Discussion :

[Mages]

Bonjour,

Je vais bientôt mettre en ligne un site web à large public et je "paranote" un peu sur la sécurité.
J'ai beaucoup de mal à trouver une source d'information complète sur le sujet: forum, blog, etc... .

Je connais les bases mais j'aimerais être sûr de ne rien oublier d'important. J'ai l'impression que c'est un monde assez fermé pour éviter de donner l'information aux mauvaises personnes. Comme je n'ai pas les moyens pour l'instant d'engager un expert en sécurité je vais devoir le faire moi-même mais pour ça j'ai besoin de savoir quoi faire et comment... .

J'ai déjà couvert les points suivant:

- SQL injections
- CSRF
- DOS et DDOS
- Limitation des droits sur le serveur de BDD
- Accès aux répertoires publics du site
- Gestion des uploads en zone confinée
- Gestion de droits des utilisateurs
- ...

Je sais que le sujet est vaste. C'est pourquoi j'aimerais être sûr de ne rien oublier de vital.

Un site proposant une liste des attaques les plus courantes pourrait être d'une grande aide. Pour n'oublier aucun point important.

Merci d'avance

[BufferBob]

je "paranote" un peu sur la sécurité.

tu as tort, c'est mauvais pour le ciboulot

J'ai l'impression que c'est un monde assez fermé pour éviter de donner l'information aux mauvaises personnes.

c'est un peu vrai, même si depuis maintenant +10 ans on a vu fleurir des tonnes de blogs pour expliquer les LFI, les injections SQL et les stack overflow de strcpy() à la papa

Je sais que le sujet est vaste. C'est pourquoi j'aimerais être sûr de ne rien oublier de vital.

pour ne rien oublier de vital il faut maitriser le sujet, soit tu prends le temps d'apprendre et ton site ne sort que dans 5 ans, soit tu fais avec tes compétences en l'état et tu acceptes que ton site est imparfait "mais c'est pas grave"

Un site proposant une liste des attaques les plus courantes pourrait être d'une grande aide.

au risque de faire de la pub, moi je te propose root-me.org qui est un site français qui propose à la fois des challenges de très bonne facture autour de la sécurité et à la fois de la doc en pagaille sur le sujet
on a coutume de dire "know your ennemy", ou encore qu'il vaut mieux apprendre à l'homme à pêcher plutôt que de lui donner un poisson

par ailleurs j'attire ton attention sur le fait que la sécurité ce n'est pas juste connaitre les attaques, les techniques offensives, c'est aussi comprendre les tenants et aboutissants de la sécurisation, et c'est également savoir mettre en oeuvre un certain nombre de choses qui relèvent simplement de l'administration système/réseau, comme le monitoring par exemple ou la configuration des droits unix, la séparation des processus etc.

[Mages]

Merci pour ta réponse BufferBob.

La sécurité ça semble être une histoire sans fin. Il y a toujours une amélioration possible à apporter. Comme tu dis, c'est pas forcément grave. Mais si j'ai une porte grande ouverte et que mon serveur sert de relais pour faire des attaques ou que toutes les données de mes utilisateurs se retrouvent publiques, ça craint quand même... .

Dans mon code j'ai toujours à l'esprit de réfléchir à ce que pourrais faire un hacker pour abuser mon système. Mais comme je suis humain je dois oublier pas mal de paramètres (ou ne pas encore avoir l'esprit assez mal tourné pour voir toutes les failles) et ce n'est que la partie code. Je ne suis pas administrateur système ni expert en sécurité.

La configuration du système est évidemment importante et je n'ai que des compétences d'utilisateur standard de Linux. J'ai commencé à regarder SELinux par exemple. Encore une bonne tartine à ingurgiter. :-)

Je vais regarder ton lien. J'avais trouvé un autre site dit de référence mais il fallait remplir des challenges avant de pouvoir s'inscrire ou accéder au site.

Si jamais quelqu'un peut me lister les éléments de sécurité que je n'ai pas le droit d'oublier histoire que je vois si j'ai bien couvert l'essentiel....

[BufferBob]

Mais si j'ai une porte grande ouverte et que mon serveur sert de relais pour faire des attaques

et si tout se passait bien ?

