Sécurité des sites web : les 5 problèmes les plus souvent constatés

27 juin 2018

La CNIL constate lors de contrôles que beaucoup de manquements à la loi Informatique et Libertés concernent des négligences en matière de sécurité qui pourraient être aisément évitées. Ces failles, qui ont une incidence directe sur la vie privée des personnes concernées, sont souvent à l’origine de mises en demeure ou de sanctions.

Pourquoi c’est important ?

La numérisation pousse naturellement les organismes à proposer des solutions en ligne pour faciliter les démarches du quotidien ou la collecte d’informations. De mauvaises procédures de sécurité peuvent amener à la divulgation ou à la perte de données personnelles et de documents confidentiels, par exemple :

  • des données facilitant les actes de piratage (identifiants, mots de passe, etc.) ;
  • des données sensibles (rendez-vous médicaux, remboursements d’actes de soin, etc.) ; 
  • des données facilitant les usurpations d’identité (coordonnées, numéros de téléphone, fiches de paie, avis d’imposition, passeports, etc.). 

 

  1. Une authentification par un mot de passe trop souple

 1_mdp

 

Le problème. La tolérance par une plateforme de mots de passe trop simples et l’absence de protections complémentaires facilitent l’accès d’un tiers indésirable au compte d’un utilisateur. Un individu malveillant n’aura qu’à multiplier les tentatives d’authentification pour accéder aux données d’un utilisateur ou à utiliser une liste de mots de passe les plus couramment utilisés pour réussir à accéder aux comptes les moins protégés.

La solution. Respecter la recommandation de la CNIL dans le cas d’une authentification des utilisateurs basée sur des mots de passe, notamment en stockant les mots de passe de façon sécurisée et en appliquant les règles de complexité pour le mot de passe ou encore en limitant le nombre de tentatives.

 

  1. L’absence de règles d’authentification à un compte

2_authentification
 

Le problème. Le site qui collecte des informations n’intègre pas de fonctionnalités permettant de vérifier qu’un client est bien connecté à son espace personnel (« espace client ») avant d'afficher les informations de son compte. Ainsi, il suffit d’être en possession de l’URL pour se connecter.

La solution. Prévoir au minimum un mécanisme d’authentification avec un mot de passe complexe. Quand cela est possible, proposer un mécanisme « d’authentification fort » c’est-à-dire qui combine au moins deux de ces mécanismes :

  • « ce que l’on sait », par exemple un mot de passe ; 
  • « ce que l’on a », par exemple une carte à puce ;
  • « une caractéristique » qui est propre à l’utilisateur, par exemple une empreinte digitale, ou la manière de tracer une signature manuscrite.
 
  1. Rendre un compte client accessible depuis une URL incrémentale

3_urlincre
 
 

Le problème. Non seulement aucune règle d’authentification n'existe, mais le changement d’un seul caractère de URL d’un compte client, amène sur le compte d’un autre client et donne accès à toutes ses informations.

La solution. Mettre en place un contrôle de droit d’accès dans les infrastructures : l’API chargée de répondre à votre requête devra préalablement vérifier si votre requête est légitime pour elle.

 

  1. L’absence de chiffrement des données​

4_chiffrement
 

Le problème. En cas de perte ou de faille, l’absence de chiffrement de bout en bout des documents rend possible leur consultation en clair par un tiers indésirable.  

La solution. Le chiffrement des pièces permet de garantir leur confidentialité en cas de perte. Il convient d’utiliser des méthodes de chiffrement efficaces depuis le moment où le document est collecté jusqu'au moment où il est utilisé. Consultez notre guide pour en savoir plus. 

 
  1. L’indexation des données dans un moteur de recherche

5_moteurrecherche
 

Le problème. En plus de ne pas être protégés, les fichiers sont parfois indexés dans les moteurs de recherche. En tapant « site:nomdusite.com » + « filetype:pdf » sur un moteur de recherche, n’importe qui peut être en mesure de mettre la main sur un document confidentiel ou sur des données personnelles détenues par l’organisme. 

Les solutions. Empêchez les robots d’indexation (les web crawlers) d’accéder à tout ou partie de votre site web en utilisant un « robots.txt ». Les moteurs de recherche respectent cette convention et n’indexeront pas votre contenu. Attention : le « robots.txt » n’est pas une mesure de sécurité ! Vos documents seront accessibles à toute personne ayant ou trouvant l’URL. Afin de les sécuriser, un dispositif d’authentification et de gestion de droits est nécessaire.

La sensibilisation des collaborateurs
La sensibilisation des employés à la sécurité informatique de leur poste peut leur éviter d’être vulnérables face à une attaque, un problème de sécurité ou une perte/vol de leur matériel. Pensez à rédiger une charte informatique et à donner à cette charte une force contraignante. Organisez des ateliers de sensibilisation — par exemple à l’occasion du mois de la cybersécurité — et envoyez régulièrement des messages de sensibilisation.

Comment renforcer la sécurité de votre organisme ?

Consultez dès maintenant notre guide sécurité qui contient toutes les bonnes pratiques pour mieux sécuriser votre système d’information. Ce guide synthétique a été rédigé à l’attention des organismes et des décideurs qui veulent savoir concrètement quelles pratiques ils doivent mettre en œuvre pour protéger leurs sites, leurs serveurs, etc. Une liste de tâches est à votre disposition à la fin de ce document.