Les 5 erreurs de sécurité les plus communes
Dans un monde de plus en plus numérisé, la sécurité de vos données ainsi que celles de vos clients est un enjeu important. Il ne faut en aucun cas la négliger et il est essentiel de mettre à jour votre site web pour minimiser les problèmes. Retrouvez ci-après les 5 erreurs de sécurité que l'on constate le plus souvent selon la CNIL.
Mots de passe pas assez complexe
Les systèmes de connexion de certaines plateformes sont peu exigeants quant à la complexité des mots de passe. De plus ces informations sont parfois mal protégées. Il est donc plus aisé pour les hackers de pouvoir accéder à des données confidentielles.
Il faut faire en sorte que les mots de passe soient plus complexes (au minimum dix caractères avec majuscules/minuscules, chiffres et caractères spéciaux etc...) et mieux les protéger pour éviter qu'ils ne puissent êtres crackés.
Espace personnel accessible sans authentification
Il suffit dans certains cas d’avoir l’URL de la page du compte pour s’y connecter et se faire passer pour une autre personne.
L'accès à un espace privé (compte client ou autre) doit absolument faire l'objet d'une authentification ou encore mieux d'une authentification à deux facteurs (mot de passe + clé secondaire ou sms, par exemple).
Rendre un compte client accessible depuis une URL incrémentale
Dans ce cas, comme pour le précedent, il n'y a pas de système d'authentification mais en plus n’importe qui peut se rendre sur le compte de quelqu’un d’autre par une simple modification de l’URL (ex : lesite.fr/user257 au lieu de 256) et ce, sans même connaître son nom.
Il faut mettre en place des régles d’accès et un système d'authentification moderne et performant.
Pas de chiffrement de données
Beaucoup de sites n’ont pas le réflexe de chiffrer leurs flux de données et leurs documents. Cela facilite la récupération de données d'identification et entraîne, en cas de piratage, une vulnérabilité importante des informations contenues (données personnelles, numéros de comptes).
Il faut systématiquement utiliser le protocole HTTPS et chiffrer efficacement les données et les documents pour les sécuriser en cas de perte.
L’indexation de données privées dans un moteur de recherche
Il arrive que certaines pages ou certains fichiers privés soient quand même indexés par les moteurs de recherche. De ce fait, en tapant par exemple « site :nomdusite.com » + « filetype :pdf » sur google, des utilisateurs peuvent avoir accès à des données confidentielles qui ne leur appartiennent pas.
Pour pallier à ce problème, mettez en place des restrictions d'accès dans votre fichier robot.txt situé à la racine de votre site. Mais attention, ce fichier robot.txt n’est pas une mesure complètement fiable car les moteurs de recherche ne le respectent pas toujours à 100%. Afin de sécuriser les fichiers, un dispositif d’authentification, de gestion de droits voir de chiffrement est absolument nécessaire.
Sources : https://www.cnil.fr/fr/securite-des-sites-web-les-5-problemes-les-plus-souvent-constates
L'auteur
Pascal DEVIF est chef de projet web depuis plus de 15 ans et directeur de l'agence web Netenvie depuis 2005. Chaque année il accompagne de nombreuses entreprises, associations et collectivités de Marseille et sa région dans la réalisation de leurs projets web et e-commerce.
Suivez l'auteur : Pascal Devif sur LinkedIn
Suivez Netenvie : Netenvie sur Facebook - Netenvie sur LinkedIn - Netenvie sur Twitter