Sécurité : Sécuriser les sites web

Tout site web doit garantir son identité aux terminaux s’y connectant et la confidentialité des informations transmises.

Les précautions élémentaires

Sécuriser les flux d’échange de données par l’utilisation de TLS :

• obtenir des certificats aux niveaux adaptés (domaine, organisation ou étendu) auprès d’une autorité de certification et les gérer de manière adéquate ;
• mettre en œuvre le protocole TLS (en remplacement de SSL) sur tous les sites web, en utilisant uniquement les versions les plus récentes et en vérifiant sa bonne mise en œuvre ;
• rendre l’utilisation de TLS obligatoire pour toutes les pages d’authentification ou sur lesquelles sont affichées ou transmises des données personnelles.

Limiter les ports de communication strictement nécessaires au bon fonctionnement des applications installées. Si l’accès à un serveur web passe uniquement par HTTPS, il faut autoriser uniquement les flux réseau IP entrants sur cette machine sur le port 443 et bloquer tous les autres ports.

Limiter l’accès aux outils et interfaces d’administration aux seules personnes habilitées. En particulier, limiter l’utilisation des comptes administrateur aux équipes en charge de l’informatique interne et ce, uniquement pour les actions d’administration qui le nécessitent.

Implémenter les options « HttpOnly » et « Secure » dans tous les cookies utilisés.

Si des cookies non nécessaires au service sont utilisés, recueillir le consentement de l’internaute après information de celui-ci et avant le dépôt du cookie.

Limiter le nombre de composants mis en œuvre, en effectuer une veille et les mettre à jour.

Limiter les informations renvoyées lors de la création d’un compte utilisateur ou lors de la réinitialisation d’un mot de passe, afin de ne pas renseigner un attaquant sur l’existence – ou non – d’un compte associé à un identifiant (ex. : adresse de messagerie électronique).

Adopter les bonnes pratiques pour le développement informatique (voir la fiche n°11 - Encadrer les développements informatiques). En particulier, se prémunir contre les attaques les plus courantes sur les sites web référencées dans le Top 10 OWASP (ex. : injections SQL, injections de code indirecte (« cross-site scripting » ou XSS), manipulations d’URL).

Ce qu’il ne faut pas faire

• Faire transiter des données à caractère personnel dans une URL telles que identifiants ou mots de passe.
• Utiliser des services non sécurisés (ex. :authentification en clair, flux en clair).
• Utiliser les serveurs hébergeant des sites web comme des postes de travail (ex. : navigation sur des sites web, accès à une messagerie électronique).
• Placer les bases de données sur un serveur directement accessible depuis Internet.
• Utiliser des comptes utilisateurs génériques (c’est-à-dire partagés entre plusieurs utilisateurs).

Pour aller plus loin

• Concernant la mise en œuvre de cookies, il est conseillé de consulter le dossier « Site web, cookies et autres traceurs ».
   
• De manière générale, respecter les niveaux L1 et L2 des recommandations produites par l’OWASP. S’agissant des logiciels s’exécutant sur des serveurs, il est conseillé d’utiliser des outils de détection des vulnérabilités (logiciels de scans de vulnérabilité tels que OWASP ZAP, nmap ou nikto) pour les traitements les plus critiques afin de détecter d’éventuelles failles de sécurité. Des systèmes de détection et de prévention des attaques sur des systèmes ou serveurs critiques peuvent aussi être utilisés. Ces tests doivent être menés de façon régulière et avant toute mise en production d’une nouvelle version logicielle.
   
• L’ANSSI a publié sur son site des recommandations spécifiques pour mettre en œuvre TLS ou pour sécuriser un site web.