Comment bloguer en toute sécurité

Quelques conseils et astuces pour protéger votre blog et votre identité sur la blogosphère. Un excellent article paru sur le blog de Malware City.

Déjà 147 millions de blogs

En 1999, un nouveau type de journalisme a commencé à gagner du terrain, principalement en raison de l’apparition de plateformes de blogs. À l’époque, personne n’imaginait que les blogs deviendraient l’un des principaux moyens d’expression sur Internet, ni qu’ils modifieraient le journalisme traditionnel tel que nous le connaissions.

Il y a actuellement environ 147 millions de blogs (selon BlogPulse), et 54 000 nouveaux blogs seraient créés tous les jours, selon les mêmes statistiques. Si la plupart des blogs sont des créations personnelles gérées par une ou deux personnes, d’autres font partie de stratégies de communications d’entreprises élaborées, ciblant leur public.

Nous présenterons ici les règles de base pour bloguer en toute sécurité, en particulier pour les blogs personnels, que leurs auteurs aient opté pour l’auto-hébergement ou pour la publication via une plateforme de blogs.

Auto-hébergement et solutions SaaS

Si la plupart des blogueurs, en particulier ceux qui viennent de contracter le « virus », optent pour l’une des principales plateformes de blogs, d’autres préfèrent l’auto-hébergement qui offre plus de souplesse en termes de gestion et de conception mais qui requiert en contrepartie plus de travail pour assurer la sécurité.

Blogspot®, WordPress® et LiveJournal®, qui permettent de créer un blog gratuitement, connaissent un grand succès. Ils sont accessibles à tous et leurs utilisateurs bénéficient des services de maintenance de ces prestataires, ce qui signifie que tous les patches et correctifs de sécurité des serveurs sont automatiquement installés par ceux-ci. Cependant, bien qu’un blog hébergé par un fournisseur tiers soit généralement plus difficile à pirater, il peut être affecté par le spam ou le phishing, comme nous le verrons par la suite.

L’effet boomerang des blogs

Quel que soit le type d’hébergement et de contenu, un blog est généralement créé et alimenté pour améliorer l’image d’une entreprise ou d’un individu, à moins qu’il n’ait une vocation commerciale en lui-même. Les blogs contenant des publicités sont extrêmement courants et constituent une source de revenus pour la grande majorité des blogueurs. Le blog peut cependant, dans certaines circonstances, avoir l’effet contraire à celui recherché, notamment lorsqu’il a été compromis ou utilisé afin de porter préjudice à son auteur.

Le spam sur les blogs

Le spam est l’un des moyens les plus utilisés pour affecter la réputation de l’auteur d’un blog. Les commentaires non désirés contiennent généralement des liens dirigeant les lecteurs vers du contenu nuisible ou à caractère sexuel. Un nombre important de messages de spam limite considérablement l’intérêt du blog en rendant les informations recherchées difficiles d’accès. Des liens vers des sites web douteux, insérés dans des messages de spam, sont également susceptibles d’affecter la réputation du blog dans les moteurs de recherche, un élément essentiel dans le milieu très compétitif du commerce en ligne. De plus, les utilisateurs se désintéresseront d’un blog plein de spam, ce qui conduira à la perte des lecteurs fidèles. Malheureusement, le spam est une menace affectant aussi bien les blogs auto-hébergés que ceux des plateformes de blogs.

Remarque

Environ 99% de l’ensemble des messages de spam postés sur des blogs et des forums sont envoyés par des robots spammeurs, de petites applications écrites dans un langage de script tel que Perl ou Python. Ces robots sont extrêmement polyvalents mais sont également extrêmement faciles à éviter. L’une des méthodes les plus employées consiste à imposer l’utilisation de JavaScript ou de cookies pour publier un commentaire. Les robots spammeurs ne pouvant gérer JavaScript ou des cookies, ils ne sont pas capables de publier un message. Il est également possible d’ajouter un champ texte masqué en CSS devant être vide pour poursuivre. Puisque le robot le voit dans le code source de la page web, il essaie de le remplir avec du texte, ce qui empêche la soumission du formulaire.

La bonne nouvelle, c’est que lutter contre le spam sur les blogs est relativement simple si vous disposez des outils appropriés et avez configuré votre blog correctement. Voici quelques conseils qui vous aideront à éviter la publication de messages indésirables.

