestre 1 et au premier trimestre et au quatrième trimestre 2020. Au premier trimestre 1, il y a eu une augmentation significative de la quantité et de la qualité des attaques DDoS. Le nombre d'attaques a doublé par rapport à la période précédente, et de 4% par rapport au premier trimestre 2019. Les attaques se sont également allongées avec une nette augmentation de la durée moyenne et maximale (la source).

Le déni de service distribué (DDoS) n'est pas une vulnérabilité, mais comme son nom l'indique, est une forme d'attaque. Des acteurs malveillants tentent d'inonder un serveur (ou un service particulier) avec une quantité écrasante de données.

Les services d'hébergement Web qui ne sont pas préparés à cela peuvent être paralysés par ces attaques. Au fur et à mesure que les ressources sont consommées, les sites Web du serveur sont incapables de répondre aux véritables requêtes des visiteurs.

Lire la suite: Options professionnelles pour protéger votre site Web contre les attaques DDoS.

3. Mauvaise configuration du serveur Web

Les propriétaires de sites Web de base, en particulier ceux qui utilisent l'hébergement partagé, n'auront souvent aucune idée si leurs serveurs ont été configurés correctement ou non. Un nombre important de problèmes peut provenir de serveurs mal configurés.

Par exemple, l'exécution d'applications non corrigées ou obsolètes. Bien qu'il existe des mécanismes de gestion des erreurs pour les problèmes techniques qui surviennent pendant l'exécution, les failles peuvent rester invisibles jusqu'à ce qu'elles soient exploitées.

Une configuration inexacte dans le serveur peut empêcher le serveur de vérifier correctement les droits d'accès. Masquer les fonctions restreintes ou les liens vers l'URL seul est insuffisant car les pirates peuvent deviner les paramètres probables, les emplacements typiques, puis effectuer un accès par force brute.

À titre d'exemple, un attaquant peut utiliser quelque chose d'aussi petit et simple qu'un JPEG non protégé pour obtenir un accès administrateur au serveur. Ils modifient un paramètre simple qui pointe vers un objet dans le système, puis ils y sont.

Vulnérabilités d'hébergement partagé

Dans un environnement d'hébergement mutualisé, on peut dire que tout le monde est assis dans le même bateau. Bien que chaque serveur ait potentiellement des centaines d'utilisateurs, une seule attaque peut couler tout le vaisseau, pour ainsi dire.

"Les cinq (fournisseurs de services d'hébergement Web) présentaient au moins une vulnérabilité grave permettant le piratage d'un compte utilisateur", Paulos Yibelo, un chasseur de bogues bien connu et respecté, a dit TechCrunch, avec lequel il a partagé ses conclusions avant de devenir public.

Comme l'a montré Yibelo - L'attaque ne se fait pas par le biais d'une attaque alambiquée ou de pare-feu. C'est simplement par la porte d'entrée de l'hôte du site, ce qui nécessite peu d'efforts pour le pirate informatique moyen.

4. Environnements non cloisonnés

Les comptes d'hébergement partagé sont comme de larges pools de données. Bien que chaque compte dispose de certaines ressources, en général, elles résident toutes dans un même environnement. Tous les fichiers, contenus et données se trouvent en fait sur le même espace, simplement divisé par structure de fichiers.

Pour cette raison, les sites sur les plans d'hébergement partagé sont intrinsèquement liés. Si un pirate informatique accède au répertoire principal, tous les sites peuvent être menacés. Même si un seul compte est compromis, les attaques qui épuisent les ressources auront un impact significatif.

5. Vulnérabilités logicielles

Bien que des vulnérabilités logicielles existent pour tous les types de comptes d'hébergement, les serveurs partagés sont généralement beaucoup plus exposés. En raison du grand nombre de comptes par serveur, il peut y avoir un nombre important d'applications différentes en place, qui nécessitent toutes des mises à jour régulières.

6. Malware

De la même manière que les vulnérabilités logicielles, les logiciels malveillants peuvent avoir un impact profond sur un serveur d'hébergement partagé. Ces programmes malveillants peuvent trouver leur chemin sur les comptes d'hébergement partagé de plusieurs façons.

