Mon site web a été Piraté !

Un compte piraté (ou hacké) est un compte qui a été compromis par un individu non-autorisé.
Pourquoi mon compte a-t-il été piraté?

Un compte d’hébergement web offre souvent des possibilités alléchantes pour les pirates informatiques (ou “hackers”), leur permettant d’utiliser votre compte pour:

  • installer et distribuer des virus,
  • envoyer une quantité énorme de pourriels (spam),
  • héberger des copies de sites et extraire des informations personnelles importantes (appelé « phishing » ou « hameçonnage »),
  • causer des dommages financiers intentionnellement à votre compagnie ou organisation
  • prouver leurs compétences en tant que pirates informatique.

Il est important de noter que dans la majorité des cas, les comptes sont piratés par des scripts automatisés sur l’Internet qui sont exécutés sur d’autres machines infectées.
Comment mon compte a-t-il été piraté?

Il existe plusieurs manières différentes:

  1. Un mot de passe compromis. Il aurait pu être deviné (si il était trop simple), utilisé par une personne en qui vous avez confiance, ou volé de votre ordinateur souvent de matière automatique par un virus/Trojan.
  2. Des scripts sur le serveur qui ont des failles exploitables et ont été utilisées de façon à donner accès à votre compte aux hackers (très fréquent, surtout pour les logiciels Joomla, WordPress, et phpBB lorsqu’ils ne sont pas mis à jour).

Il est important de bien comprendre que ce problème survient donc d’une faille au niveau logiciel de soit (1) votre environnement local ayant accès au serveur, ou (2) vos application installées sur le serveur, et n’est aucunement reliée à la sécurité globale du serveur web sur lequel votre compte est hébergé. À cause des mesures de sécurité implantés sur nos serveurs, un compte piraté ne peut pas affecter l’intégrité des données sur d’autres comptes hébergés sur le même serveur. Dans certains cas, cependant, un compte piraté peut augmenter la charge du serveur et affecter sa réputation en tant qu’expéditeur de courriels légitimes, d’où l’importance de réagir rapidement afin de palier le problème.


Comment savoir si mon compte a été piraté?

Il arrive qu’un pirate informatique rende évident le fait que votre site ait été piraté. Dans d’autres cas, un geste de piratage peut être vraisemblablement invisible. Un compte piraté peut :

  1. Insérer du code HTML dans vos pages pour propager des virus auprès de tous les visiteurs de vos sites. Les sites infectés seront éventuellement bloqués par certains navigateurs web et moteurs de recherche, afin de limiter la propagation du virus, ce qui affectera en échange le trafic vers votre site.
  2. Contenir des pages visiblement piratées (avec des liens et images externes qui ne sont pas les vôtres).
  3. Contenir, souvent dans des sous-répertoires, des images et textes identiques à ceux d’un autre site (appelé « phishing » ou « hameçonnage »).
  4. Envoyer des mails illégitimes (spam) en masse à partir de votre compte.
  5. Installer des scripts pour attaquer d’autres sites ou pirater davantage de comptes (causant une surcharge de l’utilisation des ressources du serveur).

Si nous détectons que votre compte a été piraté ou si nous recevons des plaintes, nous vous enverrons un avis par courriel vous informant du problème, et vous demandant d’agir rapidement (en moins de 24 heures) afin de corriger le problème. Dans des cas extrêmes, il est possible que nous suspendions votre compte immédiatement afin d’empêcher d’importants problèmes plus importants au niveau du serveur.

Il existe d’autres manières de savoir si votre compte a été piraté:

  1. Effectuez un balayage de votre site avec l’outil gratuit Sucuri SiteCheck
  2. Inspectez manuellement les fichiers de votre site avec l’outil de votre choix (FTP, Gestionnaire de Fichiers, etc), et examinez particulièrement les fichiers que vous ne reconnaissez pas.
  3. Si vous utilisez des logiciels sur votre site tel que WordPress, Joomla, ou tout autre Gestionnaire de contenu, assurez-vous qu’il n’existe pas des utilisateurs administratifs que vous ne reconnaissez pas sur votre compte

Si vous soupçonnez un piratage, nous vous encourageons à changer vos mots de passe et de contacter notre équipe de Soutien afin de demander une Balayage de composantes malveillantes gratuit, ou un Audit de Sécurité Premium.


Quoi faire si vous avez été victime d’un piratage?

Une fois votre compte piraté, plusieurs mesures importantes doivent être prises:

  1. Demeurez calme, mais agissez rapidement! Avec chaque heure qui passe, vos chances de récupérer la copie intégrale de votre site web diminuent considérablement.
  2. Si vous n’êtes pas la personne qui a conçu votre site web, contactez-la immédiatement et informez-la du problème.
  3. Effectuez un balayage complet de votre ordinateur (et de tous les autres ordinateurs ayant accès à votre compte) pour des virus avec un antivirus qui est à jour.
  4. Vous pouvez maintenant soit essayer de nettoyer l’infection ou demander une réinitialisation complète de votre compte afin de remettre une copie de sauvegarde propre. Selon la nature de l’incident, une approche pourrait être préférable à l’autre. Par exemple, si vous optez pour un nettoyage de l’infection vous pourrez régler le problème rapidement et sans perte de données. Vous risquez cependant de laisser des traces ou des accès cachés au pirate, leur permettant de rapidement réinfecter votre site. La réinitialisation et restauration d’un site à partir d’une copie de sauvegarde propre est normalement recommandé mais (a) dépend de l’existence d’une copie de sauvegarde propre, et (b) pourrait occasionner une perte de données récente si la copie de sauvegarde n’est pas très récente.

    Dans la plupart de cas, si nous vous contactons concernant un incident de sécurité notre équipe aura déjà effectué un nettoyage de base de votre compte (et les détails seront inclus dans le courriel envoyé). Dans certains cas, il vous sera tout de même utile d’analyser manuellement les fichiers dans votre compte, et de nettoyer les fichiers HTML et JavaScript si vous y trouvez du code malicieux. Cette approche peut être très longue et complexe et est donc déconseillée. Nous recommandons la remise d’une copie de sauvegarde, que nous décrierons davantage ici.

  5. Identifiez une sauvegarde propre de votre site. Si vous n’en avez pas sur votre ordinateur local, ouvrer un Billet de soutien dans votre Espace Client et demandez-nous de vérifier nos sauvegardes automatisées afin de confirmer qu’une des copies n’est pas infectée. Il est important de s’assurer que la copie de sauvegarde ne contient pas les mêmes fichiers infectés.
  6. Une fois que vous avez confirmé l’existence d’une copie de sauvegarde propre, répondez au billet de soutien déjà ouvert ou créez en un nouveau dans votre Espace Client pour demander la suppression de votre compte sur le serveur, et ensuite soit (a) la réinitialisation du compte vide afin de vous permettre de transférer une copie de vos fichiers sur le serveur, ou (b) la réinitialisation du compte à partir d’une copie de sauvegarde automatisée que nos techniciens vous ont confirmé qui est propre. Ceci vous assurera que votre compte est maintenant dans un état propre et sans virus. Il faudra vous assurer d’avoir bien copié tous vos courriels, bases de données, fichiers, et autres données importantes avant de demander la suppression de votre compte.
  7. Maintenant votre site devrait être remis à un état fonctionnel et ne devrait plus contenir d’infection. Vous êtes donc prêts à adresser les problèmes de sécurité qui ont causé l’incident initial. Il est généralement conseillé de présumer que toute information confidentielle dans votre compte, incluant mots de passe, fichiers, courriels, informations personnelles, etc, ont été compromis, donc il vous faudra réagir en conséquence. Commencez par changer tous vos mots de passe, incluant:
    • Espace Client
      Branchez-vous à votre Espace Client et cliquer sur Profil > Modifier mot de passe
    • cPanel
      Branchez-vous à votre Espace Client et cliquer sur Mes Services > si vous avez plusieurs services, Voir Détails du service affecté > Changer Mot de passe cPanel
    • Comptes de messagerie
      Dans le cPanel, sous Comptes Courriel (dérouler vers le bas de la page et cliquez sur Changer mot de passe à côté du courriel en question)
    • Comptes FTP Additionnels
      Dans le cPanel, sous Comptes FTP
    • Utilisateurs MySQL
      Dans le cPanel, sous Bases de données MySQL. Il vous faudra créer un nouvel utilisateur MySQL, leur accorder les permissions à la base de données, et changer les informations de connexion dans votre fichier de configuration du logiciel web utilisé avant de supprimer l’utilisateur original.
    • Tout utilisateur Admin de vos logiciels tiers tels que WordPress, Joomla, ou tout autre logiciel de gestion de contenu.
  8. Mettez à jour tous les logiciels que vous avez installé sur le serveur, incluant leurs extensions, plugins, thèmes, etc. Ceci devrait être fait avec la personne ou l’équipe qui gèrent présentement votre site web afin d’assurer que rien ne soit brisé suite aux mises à jour.
  9. Supprimez les vieilles installations de logiciels que vous avez peut-être laissé traîner sur votre compte et que vous n’utilisez plus activement.
  10. Vous pouvez aussi consulter les astuces suivants spécifiques à WordPress ou Joomla:

