Comment sécuriser un blog
Je reçois souvent des demandes d’aide concernant le piratage d’un blog. Par blog je parlerai ici des blogs gratuits hébergés sous la forme d’un sous-domaine du type : http://monnom.siteblog.com
Par exemple skyrock, overblog, canalblog, wordpress et j’en passe.
Récemment, on m’a demandé comment sécuriser son blog suite à des menaces de piratage.
Nous allons d’abord voir comment il est possible de se faire hacker son blog, puis nous détaillerons les étapes indispensables à suivre pour continuer à bloguer de façon sécurisée.
Cet article vise les débutants en particulier, même si tout le monde peut bien entendu y trouver des informations utiles.
Pourquoi peut-on se faire pirater son blog
Pour vous connecter à votre panneau d’administration et donc gérer votre propre blog, vous devez généralement fournir un identifiant et un mot de passe.
L’identifiant est souvent facile à trouver, ou même à deviner si il s’agit du même nom que celui du blog.
Premier point : ne pas utiliser d’identifiant évident.
C’est à dire changer (si possible ?) l’identifiant par défaut.
Et éviter tout identifiant facilement trouvable :
- Nom de famille
- Mot connu sur Internet
- etc
Deuxième point : faire attention au mot de passe !
Le mot de passe est une donnée qui est généralement gardée privée par tout utilisateur (je l’espère).
Seulement il y a un problème.
L’utilisateur normal a bien conscience que son mot de passe ne doit pas être donné à qui que ce soit. Il sait bien que son mot de passe doit être suffisamment compliqué pour ne pas être deviné.
Il sait aussi qu’il est préférable, et à vrai dire hautement recommandé d’utiliser un mot de passe différent pour chaque service.
Mais, cet utilisateur donne pourtant son mot de passe à chaque connexion à son blog. Il le donne pour se connecter et il n’a pas vraiment le choix.
Le mot de passe est donc tapé au clavier, envoyé via le réseau au serveur, comparé avec celui de la base de donnée puis la connexion est acceptée si le mot de passe est le bon.
Entre temps, il a pu se passer beaucoup de choses.
Un programme donné peut très bien récupérer les données tapées au clavier, en clair. Un autre programme donné peut très bien capturer le mot de passe envoyé sur le réseau lorsque la connexion n’est pas chiffrée (HTTPS).
Plus d’informations à ce sujet :
6 techniques populaires permettant de trouver un mot de passe
Pire encore, ce sont les mots de passe de votre blog, de votre compte Facebook, de votre compte mail et j’en passe qui sont aussi récupérés.
Les logiciels espions ne contiennent simplement pas d’interfaces et se lancent souvent au démarrage de l’ordinateur. Une fois lancés, ils récupèrent tout ce qui est tapé sur un clavier, peu importe le site visité, peu importe les programmes exécutés et ce continuellement (sauf si il est repéré par un antivirus).
Comment sécuriser son blog
Je n’ai pas besoin de le répéter, le mot de passe est une donnée sensible à ne jamais divulguer. Et à le rendre le plus difficile possible à deviner.
Voici des conseils divers sur les mots de passe :
- Pourquoi Gbt3fC79ZmMEFUFJ est un MAUVAIS mot de passe
- Violations de données et mots de passe compromis
- Comment savoir si votre mot de passe a été récupéré par des pirates
- Taper ses mots de passe en toute sécurité et Comment créer vos mots de passe de la meilleure des façons
- Un gestionnaire de mots de passe pour ne plus rien oublier !
- La sécurité des mots de passe
Il faut maintenant veiller à ne pas le divulguer involontairement, et nous allons tout de suite voir comment.
Vérifier les processus actifs sur l’ordinateur
Cette partie est très importante pour vous assurer que votre ordinateur ne soit pas infecté.
Garder donc toujours un antivirus à jour, faites un scan du système si vous avez un doute.
Certains programmes peuvent cependant contourner les antivirus. Observez donc les processus actifs en ouvrant le Gestionnaire des tâches de Windows : CTRL + SHIFT + ECHAP, puis sélectionnez l’onglet Processus.
Si vous n’y connaissez rien vous pouvez faire un scan via Process Explorer de Sysinternals.
Vous pouvez aussi vous rendre sur ce lien dans lequel je détaille la démarche d’analyse manuelle d’un PC, ou encore celui-ci.
Rester vigilant(e)
Prenez soin de vous informer sur la sécurité informatique, n’hésitez pas à poser vos questions.