Il existe tellement de types de virus, chevaux de Troie, vers et logiciels espions que tout est possible. En raison de la nature de l'hébergement partagé, si votre voisin l'a, vous l'attraperez probablement aussi, éventuellement.

Recommandations: hôte Web avec analyse gratuite des logiciels malveillants - Hébergement A2, Hostinger, Kinsta.

7. IP partagée

Les comptes d'hébergement partagé partagent également des adresses IP. Il est courant que plusieurs sites sur des comptes d'hébergement partagé soient identifiés par une seule adresse IP. Cela ouvre toute une série de problèmes potentiels.

Par exemple, si l'un des sites Web se comporte mal (comme l'envoi de spam, etc.), il est possible que tous les autres sites partageant l'adresse IP se retrouvent sur la liste noire. La suppression d'un cna IP sur liste noire est extrêmement difficile.

Lire la suite: Conseils pour choisir un fournisseur d'hébergement Web sécurisé.

Vulnérabilités d'hébergement VPS / Cloud

La nature des VPS ou Cloud signifie qu'ils sont généralement plus sécurisés que serveurs d'hébergement partagé bon marché.

Cependant, le potentiel d'accès à des serveurs interconnectés plus avancés signifie que le salaire des pirates est également plus lucratif. En tant que tel, des méthodes d'intrusion plus avancées sont à prévoir.

8. Falsification de sécurité intersites

Aussi connu sous le nom falsification de requête intersite (CSRF), cette faille est généralement observée affectant les sites Web basés sur une infrastructure mal sécurisée. Parfois, les utilisateurs enregistrent leurs informations d'identification sur certaines plates-formes, ce qui peut être risqué si le site Web correspondant ne dispose pas d'une infrastructure solide.

Ceci est particulièrement courant sur les comptes d'hébergement Web auxquels on accède régulièrement. Dans ces scénarios, l'accès est répétitif et les informations d'identification sont généralement enregistrées. Grâce à la falsification, les utilisateurs sont encouragés à effectuer une action qu'ils n'avaient pas prévue en premier lieu.

Ces techniques ont récemment souligné faiblesse potentielle des prises de contrôle sur diverses plates-formes d'hébergement populaires, notamment Bluehost, Dreamhost, HostGator, FatCow et iPage.

Considère ceci,

Un exemple de ceci peut être présenté comme un scénario typique de fraude financière.

Les attaquants peuvent cibler les personnes vulnérables au CSRF qui visitent une URL valide. Un extrait de code masqué exécuté automatiquement sur le site peut demander à la banque de la cible de transférer des fonds automatiquement.

L'extrait de code peut peut-être être enterré derrière une image, en utilisant des codes tels que les suivants:

<img src = http: //example.com/app/transferFunds? amount = 1500 & destinationAccount = 4673243243 width = 0 height = 0 />

*Remarque: Ceci n'est qu'un exemple et le code ne fonctionnera pas.

9. Injections SQL

Pour tout site Web ou plate-forme en ligne, le composant le plus important est les données. Il est utilisé à des fins de projection, d'analyse et à diverses autres fins. Deuxièmement, si des informations financières confidentielles telles que les épingles de carte de crédit tombent entre de mauvaises mains, cela peut créer d'énormes problèmes.

Les données envoyées vers et depuis un serveur de base de données doivent passer par une infrastructure fiable. Les pirates vont essayer de envoyer des scripts SQL aux serveurs afin qu'ils puissent extraire des données telles que les informations client. Cela signifie que vous devez analyser toutes les requêtes avant qu'elles n'atteignent le serveur.

Si un système de filtrage sécurisé n'est pas en place, des données client importantes peuvent être perdues. Il convient toutefois de noter qu'une telle mise en œuvre augmentera le temps nécessaire à l'extraction des enregistrements.

10. Exploitation des failles XSS

Les pirates informatiques sont généralement très compétents en matière de code et la préparation de scripts frontaux n'est pas un problème. Javascript ou d'autres langages de programmation peuvent être utilisés pour injecter du code. Les attaques menées de cette manière attaquent généralement les informations d'identification des utilisateurs.