1. Configurez votre blog de sorte qu’il modère le premier commentaire d’un utilisateur. Les membres de la communauté dont le commentaire a été autorisé par un administrateur verront leurs messages suivants autorisés automatiquement.
2. Configurez votre blog de sorte qu’il modère automatiquement tous les commentaires. Cette méthode est bien plus sûre que celle décrite précédemment, mais n’est pas adaptée aux blogs sur lesquels de nombreux commentaires sont postés tous les jours.
3. Installez un plugin antispam dédié. Si vous utilisez WordPress comme plateforme de blogs, essayez le plugin Akismet ou BitDefender Antispam. Il s’agit d’une solution complètement gratuite, utilisant une interface API pour interroger le service Antispam de BitDefender dans les nuages et vérifier qu’un commentaire est légitime.

Les malwares sur les blogs

Les propriétaires des blogs ne mettent généralement pas en ligne volontairement de fichiers malveillants, et les malwaresprésents sur les blogs sont habituellement le résultat d’une tentative de piratage réussie menée contre le blog ou contre le serveur l’hébergeant.

Il existe plusieurs manières pour un attaquant de prendre le contrôle d’un blog et de son compte FTP. Si certaines attaques sont extrêmement bien menées et requièrent un excellent niveau en informatique, d’autres attaquants se contentent de se connecter avec le nom d’utilisateuret le mot de passeassocié.

1. De nombreux identifiants de blogueurs sont obtenus suite à des infections de malwares sur les machines locales. Certains types de chevaux de Troie, tels que les célèbres Facebook Hacker et iStealer recueillent des combinaisons de noms d’utilisateurs et de mots de passe directement dans les gestionnaires de mots de passe des navigateurs. Les keyloggers classiques peuvent également dérober ces identifiants et les transmettre à un attaquant à distance. Enfin, les mots de passe administrateurs peuvent également être récupérés lorsque des utilisateurs peu méfiants se connectent à leur blog via une connexion Wifi non sécurisée, dans un cybercafé par exemple. Il se passe la même chose avec les identifiants FTP, qui constituent de véritables mines d’or pour les cybercriminels qui utilisent ces comptes pour y stocker des fichiers malveillants, des exploitsou des pages de phishing.
2. Le piratage d’un blog peut se produire dans des circonstances diverses, et certaines sont hors du contrôle de l’utilisateur. Ainsi, une mauvaise configuration du serveur ou des logiciels vulnérables peuvent conduire au piratage d’un compte d’hébergement. Certaines attaques sont la conséquence directe d’une installation mal faite ou d’un plugin vulnérable. Les défauts de type « zero-day » à l’intérieur du logiciel de blog peuvent également entraîner des brèches de sécurité exposant les identifiants de connexion des blogueurs ou dirigeant les lecteurs peu méfiants vers des malwares.

Quelle que soit la façon dont les malwares accèdent à votre blog, cela aura assurément un impact sur le classement du blog et sur son fonctionnement. La plupart des moteurs de recherche vérifient constamment que les pages indexées ne contiennent pas de malwares et ne présentent aucun danger pour les personnes les consultant. S’ils détectent qu’elles sont infectées, celles-ci seront signalées comme telles dans les résultats de recherche, ce qui signifie que les utilisateurs cliquant sur ces liens seront avertis que le contenu demandé est susceptible de présenter un danger pour les personnes y accédant ou pour leur ordinateur.

Les malwares sur les blogs ne se limitent pas aux menaces électroniques présentes sur le compte en question, mais peuvent également se référer à différents scripts qui, une fois injectés dans un blog, redirigent les utilisateurs vers des sites web tiers au contenu dangereux, ainsi qu’à des scripts utilisés par de faux logiciels antivirus simulant des analyses du système. Quoi qu’il en soit, un blog infecté sera sûrement désindexé des moteurs de recherche et les utilisateurs fidèles ne s’y reconnecteront sans doute jamais, craignant que la consultation du blog n’endommage leur ordinateur.

Phishing et Vishing

Les blogueurs qui écrivent sur leur vie personnelle devraient prendre en compte le fait que leur vie privée est menacée et qu’ils s’exposent à une usurpation d’identité et à des pertes financières.

De nombreux blogueurs écrivent régulièrement sur des sujets comme leur musique ou artistes préférés, leurs centres d’intérêt, ou d’autres thèmes qui ne présentent apparemment aucun risque. Il est extrêmement facile d’écrire sur ce type de sujets, et de partager différentes expériences avec les lecteurs, mais les blogueurs courent ainsi le risque de révéler suffisamment d’informations pour que des personnes malintentionnées mènent à bien une attaque de phishing ou de vishing (l’équivalent du phishing par téléphone).

