Category Archives: Information Security

Comment sécuriser wordpress?

| 2014-10-20 | Français, Information Security

Wordpress est un gestionnaire de contenu, tels des blogs, très répandu sur Internet. C’est une solution gratuite (Open Source) qui peut être configurée et étendue pour répondre à un grand nombre de besoins grâce à de très nombreux ajouts disponibles (Plugins).

WordPress étant très répandu, certains hackers ciblent spécifiquement les sites worpress afin d’en exploiter les éventuelles vulnérabilités. Heureusement, la communauté qui développe wordpress est très active et l’application est fréquemment mise-à-jour permettant de rapidement combler les éventuelles failles qui seraient découvertes. Néanmoins, la nature même des sites web utilisant WordPress, à savoir les sites au contenu dynamique qui, souvent, permettent aux visiteurs de laisser des commentaires ouvre des possibilités d’exploit tels que du XSS (Cross site scripting) voir parfois de l’injection SQL (bien que l’application soit généralement bien protégée contre ce dernier type d’attaque). Si vous exploitez un site sous wordpress vous même, sur votre propre nom de domaine (vous pourriez très bien créer votre blog sur le site wordpress.com et, de là, avoir moins de flexibilité mais aussi un peu moins de soucis) il y a quelques règles élémentaires à suivre pour diminuer les risques de voir votre serveur se transformer en Zombie ou voir votre site changer subitement de contenu ou servir de relai pour atteindre vos visiteurs.

  1. Utilisez des mots de passe suffisemment long, de préférence de 12 caractères ou plus, incluant des minuscules, majuscules, des chiffres et des caractères spéciaux. (pas uniquement pour WordPress mais aussi pour tous les accès à votre site internet comme le FTP, le SSH, la console d’administration, etc.). C’est probablement la mesure la plus rudimentaire et évidente mais il y a toujours quelques personnes qui l’oublient, Un mot de passe de 8 caractère sans grande compléxité peut être trouvé par essais successifs en quelques heures voir moins. Préférez donc M0nL@ngMo1dePa$$€ à 123456.
  2. Pour aider à prévenir l’usage de systèmes automatiques qui essaient tous les mots de passe possible et imaginables, utilisez un pugins comme Captcha qui va demander une interaction (comme lire un mot ou faire un calcul) à l’utilisateur avant d’accepter son mot de passe. Cela diminue grandement la probabilité de pouvoir deviner le mot de passe.
  3. Exigez que vos utilisateurs se soient identifiés avant de les autorisés à publier un commentaire sur votre site. Idéalement même, si cela ne vous semble pas nécessaire, supprimez cette possibilités. De plus, exigez de valider chaque commentaire avant qu’il ne soit publié sur votre site (afin d’éviter de mauvaises surprises). Allez dans Settings > Discussion et sélectionnez au moins les deux options suivantes: « Comment author must fill out name and e-mail » et « Users must be registered and logged in to comment » ainsi que cette troisième option: « Before a comment appears comment must be manually approved« 
  4. Faites très régulièrement les mises-à-jour de l’application. WordPress à grandement simplifié le processus, il vous suffit de vous connecter comme administrateur et de cliquer sur le bouton « update » (ou mise-à-jour si vous utilisez la version française)
  5. Vous pouvez aussi utiliser des plugins comme « the ultimate security checker » ou « Exploit scanner« 
  6. N’utilisez pas trop de Plugins et si possible, essayez de vérifiez qu’il provient d’une source fiable en effectuant quelques recherches sur Internet afin de lire les avis des utilisateurs ou voir si il y a des alertes concernant cette extension ou ce thème.
  7. Assurez-vous que votre serveur (et pas uniquement votre application wordpress) est à jour (votre serveur HTTP, FTP, votre système opératoire, etc.) Si vous utilisez un serveur partagé, il faut espérer que votre fournisseur fait correctement son travail à ce niveau là.
  8. Si posssible, réduisez les droits d’accès de WordPress à votre base de donnée au strict nécessaire, c’est à dire de préférence uniquement aux tables de WordPress.

Il y a d’autres mesures possibles (comme de protéger la partie d’administration de WordPress par un mot de passe sur le serveur web) mais on arrive à des solutions un peu plus difficile pour les néophytes (les experts n’ayant en général pas besoin de ces conseils, il les connaissent par coeur).

Bon amusement.

Et vos politiques de sécurité, vous les préférez sommaires ou complètes ? Réflexions sur les deux possibilités !

| 2014-01-14 | Communication, Français, Information Security, Leadership

Dès que l’on parle de bonne gouvernance d’entreprise, on entend très vite les mots « politiques », « règles » et « procédures ». Lorsque l’on dirige une entreprise ou une équipe, la plupart des gourous en « management » vous diront qu’il faut donner des ordres précis ou définir des objectifs SMART (Simples, Mesurables, Atteignables, Réalistes et Temporellement définis).

Sur cette base, bon nombre de grosses entreprises génèrent des dizaines (pour ne pas dire des centaines) de pages de règlements divers que les employés sont supposés connaître et que seuls les personnes qui les ont écrites et le juriste qui les a révisés arrivent à comprendre (et encore, j’ai parfois des doutes sur le sujet…). Quelle société n’a pas son « Code de bonne conduite », son « Règlement d’ordre intérieur », son « code éthique », sa « procédure d’achats », son « code de bon usage de l’Internet », sa « politique de gestion des risques » ou même son « code vestimentaire ». Et là, je n’énumère que les grands classiques, bon nombre d’entreprises ont bien plus de règles que cela, parfois séparées en fonction du public visé (utilisateurs finaux, service informatique, fournisseurs externes, département achat, ressources humaines, etc.) et parfois le tout mélangé dans un document monumental et illisible que l’on n’ose même pas ouvrir tant il nous rappelle ce Best-Seller de 500 page que l’on a jamais fini tellement il est massif. Bref, vous avez des règlements internes (des politiques internes) mais savez-vous combien de personnes les ont lues et les ont comprises ?