Dans mon code j'ai toujours à l'esprit de réfléchir à ce que pourrais faire un hacker pour abuser mon système.

oui, c'est la bonne démarche

Mais comme je suis humain je dois oublier pas mal de paramètres (ou ne pas encore avoir l'esprit assez mal tourné pour voir toutes les failles) et ce n'est que la partie code. Je ne suis pas administrateur système ni expert en sécurité.

comme dit ça s'apprend, par ailleurs les hackers sont humains également
et finalement l'expérience c'est ce qui permet de se poser les bonnes questions dès le départ et de s'éviter les crises de parano inutiles

J'ai commencé à regarder SELinux par exemple. Encore une bonne tartine à ingurgiter. :-)

ah oui, SELinux quand on connait pas ça peut rebuter pas mal, ça demande d'avoir de bonnes connaissances sur son système, les programmes qui s'y lancent, les processus qui s'exécutent et les droits dont chacun a besoin, pas évident du tout, on a vite fait de tomber dans le système inutilisable ou la configuration trop permissive

J'avais trouvé un autre site dit de référence mais il fallait remplir des challenges avant de pouvoir s'inscrire ou accéder au site.

oui je vois duquel tu parles, ça fait des années que j'y suis pas retourné, à l'époque c'était chapeauté par une ribambelle de p'tit cons, certes très compétents, mais avec des attitudes trollesques, mesquines et élitistes
disons le site que je t'ai donné est -à mon sens- idéal pour débuter, l'autre (il commence par un z) est un site qui pourra éventuellement t'intéresser à partir du moment où tu auras acquis quelques compétences et que ça commencera à te monter à la tête suffisamment pour n'avoir envie de partager qu'avec des gens aussi exceptionnels que toi

Si jamais quelqu'un peut me lister les éléments de sécurité que je n'ai pas le droit d'oublier histoire que je vois si j'ai bien couvert l'essentiel....

je comprends que ça te rassurerai mais tu dois comprendre qu'une telle liste n'existe pas, sinon la sécurité ne serait qu'un ensemble de procédures à suivre et il suffirait d'un bon gros guide de 5000 pages à suivre à la lettre pour sécuriser n'importe quelle machine, ce n'est pas le cas.

je pense sincèrement qu'au delà des aspects techniques il faut être capable de travailler sur soi-même, sa propre façon de percevoir la sécurité et ses enjeux, et surtout arrêter d'avoir peur, ne pas céder à la paranoïa-panique en permanence (ça vaut pour d'autres domaines que l'informatique par les temps qui courrent)

en admettant que ta machine se fasse pirater par un botnet ou aute, et après ?
après selon ton hébergeur, lorsque le botnet va commencer à envoyer des paquets partout ton hébergeur va possiblement le stopper net, mettre ton serveur en mode rescue et t'envoyer un mail pour te dire qu'il y avait une activité suspecte

mais admettons, la vérolle passe à travers le filet et sert de relais pour du spam ou n'importe quoi d'autre, tu ne t'en rends pas compte et au bout de 6 mois seulement tu réalises, est-ce que tu vas accumuler l'horreur de la situation sur les 6 derniers mois pour la restituer intégralement ? ou finalement "ça m'a jamais gêné durant les 6 derniers mois, le mal est fait. je sors manger au resto comme prévu et je regarde ça après ou ce week-end" ?

et il faut garder à l'esprit une chose : une fois que la bestiole est sur la machine, c'est une occasion unique de se faire la main sur des conditions réelles, arriver à dénicher, couper court à son activité et récupérer pour analyse la bébête est une mine d'informations inestimable, c'est bien simple : ceux qui en ont déjà eu entre les doigts savent comment le grand méchant virus est programmé (très souvent avec les pieds par un lituanien qui se contente de modifier le code déjà sale fait par un indou...), par où il est passé, comment il a déroulé son attaque, ses modes de propagation etc. et même jusqu'à son canal de communication éventuel (là ça devient rigolo, exploiter le code merdique du botnet, remonter à sa source et mettre à mal tout le botnet c'est juste jouissif ...et illégal, erm... bref.)

un bon début pour apprendre à se rassurer (peut-être ?), chasser la parano et laisser place à la compréhension, c'est d'analyser les logs du serveur web, les parcourir manuellement, relever les erreurs éventuelles, si on a un doute on part à la chasse à la bébête, et c'est là qu'on apprend le plus

[Mages]

Merci pour ton message. Ça me permet de relativiser.

Je vais créer un premier serveur "bidon" pour me faire la main avant de lancer mon site.