Afin de mieux expliquer ces risques, imaginons la situation suivante : un blogueur s’achète un nouveau téléphone portable plus efficace et intelligent. Il peut ouvrir des documents PDF, dispose du Wifi (ou, du moins, peut se connecter via GPRS sur un blog, afin que son auteur puisse l’alimenter lorsqu’il est en déplacement). Il est assez fréquent que les blogueurs évoquent leurs dernières acquisitions sur un ton personnel et descriptif. La scène suivante a été imaginée à partir d’un véritable post d’un blog, qui a été modifié pour protéger son auteur.

« Je viens de m’acheter un nouveau téléphone portable pour pouvoir mettre à jour mon blog facilement. J’ai pris le nouveau PDA de [nom de la marque] hier chez [nom de la boutique de téléphonie]. Vous n’imaginez pas à quel point c’est sympa. »

Imaginez maintenant que le message ci-dessus se retrouve entre les mains de la mauvaise personne, et que celle-ci appelle le blogueur en se faisant passer pour un employé d’une entreprise de téléphonie. Le numéro de téléphone des blogueurs ayant enregistré leur propre nom de domaine figure généralement dans la base de données du registraire, avec d’autres informations et notamment leur adresse de facturation, nom et e-mail personnel.

« Bonjour Monsieur ! Je suis [nom] de [nom d’une entreprise de téléphonie] et j’aimerais vous poser quelques questions sur le téléphone [nom de la marque] que vous avez acheté hier chez [nom de la boutique]. Mais je dois d’abord vérifier votre identité. Je vais pour cela avoir besoin de votre numéro de sécurité sociale, de votre date de naissance et de votre adresse. »

Ce n’est qu’un exemple de situation pouvant aboutir à une usurpation d’identité. En règle générale, plus vous révélez d’informations à votre sujet, plus il sera facile pour un attaquant d’en deviner d’autres. Évoquer votre cuisine préférée, vos acteurs favoris et vos activités quotidiennes peut permettre aux attaquants de deviner le mot de passe de votre e-mail, ou de répondre correctement à la question permettant de récupérer un mot de passe d’un compte de messagerie ayant été oublié.

Solutions possibles

Si vous possédez un domaine enregistré à votre nom, soyez vigilant lors d’un premier contact avec quelqu’un. Si vous avez des doutes quant à la légitimité de la personne vous demandant des informations personnelles au nom d’une institution, refusez de répondre à sa demande et appelez l’institution concernée au numéro de téléphone indiqué sur son site Internet.

Vous pouvez également demander à votre registraire de domaine d’activer l’option de protection de la vie privée WHOIS sur votre compte, ce qui remplacera vos coordonnées par celles de l’organisation de protection de la vie privée. Vos coordonnées demeureront confidentielles et ne seront pas communiquées à des tiers, à l’exception des organismes chargés de l’application de la loi.

Et si mon blog a été piraté ?

Se remettre de l’intrusion d’un hacker dans un blog est souvent difficile et les effets d’une attaque réussie peuvent se faire sentir pendant longtemps. Cependant, plus vous identifierez et résoudrez les problèmes rapidement, moins votre blog sera affecté. Vous trouverez ci-dessous une courte liste d’actions à mettre en place immédiatement après la détection d’une attaque potentielle.

Commencez par rendre votre domaine inaccessible à la fois aux êtres humains et aux robots d’indexation des moteurs de recherche. Puisque tous les fichiers du site web auront besoin d’être analysés et (probablement) d’être restaurés, il n’est pas conseillé d’en supprimer. Vous pouvez bloquer tout le trafic en renommant le fichier index.php et en créant un fichier vierge à la place. Attention : n’oubliez pas de créer la fausse page d’index ou vous risquez d’exposer d’autres fichiers de votre compte FTP. Bloquer l’accès aux moteurs de recherche les empêchera de détecter que votre blog est infecté et de le signaler comme étant malveillant.

