PC Sans Virus

Votre blog est-il sécurisé ?

Comme des millions d'utilisateurs, vous avez peut-être suivi la nouvelle mode Internet et créé un blog personnel

Mais êtes-vous conscient que les divers éléments que contient votre page sont comme autant de portes par lesquelles peuvent s'engouffrer malfaiteurs et programmes malveillants ?

Les images issues de sources externes que vous diffusez, les publicités sur lesquelles vous cliquez et même la plate-forme que vous employez peuvent fournir à ces cybercriminels les outils dont ils ont besoin pour accomplir leurs méfaits.  

Un code malveillant avait été inséré dans l'une des pages archivées, ce qui avait déclenché la suppression de son site de l'index par GoogleRobert Scoble, un célèbre blogueur expert en technologie, a un jour découvert que deux mois d'entrées de son blog avaient été détruits. Un code malveillant avait été inséré dans l'une des pages archivées, ce qui avait déclenché la suppression de son site de l'index par Google. Des liens vers des sites pornographiques avaient en outre été ajoutés sur plusieurs pages. "Après une telle mésaventure, comment se sentir de nouveau en sécurité ?", s'exclamait Robert Scoble sur son blog, après l'incident.

Fort heureusement, il y a plusieurs mesures préventives que vous pouvez prendre pour que cela ne vous arrive pas à vous. La première erreur de Scoble a été de ne pas mettre son logiciel de blog à niveau vers la toute dernière version. La mise à niveau est importante car seules les versions les plus récentes protègent contre les nouvelles vulnérabilités connues.

Autre erreur, Scoble n'a pas sauvegardé son contenu, une étape essentielle, qu'il s'agisse des fichiers résidant sur votre ordinateur ou de votre site. Enfin, il n'a pas changé le nom d'utilisateur "admin" qui lui a été automatiquement attribué en un nom moins générique.

"Les blogueurs sont plus à l'aise dans l'écriture que dans la gestion des sites", estime Denis Sinegubko, chercheur et expert en matière de sécurité. "Ils ne profitent pas toujours de la disponibilité de correctifs pour mettre à niveau leurs blogs, laissant ceux-ci sans protection pendant de longues périodes".

L'application de ces quelques règles générales, vous aidera à maintenir la sécurité de votre blog :

Créer un nouveau compte administrateur. Dès que votre blog est opérationnel, désignez-vous comme administrateur en saisissant un nouveau nom d'utilisateur et supprimez le compte "admin" d'origine. Ceci empêche toute attaque visant le compte administrateur générique de parvenir jusqu'à votre site.

Utiliser un mot de passe compliqué et impossible à deviner. En vous conformant aux règles générales de définition de mot de passe (ne pas employer votre date de naissance, les noms de vos enfants ou autres informations personnelles, et combiner des chiffres et des lettres), vous serez mieux apte à vous défendre.

Installer un logiciel d'analyse de la sécurité Utilisez les logiciels recommandés par votre fournisseur de blog et configurez des mises à jour automatiques fréquentes. L'outil d'analyse recherche les codes malveillants et vous signale les vulnérabilités.

Toujours effectuer les mises à niveau. Sachez tirer la leçon de la mésaventure de Robert Scoble et utilisez toujours la toute dernière version de votre logiciel, dès qu'elle devient disponible. Vous êtes averti de chaque mise à jour par un message. La mise à niveau est très simple : il vous suffit généralement d'appuyer sur un bouton d'approbation et l'installation s'exécute en tâche de fond.

Gérer méticuleusement les utilisateurs et les privilèges. La mesure la plus sûre que vous puissiez prendre est de limiter l'accès à vous-même. Cependant, vous aimeriez parfois que d'autres personnes puissent contribuer à votre site. Si tel est votre choix, ne manquez pas de contrôler l'accès que vous leur offrez et limitez celui-ci à la tâche que ces personnes sont supposées exécuter. Une fois cette tâche exécutée, désactivez l'accès à leur compte.

