Article publié le : 27/02/2024
Dans cette période d'instabilité géopolitique et de conflits qui se multiplient, même les entreprises peuvent devenir des cibles par le biais de la sphère cyber.
Souvent les points de vulnérabilités sur les sites internet et e-commerce (notamment WordPress) vont être les formulaires de contact et les thèmes préfabriqués/sitebuilders.
Dans les deux cas, la première action à prendre est d'échanger avec une société experte en maintenance de site (connaissez-vous Les Vikings, à Lyon ?)
La deuxième est d'adopter une approche "Zero Trust."
On aurait pu aussi l'appeler "ne monte jamais dans la camionnette d'un inconnu même s'il te donne des smarties", mais ça sonnait quand même moins bien.
Sommaire de l'article :
I - Les hausses des phishing & attaques par formulaires de contact en 2023-2024
II - Préconisation : l'approche Zero Trust pour vos sites internet & e-commerce (WordPress WooCommerce, Prestashop, Magento, Symfony ou autre)
Le rapport 2023 de ThreatLabz de Zscaler sur le phishing met en évidence une augmentation de près de 50 % des attaques de phishing à l'échelle mondiale par rapport à l'année précédente, l'éducation étant le secteur le plus ciblé, connaissant une hausse de 576 % des attaques. Ce secteur est suivi par la finance et le gouvernement, tandis que le secteur précédemment très ciblé de la vente au détail et de la vente en gros a vu une baisse significative de 67 % des attaques.
Les pays les plus ciblés comprennent les États-Unis, le Royaume-Uni, les Pays-Bas, le Canada et la Russie, avec comme marques les plus ciblées Microsoft, Binance, Netflix, Facebook et Adobe.
Le rapport met également en lumière le rôle des outils d'IA, tels que ChatGPT, et des kits de phishing dans la facilitation de la croissance des attaques de phishing en abaissant les barrières techniques pour les criminels, leur faisant ainsi économiser du temps et des ressources. Il a été noté que le phishing par SMS (SMiShing) évolue vers des formes de phishing par messagerie vocale (Vishing) plus sophistiquées, attirant les victimes à ouvrir des pièces jointes malveillantes.
L'essor de menaces nouvelles et en évolution, y compris l'utilisation du système de fichiers interplanétaire (IPFS) pour héberger des pages de phishing, souligne le défi de combattre ces attaques en raison de la nature décentralisée de l'IPFS.
|
La recherche souligne la nécessité pour les organisations d'adopter une architecture Zero Trust pour se défendre efficacement contre ces menaces évolutives. Cette approche est cruciale pour minimiser la surface d'attaque, prévenir les compromissions et réduire l'impact des attaques réussies.
Le rapport met également en évidence l'augmentation de la sophistication des attaques de phishing, qui deviennent de plus en plus difficiles à détecter et à empêcher, en particulier avec la croissance des attaques Adversary-in-the-Middle (AitM) qui peuvent contourner les mesures de sécurité traditionnelles, y compris l'authentification multifacteur.
Principe de l'épée et du bouclier.
L'approche Zero Trust dans la sécurité des formulaires de contact, en particulier sur les plateformes comme WordPress WooCommerce, est devenue cruciale en 2024.
Face à l'escalade des cyberattaques, adopter une posture de Zero Trust signifie ne faire confiance à aucune requête par défaut, même celles provenant de l'intérieur du réseau. Dans cet article, nous allons explorer comment cette stratégie peut être appliquée pour sécuriser les formulaires de contact sur votre site internet (tous CMS mais WordPress en premier lieu.)
Je n'aime pas les anglicismes, mais c'est le terme approprié. Et "Confiance Zéro" n'est pas forcément approprié. Le temps que j'apprenne un équivalent, il faudra nous contenter de ce terme.
Le concept de Zero Trust repose sur plusieurs principes clés : la vérification systématique, le principe de moindre privilège et l'assomption de compromission.
Appliquée aux formulaires de contact, cette approche implique de traiter chaque entrée utilisateur comme potentiellement malveillante et de vérifier minutieusement l'identité et les permissions avant d'accorder l'accès ou de traiter les données soumises.
Difficile équilibre puisque plus on filtre, plus on risque de rater des leads.
Pour un site internet, en WordPress ou autre CMS, voici les étapes à suivre pour implémenter une approche Zero Trust sur les formulaires de contact :
Validation et sanitisation des entrées
Sanitisation. Que ce terme est laid.
Chaque donnée entrante doit être strictement validée pour correspondre au type attendu et nettoyée de tout contenu potentiellement malveillant. Les champs de formulaire devraient permettre uniquement le type de contenu strictement nécessaire (par exemple, texte uniquement pour un champ nom).
Limitation des tentatives d'envoi
Pour prévenir les attaques par force brute ou les soumissions automatisées, limitez le nombre de tentatives d'envoi d'un formulaire depuis une même adresse IP sur une période donnée.
Utilisation de CAPTCHA
Les CAPTCHAs modernes, comme reCAPTCHA v3 de Google, offrent une manière efficace de distinguer les utilisateurs humains des bots sans dégrader l'expérience utilisateur. Ces solutions s'intègrent facilement à WordPress et WooCommerce.
Problème de février 2024 : on dirait que cette protection se fait surpasser. L'épée bat le bouclier.
Comment faire pour sécuriser un formulaire de contact quand le CAPTCHA ne fonctionne pas ?
C'est peut-être le moment de faire appel à nos services de MCO/MCS ! (Maintien en Conditions Opérationnelles / Maintien en Conditions de Sécurité)
Authentification multifactorielle (MFA) ou 2FA (pour... 2 facteurs)
Bien que moins commune pour les formulaires de contact, l'authentification MFA peut être pertinente pour les sections nécessitant une identification, comme les formulaires de support client réservés aux utilisateurs enregistrés. Le login, c'est un formulaire.
Chiffrement des données
Assurez-vous que toutes les données envoyées via les formulaires de contact soient chiffrées en transit (SSL/TLS) et, si possible, au repos. Cela réduit les risques en cas d'interception de ces données.
Surveillance et réponse aux incidents
Mettez en place un système de surveillance pour détecter les activités suspectes liées aux formulaires de contact. En cas de détection d'une tentative d'attaque, une réponse rapide est cruciale pour minimiser les dommages. Prendre un prestataire pour monitorer les versions des modules de votre site internet, puis tester et faire les mises à jour.
MCO MCS TMA, tous ces jolis acronymes techniques sont directement liés à la sécurité et à la réactivité.
Nous disposons d'un système interne, Vikings Central, qui nous aide à anticiper les vulnérabilités et les identifier/corriger dès qu'elles se présentent.
La maintenance de site internet, c'est notre travail. C'est un travail exigeant, mais très gratifiant, surtout en ce moment.
Kévin, Directeur associé
co-Gérant chez Vikings Technologies, mon cœur est voué aux paradoxes. Amour de la Technologie et de l'Histoire (de 793 à 1805), passion de la gestion et du potager. Accessoirement, une expérience de plus de 10 ans dans le domaine du numérique. Ce qui implique que j'en sais assez pour reconnaître que j'ai tout à apprendre.