Les militaires, dont on pense souvent, et probablement pas à tort, qu’ils sont bien organisés et qu’ils sont plus rigoureux dans leur approche de la sécurité que la plupart des acteurs du secteur privé, ont bien compris ce problème. Un adage bien connu des généraux est qu’  « aucun plan militaire, aussi bien fait soit-il, ne survit au premier contact avec l’ennemi » ou comme le dit cet autre adage : « En théorie, la pratique et la théorie sont la même chose, en pratique, c’est différent ». En conséquence, vous aurez beau prévoir tous les cas de figure possibles et imaginables, il ne faudra pas longtemps pour que quelqu’un tombe sur une situation qui n’ai pas été prévue. Et de toute façon, ils n’auront pas lu vos 2500 pages de règles.

Doit-on écrire encore plus de politiques ?

Avec encore plus de détails ? Même si les juristes adorent vous dire que  « tout ce qui n’est pas interdit est permis » ou encore qu’ « il vaut mieux être trop précis que pas assez », il n’empêche que c’est souvent perçu comme infantilisant. Est-ce que vous travaillez avec des chimpanzés à qui il faut tout expliquer dans les détails ou avec des adultes responsables ? Pensez-vous qu’ils sont trop bêtes pour prendre les bonnes décisions ou bien qu’avec un minimum d’explication et de mise en contexte ils feront les choix appropriés ? C’est peut-être bien les réponses à ces deux questions qui devraient déterminer votre approche. Rappelez-vous cependant que personne n’aime être pris pour un imbécile, infantilisé et dépouillé de toute liberté d’action et d’initiative. C’est mauvais pour le moral des troupes et pour la créativité. Et pour la seconde, si vous avez engagé des imbéciles, peut-être faut-il revoir votre politique d’engagement… ou adapter votre communication.

Comment peut-on s’assurer que nos hommes vont pouvoir prendre les bonnes décisions ?

Nos chers militaires ont bien entendu trouvé la solution à ce problème : Le CI ! Le CI c’est le « Commander’s Intent », une définition concise et claire du but de l’opération et de l’état final désiré. Le CI peut aussi contenir l’idée que se fait le commandant du CI de l’adversaire ainsi que le niveau de risque (de perte) qui est acceptable. Grâce au CI, toutes les personnes qui sont mobilisées dans une opération doivent pouvoir agir de concert, en mobilisant leurs compétences, dans un but commun. Et si par hasard les conditions de réalisation du plan magnifique que vous avez concocté ne sont plus d’actualité, les acteurs de terrain doivent pouvoir facilement adapter leur plans pour pouvoir réaliser leur part de l’objectif fixé.

Comment traduire ce principe dans la société civile?

Certaines  entreprises ont déjà bien compris ce principe et le CI est souvent devenu le « motto » de l’entreprise. Imaginez que vous travaillez pour un fabricant de voiture, je suppose que vous pouvez facilement vous imaginer les comportements et les décisions que vous prendrez si le CI de votre CEO est, par exemple, d’ « être le fabriquant  de la meilleure voiture au monde » ou d’ « avoir le meilleur taux de satisfaction de vos clients ». Ces deux objectifs, qui pourraient être perçus comme une volonté similaire d’excellence, vont néanmoins donner lieu à des choix différents quand il faudra prendre des décisions relatives à l’investissement dans le service après-vente, le service commercial et la R&D. Néanmoins, chaque intervenant de l’entreprise pourra facilement répondre à cette question : « ma décision va-t-elle permettre à mon entreprise de tendre vers ou d’atteindre son objectif ?».

Bien sûr, cela implique que chacun connaisse son métier et les conséquences de ses choix.  D’une certaine façon, on peut se demander si le choix de politiques internes sommaires ou complètes n’est pas une décision stratégique fortement liée aux valeurs de l’entreprise et de son équipe de direction. Micro-management ou macro-management ? Contrôle total et minutieux ou travail en confiance ? Contrôle et répression ou éducation et encouragement ? Chimpanzés ou petits génies ? Le bâton ou la carotte ? Livre ou cinéma ? (OK, là, je pousse le parallèle un peu loin).

En résumé…

Vos politiques internes, et encore plus vos politiques de sécurité, doivent être alignés avec les valeurs de votre entreprise. Personnellement, je préfère éduquer que réprimander. Des politiques brèves qui expliquent ce que l’on attend, pour quelles raisons et qui donnent un contexte et des exemples concrets me semblent plus efficaces qu’une longue liste de paragraphes similaires au code pénal. Et vous, que préférez-vous ?

Comment savoir quelles sont les miettes que vous laissez en surfant? CookieViz!

| 2013-12-17 | Français, Information Security

La Commission Nationale (Française) de l’Informatique et des Libertés (CNIL), qui est connue pour être très soucieuse du respect des droits à la vie privée, a développé et publié sous licence GNU une application « qui identifie en temps réel les cookies qui transmettent des informations vous concernant à d’autres sites »

L’application nommée CookieViz est téléchargeable sur Sourceforge (http://sourceforge.net/projects/cookieviz/). Un système d’installation automatique sous Windows est disponible (des problèmes d’incompatibilité de version de librairie sont possible sous Windows 8) et il semble que l’on puisse aussi l’installer sous Mac OSX et Linux (Je n’ai pas vérifié). Le code source est disponible et toute personne qui désirerait l’améliorer est la bienvenue.