Ne vous connectez pas à votre blog un peu n’importe ou, dans les cybercafés etc…
Créez éventuellement une nouvelle adresse mail avant de créer votre blog, et changez régulièrement de mot de passe. Utilisez aussi les services du type adresse de secours et question secrète.
Choisissez un prestataire de confiance… Difficile à changer lorsqu’on a déjà un blog, je sais. Mais si le site hébergeant votre contenu se fait pirater… on l’a « dans l’os ». Plus d’informations : Comment savoir si votre e-mail ou mot de passe a pu être récupéré par des pirates
Questions et réponses :
Peut-on hacker mon blog si on a mon adresse IP ?
Non.
Peut-on hacker mon blog avec un programme qui devine mon mot de passe ?
Normalement pas, au bout de quelques tentatives infructueuses, l’accès devrait être refusé pour cause d’erreurs de connexion trop nombreuses. De plus si votre mot de passe est assez compliqué, cela prendrait des années à le deviner.
Peut-on hacker mon blog en m’envoyant un programme par e-mail ou dans une conversation ?
Oui, un logiciel espion peut très bien être envoyé sous forme de pièce-jointe.
Peut-on hacker mon blog avec une clé USB ?
Oui, si elle exécute un logiciel espion qui récupérera ultérieurement vos identifiants…
Peut-on hacker mon blog depuis mon smartphone ?
Oui. De la même façon que présentée dans les autres réponses.
Peut-on hacker mon blog si je télécharge un fichier .txt ou .pdf ?
« Normalement » pas, car habituellement seul un programme exécutable du type .exe est dangereux. Mais notre .exe peut être caché sous une autre icône, voire une autre extension ! Et les fichiers .pdf sont un peu plus spécifiques car ils pourraient être infectés et exploiter une faille… Donc la vraie réponse c’est que dans 99% des cas : non (mais le slogan du site nous indique que ce qui est sécurisé à 99% n’est pas sécurisé, alors je partirais dessus ! :D)
Y a t-il un nom de fichier spécifique pour un programme malveillant ?
Non, le but du hacker et justement de vous faire exécuter le programme de toutes les manières possibles, le logiciel espion peut donc très bien s’appeler Avast.exe et avoir l’icône de Avast! Je vous en fais la démonstration ici : File Pumper : Télécharger un virus de 700Mo ? Et comment s’en protéger
14 Commentaires
Cliquez ici pour ajouter un commentaire
Très bon article comme toujours !
Merci Schwarzer !
Bonjour, pourquoi ne peut-on pas s’inscrire sur le forum ?
C’est la première fois que j’essais de m’inscrire, je suis le seul à utiliser l’ordi chez moi mais il y a toujours ce message qui s’affiche : « Nous ne pouvons pas continuer votre enregistrement car il y a déjà eu 2 enregistrement(s) depuis votre adresse IP dans les 24 dernières heures. Veuillez réessayer plus tard. »
Que j’utilise ma propre adresse IP, des VPNs, Tor, des Proxys, il y a toujours le même message…
Salut, c’est effectivement bizarre, je vois pourtant des utilisateurs s’inscrire tous les jours, j’ai édité les paramètres pour les rendre plus souples, réessaie encore dans quelques temps et si ça ne fonctionne toujours pas contacte-moi et on verra ça en détail ! 😉
Ca na pas de rapport avec cette article, mais j’aimerais apprendre les langages, part la j’entends : HTML5, CSS, C++, Java et j’en passe, le problème c’est que je trouve des articles qui sont a la longue découragent, je me pose la question, comment avez vous apprit a « HACKER » je veut dire a apprendre ces langages, sur internet ?
Éclairé ma lanterne :'(
Salut, j’ai ressenti la même chose, notamment sur un site très connu pour les « zéros » 🙂
En fait, tout dépend de ta volonté, si tu as la ferme envie d’apprendre, tu réussiras. On peut très bien apprendre « sur le tas » et donc en autodidacte. Tout ce que j’ai appris avant d’entrer en école d’informatique je ne l’ai jamais vu par la suite. Tout ce qui m’a vraiment servi, tout ce que j’enseigne à présent je l’ai appris moi-même ici et là. Ce n’est pas le diplôme qui prouve les connaissances, prends exemple sur les plus grands noms dans le domaine de l’informatique comme Zuckerberg ou Bill Gates. Je peux proposer des tutoriels de programmation sur ce que je sais, mais je suis pour le moment pris par le temps !
