Transcription

• Speaker #0

  Est-ce que tu as déjà acheté un appareil électroménager qui fonctionnait mal ou à moitié ? Et si oui, est-ce que tu l'as gardé ou est-ce que tu as cherché une solution pour que ça fonctionne ? Hello, moi c'est Émilie, développeuse web chez Waititag, agence web. Après 5 années de e-commerce et 5 années dans le commerce, je suis devenue développeuse web avec pour mission de faciliter l'accès web tout en créant un outil puissant au service de tout business. Si tu cherches des conseils et des astuces sur l'intérêt web et l'entreprenariat, tu es au bon endroit. Prêt pour l'épisode du jour ? C'est parti ! Hello ! On est déjà au quatrième jour de notre capsule spéciale piratage de sites. Et aujourd'hui, je pense que c'est l'un des épisodes qui va te faire le plus peur. Non pas que ce soit le pire des épisodes, mais il va te faire peur parce qu'on va poser deux mots, deux mots qui... eux sont terrifiants pour la plupart des solopreneurs, j'ai nommé les failles techniques. Alors oui, ça peut faire peur parce que dans faille technique, il y a faille, mais il y a surtout technique. Et quand on se heurte à ce genre de problème, on se dit souvent qu'on ne va pas réussir à le résoudre parce que ce n'est pas notre métier. Ce qui peut être le cas, on peut rester bloqué, mais on peut aussi prévenir ce risque avec quelques règles simples de base, d'une bonne hygiène de site internet, non pas d'une bonne hygiène de vie, mais de site internet. C'est parti ! je t'explique tout ça. Alors déjà, d'où elle peut venir cette fameuse faille technique parce qu'elle arrive bien par quelque part. On a balayé dans les épisodes précédents le phishing, donc là, ça serait toi qui amènes un pirate directement sur ton site en lui donnant les clés en gros. Et on a vu aussi l'attaque par force brute, où là, le pirate fait du forcing pour entrer sur ton site. Cette fois-ci, c'est entre les deux. C'est-à-dire que ça peut venir de toi, mais avec l'action d'un pirate. Alors, concrètement c'est quoi ? C'est un thème que tu vas installer, une extension que tu vas installer, c'est un petit bout de code que tu vas mettre quelque part et puis que tu vas oublier. C'est typiquement ça une faille technique. C'est à un moment donné, comme une sorte de cheval de trois, tu vas faire entrer quelque chose qui finalement va se révéler pas tout à fait comme on l'aurait imaginé. Et là où la faille technique elle peut avoir un effet un peu pervers, c'est qu'il y a des règles de bon sens où tu vas dire je vais télécharger mes extensions. Par exemple, sur le répertoire directement de WordPress. C'est-à-dire que tu ne vas pas aller les chercher n'importe où. Tu vas te mettre sur ton site. Tu vas aller dans le petit onglet « Ajouter des extensions » et choisir parmi celles qu'il y a dans le répertoire. Donc, celles qui sont techniquement validées. Oui, mais il y a plusieurs choses qui peuvent arriver à ce moment-là. C'est que, ou l'extension n'a pas été mise à jour depuis plus de six mois. Et là, clairement, c'est ma limite à moi. Ce n'est pas une limite officielle. Il n'y a pas de bon timing, on va dire. Mais moi, ma limite officielle, c'est 6 mois. Il y a à peu près 2 mises à jour, 2 grosses mises à jour de WordPress, donc du cœur de WordPress par an. Donc, si on coupe l'année en deux, à peu près 6 mois. Si ton extension n'a pas suivi au moins l'une de ces 2 mises à jour, il y a peu de chances pour que ça continue à fonctionner correctement. Et en plus de ça, il y a possibilité qu'on puisse avoir une faille dedans. Et la deuxième chose, c'est l'extension qui était très bien, qui est toujours mise à jour, mais qui malheureusement, a subi des tentatives de piratage. On a eu le cas, il n'y a pas très très longtemps, avec WPBécry. Alors, c'est un constructeur de pages. C'est arrivé qu'il se fasse directement pirater. Donc, c'est mis à jour très régulièrement, je crois, toutes les deux semaines maximum. Et pour autant, il a suffi d'une fois que ce constructeur de pages se fasse pirater. Et puis, la faille était entrée dans de nombreux sites