Website hacked : les signes à reconnaitre, les mesures à prendre

Les signes indiquant que votre site Web a été piraté peuvent varier. Il s’agit notamment des avertissements du navigateur et de l’analyse antivirus, d’une adresse Web inaccessible, de spam, de problèmes de chargement ou de redirections indésirables. Il faut alors agir sans attendre, par exemple en notifiant l’hébergeur, en modifiant les identifiants de connexion et en corrigeant les vulnérabilités du site Web.

Mon site Web a-t-il été piraté ?

Le piratage d’un site Web est une menace très réaliste auxquels les propriétaires doivent se préparer. Malgré des mesures de sécurité intensives, les pirates peuvent exploiter les vulnérabilités de sécurité des sites Web, applications ou comptes de messagerie pour déployer leurs cyberattaques. Les vulnérabilités possibles favorables aux logiciels malveillants ou au vol de données sont les suivantes :

• Sécurité du Cloud insuffisante
• Attaque zero day
• Attaques DoS et DDoS
• Phishing

Si le risque menaçait surtout les grandes entreprises, les petites et moyennes entreprises sont désormais exposées à de nombreuses cybermenaces devant les progrès de la numérisation. Le piratage de WordPress est également de plus en plus courant, car de nombreux sites Web sont basés sur ce CMS. Dès que vous remarquez un comportement inhabituel lors de l’utilisation de votre site Web, il est important d’évaluer la situation et d’agir avec discernement.

Il convient tout d’abord de se demander comment reconnaitre les signes d’un piratage de site Web. S’il existe des méthodes difficiles à identifier comme les attaques Man in the Middle, les piratages peuvent généralement être détectés au travers de certains signes.

Soyez attentif aux signes suivants qui permettent de détecter les logiciels malveillants et de vérifier si votre site Internet a été piraté :

Avertissements du navigateur

Un navigateur actuel tel que Microsoft Edge, Google Chrome ou Mozilla Firefox fournit des fonctions de sécurité qui détectent les sites Web dangereux. Cela inclut la fonction « HTTPS uniquement », qui bloque ou affiche automatiquement un avertissement pour les pages sans SSL ou TLS. Les fonctions de navigation sécurisée empêchent à leur tour de télécharger des fichiers ou des codes malveillants. Si le navigateur émet un avertissement lorsque vous visitez votre site Web, c’est qu’il existe un problème de sécurité qui pourrait être lié à un piratage ou à des certificats expirés.

Les programmes antivirus sonnent l’alarme.

Utilisez des logiciels antivirus actuels. Les avertissements émis par un logiciel antivirus sont l’une des indications les plus claires indiquant que votre ordinateur ou votre site Web est en danger ou infecté.

Site Web inaccessible

Vous pouvez aussi remarquer la présence d’attaques si votre hébergeur Web désactive votre site Web. Dans ce cas, les fournisseurs d’hébergement réagissent face aux avertissements de leur propre service de sécurité informatique ou aux informations des visiteurs de votre site Web. Dans ce cas, vous ne recevrez pas toujours de notification avant la désactivation de la page.

Les identifiants ne fonctionnent pas.

Si vos identifiants de connexion ne fonctionnent plus, cela indique que quelqu’un a pris le contrôle de votre compte ou supprimé des comptes d’utilisateur.

Avertissements concernant des tentatives de connexion

Au cours des attaques par force brute, les attaquants tentent de trouver les identifiants de connexion. Si vous recevez des avertissements au sujet de tentatives de connexion non autorisées, l’accès à votre site Web est clairement en danger.

Défacement

Dans le cas du défacement, les cybercriminels remplacent votre site Web ou fichier index.html par un site Web affichant une déclaration du groupe de pirates. Ce faisant, les attaquants bloquent l’accès à votre site Web. Leurs motivations sont souvent d’ordre politique ou activiste, c’est pourquoi ils visent principalement des sites Web commerciaux.

Détournement

Lors d’un détournement, les criminels intègrent une page d’arrière-plan avec du code malveillant dans votre site Web. Elle déclenche le téléchargement de logiciels malveillants lors de l’ouverture de votre site Web. Même si les antivirus ou les navigateurs actuels les reconnaissent, il peut arriver que ce type d’infection soit détecté trop tard. Les vulnérabilités sont généralement des mots de passe FTP non sécurisés ou une injection PHP.

Attaques de ransomware

Une attaque de ransomware peut être l’un des pires scénarios pour les entreprises. Selon le degré de nocivité du logiciel malveillant, toutes les données de l’entreprise et du site Web peuvent être chiffrées et rendues ainsi inutilisables. Le but des criminels est d’extorquer une rançon en échange des codes de déchiffrement. Par conséquent, il convient d’accorder une attention particulière à la protection contre les ransomwares.

Alertes Google

La Google Search Console est un outil d’analyse gratuit de Google, avec lequel vous pouvez vérifier l’optimisation du référencement de votre site Web auprès du moteur de recherche. Si vous remarquez des avertissements concernant des logiciels malveillants ou des backlinks suspects, vérifiez la sécurité de votre site.