Scripts nuisibles basés sur XSS peut accéder à des informations confidentielles ou rediriger les visiteurs vers des liens ciblés par le pirate informatique. Dans certains cas, les entreprises peuvent également utiliser des techniques comme celle-ci pour mener des opérations commerciales frauduleuses.

11. Cryptographie non sécurisée

Algorithmes de cryptographie utilisent généralement des générateurs de nombres aléatoires, mais les serveurs sont généralement exécutés sans trop d'interaction de l'utilisateur. Cela pourrait conduire à la possibilité de réduire les sources de randomisation. Le résultat peut être des nombres facilement devinables - un point faible pour le cryptage.

12. Échappement de la machine virtuelle

Plusieurs machines virtuelles sont exécutées sur des hyperviseurs dans des serveurs physiques. Il est possible qu'un attaquant puisse exploiter un vulnérabilité de l'hyperviseur à distance. Bien que rare, dans ces situations, l'attaquant peut également être en mesure d'accéder à d'autres machines virtuelles.

13. Faiblesse de la chaîne d'approvisionnement

Alors que la distribution des ressources est un avantage majeur Cloud hébergement, cela peut aussi être un point de faiblesse. Si vous avez entendu le terme «vous n'êtes aussi fort que votre maillon le plus faible», cela s'applique parfaitement au Cloud.

Attaque sophistiquée et repose principalement sur les fournisseurs de services cloud. Cela n'est pas spécifique au Cloud et peut se produire n'importe où ailleurs. Les téléchargements à partir de serveurs de mise à jour en direct peuvent être ajoutés avec des fonctionnalités malveillantes. Alors, imaginez les nombreux utilisateurs qui ont téléchargé ce logiciel. Leurs appareils seront infectés par ce programme malveillant.

14. API non sécurisées

Les interfaces utilisateur d'application (API) sont utilisées pour aider à rationaliser les processus de cloud computing. S'ils ne sont pas correctement sécurisés, ils peuvent laisser un canal ouvert aux pirates pour exploiter les ressources du Cloud.

Avec des composants réutilisables si populaires, il peut être difficile de se prémunir suffisamment contre l'utilisation d'API non sécurisées. Pour tenter une intrusion, un hacker peut simplement essayer des tentatives d'accès de base encore et encore - il lui suffit de trouver une seule porte déverrouillée.

Pour en savoir plus: Meilleurs fournisseurs d'hébergement VPS / Meilleurs fournisseurs d'hébergement cloud


Final Thoughts

Différents types de cyberattaques sur des sites Web détectés au cours du premier semestre 2020.
Différents types de cyber-attaques sur des sites Web détectés au cours du premier semestre 2020 (la source).

Quand la majorité d'entre nous pense la sécurité d'un site web, c'est généralement sous l'angle de surmonter les faiblesses de nos propres sites Web. Malheureusement, comme vous pouvez le voir, il est également de la responsabilité des fournisseurs d'hébergement Web de se protéger contre d'autres attaques.

Bien que vous ne puissiez pas faire grand-chose pour convaincre un fournisseur de services de se protéger, cette prise de conscience peut vous aider faire de meilleurs choix d'hébergement Web. Par exemple, en observant l'importance qu'un hébergeur met sur la sécurité, vous pouvez avoir une meilleure idée de la sécurité de leurs propres serveurs.

Certains hébergeurs mettent en œuvre des mesures de sécurité très rudimentaires - essayez si possible de les éviter. D'autres peuvent aller jusqu'à travailler avec des la cyber-sécurité marques ou même développer des outils et des solutions de sécurité internes agressifs.

Le prix de l'hébergement Web va au-delà des ressources qui vous sont allouées - alors équilibrez judicieusement vos options.

À propos de Jerry Low

Fondateur de WebHostingSecretRevealed.net (WHSR) - une critique d'hébergement approuvée et utilisée par les utilisateurs de 100,000. Plus de 15 ans d'expérience dans l'hébergement web, le marketing d'affiliation et le référencement. Contributeur à ProBlogger.net, Business.com, SocialMediaToday.com, et plus encore.