Enfin, ce que je peux vraiment te conseiller c’est d’aller à l’encontre des idées reçues et d’apprendre par l’expérience. Apprendre en te disant « maintenant je vais créer un site/programmer un logiciel de … » et tu demandes à Google à chaque fois que tu rencontres un obstacle. Au fur et à mesure que tu réussis, tes connaissances seront largement boostées et tu apprendras plus rapidement.
Merci pour ta réponse, je vais me lancer, j’ai décider pour commencer d’apprendre le HTML5, qui va je croit bien m’occuper dans les jours qui viennent et encore merci, mais j’ai toujours une question qui me travail, qu’elle langage faut-il apprendre en premier ? J’ai citer HTML5 car il me semble la base mais je préfère demander au expert 🙂
Merci =)
C’est une bonne question, certains te conseillent effectivement de commencer par les langages HTML et C qu’ils trouvent basiques. Moi j’ai commencé par le VB.NET, je n’ai jamais vraiment appris le HTML car au final je n’en trouve pas l’utilité, tout est déjà sur Google, ou il te suffit simplement de te baser sur un site existant ou encore utiliser ces programmes de conception de sites web. Tout dépend donc de ce que tu souhaites faire/apprendre au final ! Concernant la sécurité informatique, il te faut effectivement au moins connaître php/mysql (donc indirectement HTML) et un langage plus « système » comme le C/C++. Ça dépend, il n’y a pas de règles fixes.
salut! je n’arrive pas a m’inscrire! je demande donc de l’aide.
Salut, t’inscrire ou ?
Dans la faq il y a une petit erreur : oui on peux se faite hacker avec un .txt si un exe a été bind ou alors que l’extension a été spoof
Merci pour la précision, seulement binder un .exe à un .txt implique que le fichier résultant soit justement un .exe. Mais pour l’extension c’est vrai qu’il est bon de s’en méfier. 🙂
bonne soirée michel ton point de vue sûr comment protéger un blog très intéressant. pour le pdf cela c’est vrai
car en toute logique pour que cela soit dangereux le fichier doit être du type exe. sûr cela je suis bien d’accord
avec toi. mais un problème ce pose tout de même avec cela michel je souhaite avoir ton avis car pour pas mal de gens
cela peut être trompeur car un pdf peut très bien contenir une malveillance ?
je donne ici non avis bien sûr je peut ne tromper ? un pdf c’est comme un scan une image sur chaque page
un pdf c’est un document que tu ne peux pas modifier il ne contient que du texte et des images.
voici le genre de parole entendus parfois. mais saviez-vous que vous pouviez être pistés rien qu’en ouvrant un pdf ?
pire ! saviez -vous que vous risquiez de donner accès à votre ordinateur à un hacker rien qu’en ouvrant un pdf !
on pourrait croire qu’un pdf n’est constitué que d’image ou de texte jusqu’à ce qu’on tombe sur ce type de pdf.
fichier pdf avec un formulaire.
qu’est ce qu’un pdf ?
wikipedia nous donne cette définition le portable document format communément abrégé en pdf.
est un langage de description de pages crée par la société adobe systèmes et dont la spécificité est de préserver
la mise en forme d’un fichier. polices d’écritures. images. objets graphiques etc. telle qu’elle a été définie par son auteur
et cela quels que soient le logiciel. le système d’exploitation. et l’ordinateur utilisés pour l’imprimer ou le visualiser.
mais que contient réellement un pdf ? un en-tête qui indique la version de pdf. un corps de document indiquant
le contenu du fichier des variables booléennes ou numériques. des chaînes de caractères des noms des objets
ordonnés par indices ou par noms des flux de données images etc. une table de références indiquant à qu’elle position
se trouve chaque objets dans le fichier. des informations utiles objets à charger en premier etc.
comme on peut le voir rien de bien méchant . mais que sont ces objets ? ces objets sont en réalité une suite de
commandes à la manière de postscript.
Bonjour/Bonsoir
C’est très juste. Dans mes formations Cyberini on voit même un exemple de fichier .PDF malveillant permettant de prendre le contrôle d’un ordinateur à distance. J’édite l’article à ce sujet pour ajouter un avertissement. De manière générale, toutes les bonnes pratiques que l’on pourrait lire, y compris parfois ici, peuvent ou pourraient être détournées.