WordPress. Concrètement, comment ça se passe ? On va parler d'injection SQL. Ici, c'est très spécifique. L'injection SQL, c'est quand on va aller dans ta base de données. Il faut savoir que ton site WordPress, c'est du design, mais il y a aussi des données dedans, des textes, des images, les choses qui font que tout va être connecté et qui vont être appelées quand ton site va s'afficher. Il y a aussi ce qu'on appelle la faille XSS. Donc là, c'est quand on vient injecter un contenu vraiment malveillant sur ton site. Ce n'est pas forcément en base de données, il peut être visible. La faille XSS peut être visible. Et puis, il y a aussi ce qu'on appelle les backdoors. Alors là, pour le coup, c'est assez simple. On crée une entrée pour un pirate, c'est-à-dire qu'il ne passe pas par les entrées officielles. Il a sa propre entrée comme une petite allée VIP. Alors nous, on ne veut pas que ce pirate ait ses allées VIP. On ne veut pas non plus leur faciliter la tâche. On ne veut pas non plus qu'ils viennent dans nos bases de données. Et donc, qu'est-ce qu'on fait pour éviter ça ? Eh bien, on met à jour ses plugins au minimum une fois. par semaine, on fait un petit tour, on regarde si ça fonctionne. Et entre chaque plugin, on regarde si le site continue à fonctionner. On ne met pas tout à jour d'un coup. On prend une extension par une extension. On vérifie que ça roule. On regarde quand est-ce qu'elle a été mise à jour pour la dernière fois aussi. Comme je l'ai dit au début, si une extension n'a pas été mise à jour depuis plus de six mois, on la retire, on lui cherche un remplaçant. Et éventuellement, des fois, on se rend compte que finalement, Une autre extension qu'on a déjà et qu'on utilise déjà pour autre chose peut aussi faire l'affaire et faire office de remplaçant. Donc, ça évite d'avoir 50 extensions différentes. On regarde aussi du côté du nombre de plugins. Donc, toujours dans cette idée de limiter la quantité de plugins. Moins tu as d'extensions, moins tu as de chances de te faire pirater. C'est un principe, mais c'est comme ça que ça fonctionne. Et puis, surtout, on vérifie que ce soit les avis, les actualités, etc. avant. de faire une installation d'une extension. De mon côté, quand j'ai une extension qui est très connue, dont de nombreux utilisateurs ont l'utilité, j'essaye de partager l'info pour que ce soit relayé, même si ce n'est pas forcément des extensions que moi, j'utilise. Par exemple, pour WP Becquery, ce n'est pas une extension que j'utilise, mais quand c'est arrivé, je l'ai relayé sur mes réseaux sociaux. Donc, à toi aussi de faire une petite veille. Alors, ce n'est pas toujours évident, parce que dit comme ça, ça paraît facile quand c'est ton métier, mais ce n'est pas toujours évident. Pour moi déjà, le plus important, c'est de commencer par vérifier les dernières mises à jour. Un plugin qui n'est pas mis à jour depuis plus de six mois, qui ne suit pas les dernières nouveautés, on le retire et on ne le garde pas. Concrètement, si tu dois retenir quelque chose de cet épisode, c'est limite ta quantité d'extensions, vérifie qu'elles soient mises à jour régulièrement et essaye quand même de garder un œil sur les extensions que tu utilises le plus régulièrement, même celles qui sont les plus connues. Au final, la faille technique, ça revient simplement à brancher un appareil chez toi sans vérifier que tout soit adapté, que le voltage soit adapté, que l'appareil soit conforme aux normes européennes, etc. Tu l'as bien compris, la faille technique, finalement, c'est pas si grave que ça si tu fais attention à quelques règles bien simples dès le départ. Et puis, on se retrouve demain pour le dernier épisode capsule. On va parler de la faille la plus fréquente et celle qu'on sous-estime souvent, voire même toujours, j'ai nommé toi. Oui, oui, toi qui écoutes cet épisode, tu es une faille pour ton site. Alors, dit comme ça, ça fait peur. Mais tu verras qu'au final, il y a des choses à mettre en place pour que ça n'arrive pas. Je te souhaite une très belle soirée, une très belle nuit. Et je te dis à demain.