Un joli FAIL pour le site de la mairie

Alors que je cherchais une info liée à la commune ou est basée mon entreprise, je me suis aperçu que le site de la mairie avait subi une attaque et s’était fait piraté.

piratage mairie annecy le vieux
La dernière description est bizarre non ?

Les pirates ont réussi à inclure dans le pied de page du splash screen (et oui ça existe encore) un petit paquet de liens menant vers des sites PPP. Simplement masquée en CSS, la dizaine de liens ne se serait pas fait remarquer si la page web était si pauvre en contenu. En effet, comme la page ne comporte qu’une image et un lien « Entrée », le moteur de recherche n’a pas grand chose d’intéressant pour détailler la page dans les SERPs. Et comme les liens pirates rajoutent du contenu, Google a jugé bon d’inclure les textes masqués dans la description du site faisant apparaître la compromission à tous les internautes.

Plus en détail

page accueil piratée
Page d'accueil sans le masquage des liens pirates

Les liens pirates renvoient vers des liens internes. Le piratage se base vraisemblablement sur une faille d’un composant supplémentaire ajouté au site. Ses extensions, pas toujours fiables, sont de vrais bonheur pour les pirates qui peuvent facilement les identifier grâce à leurs empreintes caractéristiques depuis un moteur de recherche.

Le site web en question injecte donc des liens qui redirigent vers une adresse interne (qui ne fonctionne plus aujourd’hui). Cette dernière menait soit à du contenu non désiré directement dans le site ou plus vraisemblablement était redirigé vers des sites tiers.

Les pirates automatisent ainsi la création de liens et facilitent leur référencement en injectant des liens dans les sites mal sécurisés.

code source html piratage
Le code source : flagrant.

Le minimum pour sécuriser son site web

  • Ne pas utiliser l’identifiant et mot de passe par défaut
  • Avoir des jeux d’identifiants/mots de passe uniques, complexes, non présents dans le dictionnaire et différents pour chaque service/site web/utilisation.
  • Installer le moins de composants tiers possibles
  • Avoir tous ses logiciels serveur à jour
  • Suivre l’actualité liée à la sécurité informatique du CMS utilisé
  • Être vigilant et regarder ses statistiques, ses logs, les messages webmaster
  • Être sur que l’ordinateur du webmaster n’est pas infecté. Certains virus savent écouter les conversations FTP et récupérer les mots de passe lors de l’envoi / réception de fichiers.
  • Suite du point précédent : préférer un protocole plus solide tel que SSH.

Les points évoqués ci-dessus sont vraiment un minimum. Il existe de nombreuses protections automatisables mais aussi plus techniques permettant de protéger mieux un site web.

Joomla et le piratage

C’est au moins le quatrième site local sous Joomla que je vois qui se fait pirater. Joomla serait-il une vraie passoire concernant la sécurité ?

Il est facile d’attaquer un CMS déclinant (oh ! c’est méchant) mais je pense que le problème ne se situe pas au niveau du logiciel en lui même mais plutôt du côté des webmasters qui gèrent les sites sous Joomla. Parce qu’il est facile d’utilisation et que de nombreux composants additionnels sont installables en quelques clics, Joomla attirent des webmasters pas forcément familiarisés avec l’informatique professionnelle : des amateurs éclairés, des bidouilleurs du dimanche, des internautes assidus mais certainement peu d’informaticiens du web.

Joomla a été un succès car il a permis aux non informaticiens de réaliser eux-même des sites complexes sans avoir à mettre les mains dans le code tout en proposant des fonctionnalités clinquantes. Mais tout comme OsCommerce fut remplacé par Prestashop, je pense que Joomla va laisser sa place à d’autres outils soit plus simples (WordPress) soit plus poussés (Drupal) qui ont les faveurs des informaticiens web aujourd’hui.

À noter que les apprentis webmasters se tournent aujourd’hui en nombre vers WordPress qui propose lui aussi de nombreux composants additionnels à ajouter à son site. Et de voir de nombreux site WP se faire pirater…

9 réflexions au sujet de « Un joli FAIL pour le site de la mairie »

  1. des petits malins qui s’amusent à pirater tout ce qu’ils trouvent, mais quel est l’intérêt de pirater un site je me le demande

  2. Etrange de trouver dans le même article l’erreur est sa correction…Joomla n’est pas le problème, les webmaster du dimanche qui l’utilisent reste en partie la raison du nombre important de sites joomla infectés. WordPress ressemble comme 2 gouttes d’eau à Joomla, même technologie, même qualités, même défauts, m^me utilisateurs et même nomdre de piratage…
    Bref j’aime joomla et les agences web ont de l’avenir au regard du nombre de sites piratés!

  3. Thierry l’intérêt de pirater est simple : avoir accès aux données. Mais c’est plutôt, au site de s’équiper pour avoir a ne plus subir ces genres d’attaques. J’espère qu’ils ont retenu la leçon. 😉

  4. Bonjour,
    Hélas pour les mairies à petits budgets, c’est souvent un employé qui s’y « connait » qui est chargé de faire le site.

  5. J’ai aussi connu le cas où le webmaster de la mairie avait « piraté » le site en ajoutant des liens vers les sites de ses amis…
    Ce qu’il ne faut pas faire pour obtenir des liens, j’vous jure 😉

  6. C’est clair qu’il faut faire gaffe au piratage des CMS. C’est la proie favorites des pirates. C’est tellement plus facile d’exploiter les failles connues. Mon blog WordPress en a déjà fait les frais.

  7. Assez énorme, mais c’est monnaie très courante, et croyez-moi, même avec une infrastructure correcte (serveur), un CMS patché correctement et des développements vérifiés le risque existe toujours. Disons qu’en faisant attention, on évite ce genre de piratages très courant car exploitant une faille connue et simple d’accès.

    Après, si un groupe d’hacker a décidé de tomber votre machine, il va être compliqué de les empêcher. Ce sont aussi des choses qui arrivent souvent (sur des sites à plus fort trafic utilisant des machines dédiées).

    Après, Joomla!, WordPress, Drupal… Même combat, si on ne fait pas gaffe, c’est le carton. WordPress avait d’ailleurs subie une attaque WorldWide il y a quelques années suite à une énorme faille…

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *