Le knol sera inaccessible pendant la maintenance programmée débutant à Mon, 09 Nov 2009 18:30:00 GMT La maintenance devrait être terminée à Mon, 09 Nov 2009 20:00:00 GMT.
Version : Baidi441

Sécurité PC et Internet/sécurité-sites-internet

Apprentissage à la sécurité (domestique) PC et Internet

Publier un site Internet (webpage/homepage) nécessite une grande responsabilité de nos jours. Si le site Internet n'est pas assez protégé, vous infectez des milliers d'autres visiteurs de votre site Internet !

Il faut apprendre à déjouer les pièges dès le début... Veuillez suivre les bonnes pistes ci-dessous.


Infographies : de Patrick Lahaye (Merci Pat pour ce service gratuit et d'entraide).

Internet Monitor / Sécurité - Cybercriminalité / Sécurité - Protections et conseils / Sécurité - Les pièges à éviter absolument / Sécurité PC et Internet / Sécurité sites Internet / Éducation des enfants à la sécurité / Sécurité - Idées et projets / Sécurité - Entretien / Sécurité - Entretien / Défragmentation Sécurité - magazines Portail de la sécurité informatique / Knol infos
Les enseignants et formateurs, par culture et tradition, produisent bénévolement des outils gratuits et mutualistes.
Message important : À droite sont marqués les sites de "Contenu similaire sur le Web", c'est mon contenu, il n'y a pas de plagiat !
Bonjour, bonsoir,

Si vous vouliez regarder plus souvent mon KNOL, mais vous ne disposez pas tout le temps d'une connexion Internet, pas de problème... Pour les utilisateurs de Firefox, téléchargez l'extension Firefox "ScrapBook". Une autre possibilité, qui travaille avec tous les navigateurs, est l'utilisation d'un aspirateur de sites Internet, tel que "HTTrack". Cette extension copie des pages Internet complètes et, de cette façon, il vous est possible de la visionner sans connexion Internet.

Afin de vous retrouver lors de votre prochaine visite, je vous conseille de vous abonner au service gratuit de "WatchThatPage" et vous serez notifié quotidiennement des changements dans mon KNOL. Vous trouverez ici mon didacticiel qui vous guidera à travers la procédure à suivre :


Ce Knol fait partie de mon Knol principal "Sécurité PC et Internet / Apprentissage à la sécurité (domestique) PC et Internet". Avec le temps, le Knol principal a tellement évolué qu'il est devenu "trop grand" et il est devenu indispensable de le sectionner. Actuellement il est partagé en différentes sections :


Comme l'adresse URL de ce KNOL est très longue, j'ai créé une "tiny URL", dont voici le lien qui est beaucoup plus court http://tinyurl.com / secupc-sites-internet et mieux à retenir.

Internet Monitor (Luxembourg/Europe)

↑ Grab this Headline Animator




Internet, cet outil formidable qui fait fonction de la plus grande bibliothèque mondiale et qui est aussi devenu un monde virtuel, dont son contenu est rédigé par les internautes, commence à devenir une zone incontrôlable, une zone de méfiance, mais surtout un paradis pour les cybercriminels et un cauchemar pour les internautes...
Sachez que le sécurité commence d'abord dans notre tête ! Croire qu'un système d'exploitation (n'importe lequel) est invulnérable est la plus grande bêtise que l'on peut penser et avec cette mentalité il est sûr et certain que votre ordinateur sera infecté un de ces jours !

Il y a 5 ans, 90 % des attaques portaient sur les systèmes d’exploitation (Windows) et 10 % sur les applications. Aujourd’hui, c’est exactement le contraire ! »

Le crime sur Internet rapporte plus que le trafic de drogue, sur Internet, c'est toutes les trois secondes qu'une identité est volée ! Source : LEMATIN (CH) [ajouté au 04.10.2009]

Je suis déjà un utilisateur averti et j'ai créé (ou je veux créer) un site Internet, à quoi dois-je faire attention ?




Pour créer un site Internet il y a différentes possibilités :




Attention : Geocities va fermer ses portes fin 2009, le message définitif viendra en été !!!
 (ajouté au 24.04.2009)

Ajoute au 10.07.2009 : ---> Yahoo Geocities fermera ses portes le :

Important notice: GeoCities is closing.

Dear Yahoo! GeoCities customer,

We're writing to let you know that Yahoo! GeoCities, our free web site building service and community, is closing on October 26, 2009.

  • ou bien, avec un peu de connaissances de programmation (ou même sans connaissances de programmation) il y a des solutions préfabriquées, appelées des CMS (Content Management Systems) qui utilisent la plupart du temps du PHP, que l'on installe sur son ordinateur ou qui peuvent être intégrées dans une offre d'hébergement (hosting) et de ce fait être installées sur le serveur de l'hébergeur, tels que (les plus connus), liste non exhaustive :

Une liste plus détaillée ici : TOTH

Or, quand on utilise ces CMS et LMS (LCMS [Learning Content Management Systems]) il faut être conscient qu'il peut y avoir des failles de sécurité (vulnérabilités) qui seront découvertes et publiées.
Dès publication de ces vulnérabilités il faut être sur le qui-vive, attendre la publication d'une mise à jour sur le site des développeurs pour l'installer tout de suite après. 
Autrement vous risquez que votre site Internet soit infecté et qu'il devient la proie de la mafia informatique. Votre site Internet servira à infecter les ordinateurs de vos visiteurs...

