Un serveur peut être attaqué avec des motivations diverses et variées. Elles peuvent aller du vol de données ou d’emails clients à l’installation d’un logiciel utilisant les ressources systèmes pour attaquer d’autres machines. Quelle que soit l’utilisation d’un serveur, ce dernier doit être sécurisé.
Les techniques utilisées par les hackers ou par des robots hackers sont nombreuses et en constante évolution. La sécurité d’un serveur doit faire l’objet d’une attention continue. Cette vigilance de tous les instants est la seule à pouvoir garantir la sécurité des données stockées dans le cloud. Il est possible, heureusement, d’automatiser en grande partie cette protection.
La sécurisation d’un serveur dans le cloud débute avec des règles simples
Les premières mesures à prendre en terme de sécurité sont simples mais indispensables. Sans elles, même les stratégies les plus élaborées seront mises à mal.
La première règle concerne le choix des noms d’utilisateur et des mots de passe utilisés pour accéder aux services offerts par un serveur. Les identifiants root et admin sont notamment à proscrire. De même les mots de passe comme password ou un prénom sont également à ne pas utiliser. Ces mots sont les premiers essayés par les robots des pirates lors d’une tentative d’intrusion ! De même pour tous les mots de passe qui peuvent se trouver dans un dictionnaire des mots les plus utilisés, ouvrages dont se servent tous les pirates.
La deuxième mesure à prendre est de mettre en place une stratégie de sauvegarde des données. Si un hacker parvient à s’introduire sur un espace de stockage en ligne, il peut voler les données et ensuite les effacer. Des solutions fiables et surtout sécurisées sont proposées par les hébergeurs et des sociétés spécialisées dans les backups. Elles sont aujourd’hui peu onéreuses. D’autant plus si on rapporte ce coût à celui de la perte ou du vol de données.
La troisième mesure est aussi simple et essentielle que les précédentes. Le système d’exploitation et les logiciels utilisés doivent être mis à jour le plus régulièrement possible. Les développeurs n’apportent en effet pas seulement de nouvelles fonctionnalités dans les nouvelles versions mais aussi des corrections de bugs et surtout des failles de sécurité.
Si ces mesures remplies de bon sens ne suffisent pas à parer toutes les attaques, elles posent les premières pierres de la sécurisation d’un serveur. Ces bonnes pratiques sont d’ailleurs à appliquer à tout type de réseau informatique.
La protection d’un serveur passe par un filtrage des données entrantes
La protection du serveur doit également être envisagée du point de vue de ses échanges avec le réseau. Un serveur, et plus généralement un ordinateur, communique avec l’extérieur par l’intermédiaire de ports. L’administrateur d’un serveur est en charge d’ouvrir uniquement ceux nécessaires aux échanges d’un serveur et pas un de plus. Dans le cas d’un serveur web, l’administrateur devra par exemple ouvrir un port permettant aux visiteurs de demander la transmission de pages internet ou d’images ou un autre pour accéder aux fichiers via FTP.
La mise en place d’un pare-feu, firewall en anglais, permet d’appliquer des règles de sécurité pour les échanges du serveur avec le réseau. Un pare-feu peut par exemple interdire l’accès au serveur sur certains ports, interdire à une adresse IP d’accéder au serveur ou encore contrôler l’intégrité des données reçues ou les étrangetés de flux en volume et heures d’échanges.. Les machines utilisant Linux sont toutes dotées d’un pare-feu. Il suffit d’installer le logiciel iptables pour le configurer.
Les hackers utilisent ces ports pour essayer de s’introduire dans une machine ou la mettre hors d’usage. Pour découvrir ces portes d’entrées, ils utilisent une méthode appelée scan de ports. Sur Linux, le logiciel portsenty permet de détecter cette recherche et surtout d’y mettre fin.
Un hacker, disposant des ports ouverts, peut utiliser la technique dite brute-force pour essayer de trouver un chemin de passage. Cette méthode d’intrusion est simple : le hacker, grâce à un robot, cherche à se connecter au serveur, par exemple par SSH, en testant des milliers de combinaisons d’identifiants et de mots de passe. Ce genre d’attaque est simple à contrer. Toujours sur Linux, l’installation et la configuration de Fail2ban permet de définir des règles comme la bannissement d’une adresse IP ayant échoué à de trop nombreuses reprises à se connecter ou effectuant des requêtes définies comme interdites.
