View in

English

Sécurité informatique : La beauté n’est pas toujours là où l’on croit

|

Computer security blog
(Image: CERN)

Le CERN héberge des centaines de serveurs web, des milliers de sites internet et plus d’un million de pages web. La plupart sont fonctionnels et ont un objectif bien défini, beaucoup sont élégants et bien faits, modernes ou sophistiqués, certains font un peu années 90, et d’autres sont démodés ou obsolètes. Si l’esthétique (qui dépend essentiellement des goûts de chacun et qui est donc subjective) peut être discutée et source de désaccords, certaines règles de base, qui n’engendrent aucun changement au niveau de l’apparence car elles touchent la partie qui n’est pas visible par l’utilisateur, doivent être respectées par tous les serveurs, sites et pages web. Toutefois, ici aussi, une certaine forme de beauté est appréciée.

C’est pourquoi, chers webmestres du CERN, je vous invite à vous rendre sur votre page web préférée, celle dont vous assurez la gestion et la maintenance. Le nom de cette page web est-il cohérent, suffisamment court et parlant ? Si, à la place de ce nom, j’utilise l’adresse IP qui y est associée, que se passe-t-il ? Ai-je accès au même contenu ? Et si je me rends sur une sous-page, n’importe laquelle, le contenu qui s’affiche est-il pertinent ? Et ce, même si l’URL complète (chemin complet de la page web) est mal orthographiée ? Votre page web détecte-t-elle correctement les erreurs (par exemple, les pages qui n’existent pas, qui nécessitent une authentification ou dont l’accès est clairement interdit) redirige-t-elle les utilisateurs en conséquence ? Que se passe-t-il en cas d’erreur de certificat, ou de tout autre message d’erreur ou de débogage ? Une redirection vers HTTPS est-elle prévue (en particulier lorsque vous hébergez des contenus sensibles dont l’accès est protégé) ?

Vous avez répondu « non » ou « je ne sais pas » à l’une de ces questions ? Ou vous avez haussé les épaules, grimacé ou tressauté ? Il est temps de procéder aux vérifications nécessaires. Assurez-vous d’avoir une page de renvoi adaptée ou, à défaut, redirigez les internautes vers cern.ch, par exemple. Configurez les messages d’erreur standard 401, 403, 404 afin que les informations relatives aux erreurs ou aux débogages ne soient pas visibles pour les utilisateurs. Si votre page utilise JavaScript, PHP ou tout autre logiciel de gestion de contenu web, relevez aussi les autres messages d’erreur potentiels et assurez-vous que l’utilisateur final ne les voit pas sur son écran. De même, supprimez toutes les informations par défaut, comme les pages Apache ou les applications web Tomcat, les pages  « webinfo », et autres modules et options qui ne sont pas nécessaires pour proposer le contenu. Afin de veiller au respect de la confidentialité et de l’intégrité, redirigez votre site HTTP (port 80/TCP) vers HTTPS (port 443/TCP). Assurez-vous également que le serveur ne prend pas en charge les protocoles de cryptage obsolètes comme les versions SSL ou TLS antérieures à la version 1.2, et que le certificat du site est valide, fiable et non obsolète. Pensez aussi à vérifier le logiciel qui est exécuté sur le serveur ; il doit être développé avec soin et utiliser les paramètres du serveur qui permettent de garantir la sécurité requise, comme une gestion adéquate des logs et des erreurs.

Même si négliger l’un ou l’autre de ces paramètres ne représente pas en soi un risque de sécurité critique, cela pourrait donner l’impression que la configuration générale n’est pas optimale, voire qu’elle est médiocre, et inciter des pirates à aller plus loin (lire notre article sur la « théorie du carreau cassé »). Cette négligence peut également être considérée comme un manque de professionnalisme et donner une mauvaise image du CERN. En conséquence, vérifiez votre serveur web, site web ou page web, procédez aux améliorations nécessaires et corrigez les problèmes. Embellissez-le, et pas uniquement au niveau de son apparence. Tirez avantage de conseils externes, par exemple, le CIS (en anglais) propose gratuitement des points de comparaison pour renforcer le système d’exploitation sous-jacent, mais aussi différents logiciels et versions de serveurs web. Qualys SSL Labs (en anglais) fournit plusieurs analyses de la configuration SSL/TLS. Vous pouvez également consulter la série d’antisèches de l’OWASP (en anglais), qui propose des conseils pratiques plus ciblés sur le développement web. Enfin, nos recommandations plus générales à l’intention des développeurs de logiciels et des webmestres sont à votre disposition. Et, comme à l’accoutumée, n’hésitez pas à nous contacter afin d’obtenir de l’aide ou des conseils, ou pour nous demander de procéder à un examen personnalisé et à un contrôle des mesures de sécurité : Computer.Security@cern.ch.  

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez notre rapport mensuel (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.