Le site Web apparaît sur la liste de blocage Google.

Si Google considère votre site comme suspect ou dangereux, vous pouvez vous retrouver sur la liste de blocage de Google. Votre site Web n’apparaîtra plus dans les résultats de la recherche. Vous pouvez vérifier si votre site Web figure sur la liste de blocage à l’aide de la Google Search Console.

Temps de chargement inhabituellement longs

Si votre page se charge beaucoup plus lentement, ceci peut signaler une attaque. Les infections de sites Web telles que le cryptojacking peuvent entraîner une hausse artificielle de la charge CPU. Lors d’une attaque de cryptojacking, les cybercriminels peuvent infecter des ordinateurs avec des logiciels malveillants ou implanter des programmes miniers comme Coinhive dans des sites Web officiels. Cela leur permet d’exploiter la puissance de calcul des ordinateurs affectés ou des visiteurs de site Web pour des activités illégales de cryptomining.

Spam, redirections ou fenêtres pop-up

Si vos abonnés se plaignent de spam en masse provenant de l’une de vos adresses email, cela peut indiquer une infection par un logiciel malveillant. De plus, les redirections indésirables lors de l’accès à des sites Web, des fenêtres contextuelles inconnues et de la publicité sont également des signes de piratage.

Site Internet piraté : comment procéder maintenant

Dans le pire des cas, une seule conclusion s’impose : les cybercriminels ont exploité les vulnérabilités de sécurité de votre site Web pour le pirater. Suivez ces sept étapes pour résoudre le problème et rétablir la sécurité de votre entreprise et de vos clients :

Étape 1 : garder son calme

La règle primordiale est de d’abord garder son calme. Les actions irréfléchies peuvent faire encore plus de dégâts. Si vos terminaux sont également touchés par le piratage, ne vous connectez pas à vos comptes de messagerie externes ou à vos comptes professionnels. En cas d’attaque, utilisez uniquement des ordinateurs et des comptes externes pour votre communication. En cas de doute, faites appel à des experts en informatique. Les entreprises doivent immédiatement alerter leur service de sécurité informatique.

Étape 2 : modifier les identifiants de connexion et les droits d’accès

Si vous recevez des avertissements concernant des tentatives de connexion non autorisées ou si vous constatez la présence d’un accès non autorisé dans vos journaux, modifiez vos identifiants de connexion. Veillez à n’utiliser que de nouveaux mots de passe sécurisés, qui se composent de majuscules et de minuscules, de chiffres, de caractères spéciaux et, si possible, de 12 caractères. Modifiez les informations d’accès suivantes et les comptes :

• Identifiants de connexion pour les administrateurs ou les utilisateurs autorisés
• Mots de passe de compte pour l’hébergement
• Comptes FTP principaux et secondaires
• Mots de passe et données d’accès aux bases de données
• Comptes de messagerie reliés

Si nécessaire, vérifiez et modifiez les droits d’accès et l’affectation des rôles pour toutes les personnes disposant de droits d’administrateur. Cette opération est généralement effectuée dans la console d’administration ou en utilisant des comptes FTP. Ce faisant, pensez également à vérifier les droits d’accès et de modification pour les fichiers du répertoire racine.

Étape 3 : placer le site Web en mode de maintenance

Si cette option est disponible, il est recommandé de placer le site Web en mode de maintenance jusqu’à ce que le problème soit résolu. De cette façon, vous n’exposez pas les utilisateurs à des risques inutiles et protégez l’image de votre entreprise.

Étape 4 : créer une sauvegarde du site

Si votre site Web est piraté, vous devez créer une sauvegarde des données de votre site Web à l’avance. Elle peut être utilisée pour restaurer votre site Web dans un état antérieur. Ce faisant, veillez à créer plusieurs sauvegardes et à enregistrer au moins deux sauvegardes sur différents supports de stockage.

Étape 5 : vérifier les fichiers journaux du site Web

Si vous avez accès à votre console de gestion, vérifiez le contenu des fichiers journaux de votre site Web. Vous devriez pouvoir identifier l’heure et le point d’attaque à l’aide des messages d’erreur et des journaux d’accès dans ces fichiers. Ce point de départ vous permet d’éliminer les vulnérabilités de sécurité et de supprimer les malware, les codes malveillants, les plugins, les thèmes ou d’autres logiciels tiers. Si vous n’avez pas accès à vos fichiers journaux, veuillez contacter votre fournisseur d’hébergement.

Étape 6 : réinitialiser le fichier .htaccess

Le fichier .htaccess est une cible souvent visée par les cyberattaques car il contient des configurations importantes pour les sites Web sur les serveurs Web Apache. Les attaques visant les fichiers .htaccess peuvent se traduire par des redirections vers des logiciels malveillants, des fichiers PHP malveillants, le vol de données, le browser fingerprinting ou des attaques dites « par point d’eau » (Watering hole). La réinitialisation du fichier .htaccess et la restriction des droits d’accès peuvent combler des lacunes de sécurité.