Le logiciel Fail2ban permet également de se protéger des attaques par deny of service. Ces dernières consistent à surcharger un serveur en lui envoyant des milliers de requêtes à la seconde.
Choix et sécurisation des logiciels
Ces boucliers peuvent malheureusement être très facilement mises à mal par un pirate. Les scripts et les applications hébergées par le serveur peuvent en effet offrir de belles portes d’entrée. La meilleure protection pour les sites utilisant des applications est d’effectuer les mises à jour proposées. Comme indiqué plus haut, les nouvelles versions apportent aussi bien des corrections des bugs que des failles de sécurité.
L’ajout de règles de sécurité aux applications peut être possible grâce à des extensions, ou plugins en anglais. Par exemple, les utilisateurs du populaire Worpdress peuvent sécuriser leur site avec des extensions comme Wordfence ou Sucuri Security.
De plus, l’installation d’un script ou d’une application sur un serveur ne doit jamais être effectuée sans prendre connaissance au préalable des éventuels problèmes de sécurité qu’ils pourraient engendrer.
Enfin, le développement d’une nouvelle application doit être effectuée en tenant compte de règles de sécurité web élémentaires. Elle doit par exemple empêcher les injections SQL, qui permettent d’effectuer de modifier une base de données en introduisant des caractères spéciaux dans une url et ou un formulaire. Les failles XSS sont également à prévenir lors d’un développement. Un hacker peut les utiliser pour introduire du code dans une page internet via un simple champ de commentaire. Ce code peut être une redirection vers un site tiers.
Si un pirate est parvenu à s’introduire sur un serveur, il va sans nul doute laisser des portes dérobées, appelées backdoors en anglais. Il pourra ainsi reprendre le contrôle facilement sur le serveur même si certains de ses fichiers ont été supprimés. Sur un serveur utilisant Linux, l’installation du logiciel Rkhunter permet d’obtenir des avertissements par mail lorsqu’une modification suspecte d’un fichier est effectuée. Ce fonctionnement par « comparaison » demande d’installer Rkhunter le plus rapidement possible après la mise en service d’un serveur.
Surveiller l’activité du serveur
Les règles de sécurité décrites doivent être complétées par une analyse régulière des journaux d’activité du serveur, les logs en anglais. Cette consultation peut être automatisée sur Linux avec l’utilitaire Logwatch. Ce logiciel permet entres autres de programmer l’envoi d’un mail récapitulant les logs des différents services de son serveur. Ce message peut pratiquer tous les bannissements effectués par fail2ban ou les avertissements générés par un serveur web comme Apache.
Un anti-virus
L’installation d’un anti-virus est également nécessaire pour assurer la sécurisation de son serveur. Il permet de rechercher dans les fichiers du système les traces de ligne de code connues comme étant la signature d’un virus, d’un cheval de Troie ou d’un vers. Ces logiciels sont nombreux sur le marché et leur prix peuvent aller d’une dizaine d’euros à plusieurs centaines selon les besoins. Kaspersky, McAfee ou ESET sont des exemples d’éditeurs reconnus pour la qualité de leurs programmes.
La sécurité informatique d’un espace sur le web peut aujourd’hui être facilement contrôlée par des solutions externes. Des scans sont lancés sur le serveur et vérifie qu’aucune intrusion est possible. Il est ainsi possible de déterminer quelles sont les failles, et surtout de les corriger rapidement.
Si la menace en ligne paraît toujours très éloignée de son serveur, malheureusement du fait de l’utilisation de robots par les hackers, elle est bien réelle et surtout constante. La sécurisation des données et donc de son activité n’est pas à prendre à la légère. Aucun commerçant ne rentre chez lui le soir en laissant sa boutique ouverte !
Retrouver toutes les solutions de serveurs virtuels d’Amen.fr !
