Publicité en cours de chargement...
Nos sites web dans la lunette des assaillants
L’actualité semble nous révéler que les sites web sont dans le collimateur des attaquants.
Maintenir à jour son serveur Web (système, applicatifs, cms éventuellement) est une action incontournable, mais malheureusement, pas toujours suffisante, et la confiance que l’on peut accorder à des tiers peut parfois s’avérer dangereuse.
#LAVERITEESTAILLEURS
L’intégration de contenus tiers sur un site web est source de dangers non maîtrisés.
Plusieurs sites gouvernementaux américains, australiens et britanniques en ont récemment fait les frais en faisant miner, à leur insu, de la cryptomonnaie à leurs visiteurs. La source d’infection ne provenait pas des sites eux-mêmes, qui n’avaient pas été corrompus, mais de l’utilisation d’un service commun, BrowseAloud, proposant d’intégrer une fonctionnalité de synthèse vocale sur des pages web, qui lui, en revanche, avait été corrompu et diffusait donc un script malveillant sur l’ensemble de ses sites « clients ».
L’éditeur de solution d’analyse de navigation web Mixpanel a communiqué début février, sur un bug remonté un mois auparavant par un de ses clients. Le bug en question, a permis pendant presque un an, la collecte « accidentelle » de nombreuses informations personnelles sur les sites utilisateurs de ce service et notamment le contenu de champs masqués, tels que les mots de passe saisis sur ces mêmes sites. Mixpanel a indiqué que ce bug était dû à la mise à jour en mars 2017 de la bibliothèque JavaScript React (développée par Facebook), qu’il avait collecté ces informations à son insu, que personne n’avait pu accéder à ces informations et que celles-ci avaient bien évidemment été effacées. Pastebin ou Wikileaks nous diront peut-être le contraire dans les prochains mois...
#SURLAROUTEDUCRYPTOMINING
Le minage de cryptomonnaie ayant le vent en poupe, il semblerait que plusieurs assaillants aient déjà profité de deux vulnérabilités dans Apache CouchDB pour « apposer » leurs scripts de minage dans de nombreux sites web, comme le rapporte l’éditeur Trend Micro dans un récent article(2).
#DEBROUILLEZVOUS
Une vulnérabilité avérée(3) dans WordPress, le cms le plus utilisé à ce jour, permet une attaque de type déni de service contre tous les sites web WordPress, puisque l’éditeur refuse tout simplement de reconnaître la faille et recommande à ces utilisateurs d’utiliser des protections anti DDoS, pour ce prémunir de ce type d’attaque, ce qui n’est pas à la porté de toutes les bourses, notamment celles de nos établissements, et qui plus est, ne solutionne pas le problème à mon sens. Pour vous éviter des nuits blanches à espérer que personne ne s’en prenne à votre site, le chercheur à l’origine de cette découverte propose un script(4) permettant d’empêcher l’exploitation de cette vulnérabilité. Ce qui ne protège évidemment pas contre une attaque en déni de service distribué.
Vous pouvez également retrouver quelques pistes pour améliorer la sécurité de votre site web sur le site de l’APSSIS(5).
(1) /article/2832/apres-les-crypto-ransomwares-place-aux-crypto-miners.html
(3) https://baraktawily.blogspot.com.ee/2018/02/how-to-dos-29-of-world-wide-websites.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-6389
(4) https://github.com/Quitten/WordPress/blob/master/wp-dos-patch.sh
Avez-vous apprécié ce contenu ?
A lire également.

IA et santé : cap sur une cybersécurité consolidée et proactive
18 juin 2025 - 10:57,
Communiqué
- Trend MicroLe secteur de la santé, porté par la vague de l’IA, veut gagner en flexibilité, innover dans la prise en charge des patients et maîtriser les coûts. Des promesses qui ne se concrétiseront que dans un cadre de sécurité robuste. En effet, l’IA se révèle à double tranchant. Elle renforce les lignes de ...

Appel à propositions de l’Europe pour la cybersécurité des PME et des organismes publics
16 juin 2025 - 22:18,
Actualité
- Damien Dubois, DSIHLe 12 juin, la Commission européenne a annoncé un investissement de 145,5 millions d’euros pour soutenir la cybersécurité des PME, administrations et établissements de santé.

Et c’est l’heure de notre quiz annuel
16 juin 2025 - 22:10,
Tribune
-Ça y est, c’est bientôt l’été avec tout qui chauffe, le soleil qui revient, le maillot de bain de l’année dernière dans lequel vous ne rentrez plus – hiver oblige. Il est largement temps de se changer les idées avec un petit quiz aux questions subtilement nuancées, une exclusivité DSIH souvent imité...

IA & éthique du numérique en santé : le guide d’implémentation de l’ANS
09 juin 2025 - 21:17,
Tribune
-Compte tenu, d’une part, des perspectives d’amélioration que l’IA promet dans le secteur de la santé et, d’autre part, de la montée en charge rapide de l’offre de systèmes d’IA (SIA), la cellule éthique de la Délégation au numérique en santé (DNS) a réuni un groupe de travail (GT) pluridisciplinaire...