    Pour sites Jooma:

    1. Mettez à jour votre fichier configuration.php dans le dossier racine de votre installation Joomla avec votre nouveau mot de passe de votre utilisateur MySQL
    2. Mettez à jour la version de Joomla ainsi que ses extensions et modules
    3. Changez tous vos mots de passe administrateurs
    4. Complétez la liste de contrôle suivante (en anglais): http://docs.joomla.org/Security_Checklist/Joomla!_Setup
    5. Consultez d’autres conseils pour sécuriser davantage votre installation Joomla: http://docs.joomla.org/Security

    Pour sites WordPress:

    1. Mettez à jour votre fichier wp-config.php dans le dossier racine de votre installation WordPress, avec le nouveau mot de passe de la base de données
    2. Toujours dans votre fichier wp-config.php, changez vos clés de sécurité afin de forcer les utilisateurs déjà authentifiés à se re-connecter. Vous pouvez utilisercet outil pour générer des nouvelles clés automatiquement
    3. Changez tous les mots de passe de vos utilisateurs administratifs.
    4. Installez un plugin de sécurité tel que Wordfence afin de rajouter un niveau de sécurité. Vous trouverez cet outil avec une recherche dans l’onglet Extensions de WordPress.
    5. Mettez à jour la version de WordPress, ses extensions, thèmes et modules
    6. Lisez d’autres conseils pour sécuriser davantage votre installation WordPress (en anglais): http://codex.wordpress.org/Hardening_WordPress


Quoi faire si mon serveur dédié a été piraté?

Les serveurs dédiés qui sont compromis au niveau “root” sont difficiles à nettoyer. Nous recommandons fotrement dans ces cas d’effectuer un backup des données importantes et de demander une réinstallation complète et propre du serveur avant d’y remettre les fichiers propres, non-infectés.

Gardez toujours votre serveur dédié à jour avec les plus récentes versions de logiciels, kernels et autres composantes, et activez toujours une configuration efficace de pare-feu. Notre service d’Infogérance peut aussi vous permettre de mieux vous protéger contre des risques éventuels de sécurité.


Sécuriser votre compte

Il est très important de bien sécuriser votre site web une fois que celui-ci a été nettoyé de problèmes. Consultez l’article Informations Importantes Pour Sécuriser Votre Site pour des précisions additionnelles à ce sujet.

Commentaire

Commentaire