1. Effectuez une sauvegarde complète de votre dossier principal à l’aide d’un client FTP puis exportez manuellement la base de données en tant que fichier SQL.
2. Récupérez vos logs d’accès à partir de votre serveur web et conservez-les dans un espace sécurisé. Vous en aurez besoin pour savoir ce que les attaquants ont fait précisément pendant qu’ils avaient le contrôle de votre blog. Une analyse révèlera comment ils sont parvenus à le compromettre.
3. Effectuez une copie des fichiers personnalisés que vous avez. Ces fichiers peuvent être des thèmes, des plugins et des fichiers uploadés en tant que contenu, pratiquement tout ce qu’il est impossible de télécharger de nouveau sur Internet. Conservez tout ce que vous considérez nécessaire pour recommencer sans perdre de contenu.
4. Recherchez dans tous les plugins et fichiers de thèmes les lignes de texte suspectes comme « eval(base64_decode » (suivies d’une série de chiffres et de lettres incompréhensible) ainsi que tous les scripts de domaines que vous ne connaissez pas (tels que < script src= ” http:// [domaine inconnu]/ scriptname.php ” >.
5. Inspectez toutes les tables de votre base de données à la recherche de tout lien suspect. Soyez particulièrement attentif aux tables des administrateurs, des paramètres de configuration et des articles du blog. Si vous découvrez un administrateur inconnu, supprimez-le immédiatement.
6. Une fois le processus d’inspection et de « nettoyage » terminé, supprimez les fichiers de votre serveur web. Si la base de données est également affectée, laissez-la de côté et restaurez la copie que vous avez vérifiée manuellement.
7. Chargez le script de votre blog sur le serveur. Veillez à le télécharger à partir d’un site officiel. Il est fondamental d’utiliser la dernière version du script. Modifiez le fichier de configuration pour qu’il soit adapté à votre environnement de serveur web (utilisateur SQL, base de données, mot de passe, chemin d’accès et le reste de vos paramètres).
8. N’accordez pas d’autorisations de fichier et de dossier plus élevées que celles nécessaires pour faire fonctionner le script. Le paramétrage des fichiers et dossiers en CHMOD 777 peut permettre à un attaquant d’écrire dans ces fichiers et d’y injecter des codes malveillants. Changez les mots de passe administrateur du blog et vos accès FTP.
9. Remettez vos fichiers modifiés en place via FTP. Videz le cache de votre navigateur et accédez à votre site web. Vous pouvez également rechercher votre blog dans un moteur de recherche en indiquant comme mots-clés votre nom ou le titre du blog et cliquer sur les résultats indiqués. Les malwares des blogs vérifient généralement si le visiteur a accédé au blog directement ou a été redirigé via un moteur de recherche et ne se manifestent qu’auprès des visiteurs étant passés par des moteurs de recherche.

Quelques conseils pour bloguer en toute sécurité

Pour limiter le risque que votre blog ne soit piraté, nous vous recommandons d’appliquer les précautions suivantes, extrêmement simples :

• N’utilisez jamais de scripts provenant de dépositaires non fiables et non officiels. Surtout, évitez les scripts piratés qui, en plus d’être illégaux, présentent un risque pour votre blog et votre serveur web.
• Ne polluez pas votre compte FTP avec des scripts que vous testez. Une petite vulnérabilité dans un script tiers peut permettre le piratage de votre blog. Testez toujours les scripts sur un serveur web installé en local.
• N’ajoutez pas à votre blog des plugins ou des thèmes qui ne sont pas indispensables. Limitez-vous à ce qui l’est réellement et réduisez ainsi le risque d’avoir un plugin ou un thème vulnérable aux attaques. Vérifiez également que les plugins que vous souhaitez utiliser proviennent d’une source fiable, et, en cas de doute, n’hésitez pas à demander confirmation à d’autres utilisateurs.
• Faites régulièrement des sauvegardes de votre base de données SQL. Utilisez un plugin pour automatiser cette tâche. Il est préférable que ces sauvegardes vous soient envoyées par e-mail ou hébergées sur un serveur FTP secondaire. N’utilisez pas le même compte pour stocker vos sauvegardes, car elles pourraient être modifiées ou supprimées par un attaquant en cas de piratage.
• Utilisez des mots de passe sécurisés pour vos comptes FTP et vos identifiants administrateur. Ne les communiquez à personne, quelles que soient les circonstances. Vous pouvez également installer une solution antimalware complète afin d’éviter que votre système ne soit infecté par un cheval de Troie. Certains piratages de blogs ont été réalisés suite à l’interception d’identifiants et de mots de passe par des keyloggers ou des chevaux de Troie surveillant le cache.
• Choisissez avec soin votre hébergeur. Les solutions payantes sont généralement bien meilleures que les gratuites. Vérifiez que vous disposez de sauvegardes automatiques quotidiennes, des journaux des accès et d’une configuration du serveur web adaptée au script de blog choisi.

Vous pouvez également télécharger ces conseils au format PDF en cliquant ici.