Étape 7 : rechercher les programmes ou codes malveillants sur le site Web

Si vous avez un site WordPress, vous pouvez utiliser des extensions de sécurité pour WordPress. Ils permettent d’analyser les fichiers du site Web, les applications et les plugins afin d’y détecter la présence de logiciels ou codes malveillants. Les plugins de sécurité connus et populaires sont par exemple :

• WPScan
• Jetpack
• Sucuri Security
• BulletProof Security

Pour les sites Web créés et gérés avec d’autres CMS et des alternatives à WordPress, des outils d’analyse de sécurité, de surveillance et de sécurité optimisée de site Web et de réseau sont également disponibles :

• SiteGuarding
• Intruder
• HostedScan Security
• Detectify
• ImmuniWeb

Si vous ne souhaitez pas utiliser d’outils supplémentaires provenant de fournisseurs tiers, vous pouvez également scanner manuellement les fichiers de votre site Web à l’aide de votre programme antivirus actuel.

Pourquoi pirater un site Web ?

Beaucoup de raisons expliquent les piratages de site Web. Dans la plupart des cas, les pirates tentent de s’enrichir en interceptant les données sensibles de banques, d’entreprises et d’utilisateurs. Ils utilisent ensuite les données subtilisées directement ou les revendent à d’autres criminels. D’autres modes d’enrichissement financier sont les attaques par ransomware, qui sont habituellement associées à une demande de rançon pour les données d’entreprise chiffrées. Les pirates peuvent également avoir une motivation d’ordre politique et rendre inaccessibles les sites Web d’entreprises, de partis politiques, de personnes publiques ou d’institutions ciblés.

D’autres motivations sont les cyberattaques militaires. Dans ce contexte, les groupes de piratage gouvernementaux commettent des attaques systématiques sur les infrastructures numériques, volent des données, exercent de l’espionnage ou amènent des systèmes à planter. L’ambition et la renommée jouent également un rôle lorsque des groupes de hackers ou des individus considèrent les actes de piratage de grandes entreprises ou de célébrités comme des trophées.

Comment prévenir le piratage de site Web ?

Les mesures et règles de sécurité suivantes contribuent à protéger votre site Web contre les malwares :

• N’utilisez que des mots de passe forts conformes aux recommandations actuelles en matière de sécurité des mots de passe.
• Utilisez un gestionnaire de mots de passe pour garder la maîtrise de la sécurité en présence de nombreux mots de passe.
• Modifiez régulièrement vos mots de passe et identifiants et ne les stockez pas dans votre espace d’administration ou sur votre ordinateur.
• Utilisez les versions actuelles de PHP, la plus récente étant PHP 8.
• Mettez à jour les plugins, les applications et les autres logiciels reliés.
• Utilisez un logiciel antivirus à jour.
• Veillez à utiliser les services d’un fournisseur d’hébergement fiable et sûr offrant un niveau élevé de protection des données.
• Utilisez des plugins de sécurité assurant la surveillance de sites Web.
• Veillez à l’actualité des certificats SSL.
• Assurez-vous de transférer des fichiers en toute sécurité entre votre espace Web et les ordinateurs connectés disposant de droits d’accès via FTP ou SFTP.
• Activez les alertes concernant les connexions non autorisées et une authentification à deux facteurs.
• Créez des sauvegardes des fichiers de votre site Web.
• Analysez les vulnérabilités de votre site Web avec l’aide d’outils de sécurité professionnels ou d’experts en informatique.
• Contrôlez les accès, les autorisations de page et les rôles d’utilisateur.
• Utilisez un pare-feu sécurisé pour le site Web (par exemple via Sucuri ou Cloudflare).
• Les grandes entreprises devraient toujours disposer d’un service de sécurité informatique dédié.

Site Web piraté ? Mettre en place la bonne communication

Si votre site Internet a été piraté, il ne suffit pas de restaurer la sécurité de votre site Web. Les utilisateurs qui se sont abonnés ou ont déposé des données sur le site Web doivent également être tenus informés des cyberattaques possibles et des données volées. Des informations tardives, peu claires, voire cachées, concernant une attaque peuvent même nuire à votre image de marque. Ainsi, Facebook a attendu deux ans avant d’annoncer le vol de plus de 530 millions de données utilisateur en 2019. Qui est soumis au Règlement général sur la protection des données (RGPD) de l’Union européenne est également tenu d’informer les utilisateurs des vols de données et des lacunes en matière de sécurité.

Veillez à mettre en place une communication client active et transparente en cas de piratage de votre site Web. Le cas de figure idéal consiste à annoncer cet événement par une déclaration publique ou un email. Décrivez la situation clairement et de manière compréhensible. Spécifiez les impacts possibles et les données affectées. N’hésitez pas non plus à fournir des conseils sur les mesures que les clients doivent mettre en place pour restaurer la sécurité et la protection des données. Par exemple, attirez l’attention sur la nécessité de modifier les mots de passe, de surveiller les tentatives de connexion suspectes ou d’utiliser une authentification à deux facteurs.