Sauvegarder, sauvegarder, sauvegarder. On ne soulignera jamais assez combien il est important de sauvegarder son travail. La plupart des fournisseurs de blogs offrent ou recommandent des programmes de sauvegarde spécifiques. Simples à installer, ils peuvent être configurés de manière à exécuter des sauvegardes automatiques.

Le logiciel global au moyen duquel vous gérez votre site n'est pas le seul à représenter un risque pour votre blog. C'est le cas aussi de tous les fichiers et applications que vous exploitez sur ce site. Voici comment repérer certains risques et y remédier :

1. Copier/coller. A priori, rien de plus simple : souhaitant commenter le texte publié par une autre personne, vous en copiez un extrait et ajoutez un petit commentaire. Une opération tout à fait anodine en apparence, sauf qu'il se peut très bien que vous ayez copié un code malveillant en même temps que le texte.

Comment y remédier : le copier/coller est tout à fait possible mais, dans ce cas, examinez soigneusement le fichier HTML avant de le publier sur votre site (vous trouverez l'option prévue à cet effet sur la barre d'outils de la page d'entrée de votre blog. Si vous apercevez le moindre code indésirable, supprimez-le. Le problème sera ainsi résolu. Vous avez aussi la possibilité de rechercher des formats ou des codes inhabituels en prévisualisant vos données avant de les publier.

2. Images.  Les images peuvent joliment agrémenter un blog mais elles peuvent aussi dissimuler un code malveillant si vous n'y prenez garde.

Comment y remédier : n'utilisez que des sources légitimes et de confiance. Si vous essayez une nouvelle source, affichez le fichier HTML avant de le publier pour vous assurer qu'aucun code malveillant (les fichiers ayant l'extension .php ou .exe, en particulier) n 'est joint à l'image. Les seuls noms de fichiers qui sont à leur place ici sont ceux dotés d'une extension normale de fichier image (.jpg, gif, etc.).

3. Applications.  Compteurs de page, diaporamas, animations, outils de commentaire, tous ces gadgets ne manqueront pas d'ajouter du style à votre blog mais peuvent aussi se transformer en vecteurs d'attaque si vous n'êtes pas suffisamment vigilant.

Comment y remédier : n'ajoutez que des applications qui ont été agréées et évaluées par votre fournisseur de logiciel de blog. Il est intéressant de lire les critiques et commentaires des autres blogueurs sur ces applications afin de savoir à quel niveau risque de se situer le danger. Vous pouvez aussi repérer tout comportement anormal en prévisualisant l'application avant de la publier sur votre site. Veillez surtout à vous procurer la toute dernière version du logiciel dès que vous êtes averti de sa disponibilité.

4. Publicité.  La plupart des fournisseurs vous proposent d'héberger des publicités sur votre site. C'est là un moyen plaisant de vous faire rémunérer pour vos efforts. Malheureusement, les publicités sont aussi la principale cible des diffuseurs de codes malveillants. Même le site Web du New York Times a été la cible de ce type d'attaque dans laquelle un cybercriminel s'étant fait passer pour un diffuseur de publicité respecté échangea une publicité d'apparence légitime par une publicité de phishing.

Comment y remédier : si le réseau que vous avez rejoint procède à une rotation des publicités sur un grand nombre de sites, vous pouvez plus ou moins contrôler le type de publicité que ce réseau diffuse sur votre propre site mais pour prévenir toute attaque, nous vous conseillons également d'examiner les mesures de sécurité qu'il a mis en place. Si vous avez installé un logiciel d'analyse de la sécurité sur votre site, vous serez normalement averti dès qu'un programme malveillant tentera d'accéder à votre blog. Si vous travaillez directement avec un publicitaire que vous ne connaissez pas, renseignez-vous le mieux possible sur lui avant d'accepter d'ajouter sur votre site le code qu'il vous propose.

Tenir un blog est une expérience enrichissante. Faites en sorte qu'elle le demeure toujours en protégeant dès le début votre travail.