Liens connexes :


Vulnérabilités et risques de Joomla, TYPO3, Drupal et autres services Open Source :


Veuillez visionner la présentation Powerpoint qui vous explique en détail les enjeux...

Sécurité PC et Internet 27.02.2009ppt2003

Existe-t-il des outils spéciaux pour contrôler la sécurité  des sites Internet ?                                



À la mode est actuellement le cross-site scripting (XSS) , l’injection de code (code injection) et les applets signés. Nous avions décrit en détail le fonctionnement et la tendance (trend) de ces attaques dans nos articles précédents : 






Rappelons toutes fois que pour ne pas devenir victime d’une telle attaque, qu’en dehors de la nécessité d’installer un antivirus, d’un firewall (pare-feu), d’un antispyware et d’un antitroyen, il faut impérativement aussi télécharger et installer les mises à jour (updates, patches, correctifs) du système d’exploitation utilisé (Windows, Mac, Linux, et autres…) et surtout veiller à mettre à jour les logiciels dits «utilitaires indispensables», tels que «Java, Adobe Acrobat Reader, Adobe Flash, Firefox, Internet Explorer, Opera, Open Office, VLC Media Player, Media Player, Real Player, etc.».

Veuillez télécharger mon didacticiel, qui vous guidera à travers l’utilisation du service gratuit en ligne Secunia Software Inspector , à l’adresse Scan gratuit de logiciels installés 

Veuillez aussi visiter mon knol Sécurité PC et Internet / mises à jour

Mes articles précédents s’occupaient seulement de l’internaute, mais qu’en est-il pour le webmaster (webmestre), celui qui s’occupe de la conception, création et gestion d’un site Internet ? 

Pour la création de sites Internet on utilise de plus en plus le PHP [1] et des CMS (Content Management Systems) [2], basant sur le PHP et/ou basant sur du Java et Python. Les plus connus sont certainement Joomla  (anciennement Mambo), Typo3 , et pour la création de forums le phpBB 

Or dans toutes ces applications des vulnérabilités ont été découvertes et on en trouvera certainement aussi dans le futur.
 Ces vulnérabilités doivent être colmatées au plus vite afin de ne pas permettre à la mafia informatique (les cybercriminels) d’avoir accès au serveur où le site Internet est hébergé et ainsi de préparer le site Internet avec du code malicieux pour infecter les visiteurs.

Les outils gratuits en ligne                                                                                                                         


Symantec, éditeur de produits de sécurité connus sous le nom de Norton..., vient de créer un nouveau service en ligne, le Norton Safe Web. Testez l'intégrité et la sécurité d'un site Internet gratuitement en ligne.


Les serveurs de Symantec analysent les sites Web pour vérifier leur effet sur votre ordinateur. Ensuite, à l'aide de la barre d'outils Norton installée sur votre PC, le degré de sécurité du site Internet sera indiqué avant que vous ne le visitiez.

Ce service est aussi gratuitement disponible comme test en ligne ici : Norton Safe Web 

Un exemple concret ci-dessous



Les outils de protection pour l'internaute                                                                                 
(ajouté au 25.04.2009




Étant au courant maintenant des dangers réels, vous vous demandez certainement "Comment puis-je savoir si un site Internet est frauduleux ?" et/ou "comment puis-je me protéger ?".

Bonne question, voici la réponse.


Il existe des extensions pour les navigateurs, des "barres d'outils" (toolbars), appelées des "add on", des modules complémentaires tels que (liste non exhaustive) :


Ma barre d'outils (Internet Monitor ) vous offre les services suivants gratuits, voir la capture d'écran ci-dessous svp.

Cliquez sur l'image pour l'agrandir

Les didacticiels (tutoriaux / tutorials) disponibles pour les applications ci-dessus :



Vidéo de WOT en anglais, mais très facile à comprendre



Exemples pratiques :                                                                                                                 



Navigation avec Mozilla Firefox et la "NetCraft Toolbar" :

Ci-dessus une capture d'écran (screenshot) qui a été faite lors d'une navigation sur Internet et qui montre que le site Internet visité représente un danger élevé. "Risk Rating" (en haut à gauche) au maximum et en rouge. 


Pour toujours être informé des vulnérabilités, je vous conseille de visiter les sites Internet Security Focus et Securityspace et de vous abonner à leur flux d’information RSS


Voir aussi l’article 5.000 sites Internet infectés par jour 

Le webmaster (webmestre) doit donc toujours être au courant des vulnérabilités présentes et précédentes et ainsi tenir à jour impérativement le code source de ces applications. Le webmaster a donc une très grande responsabilité pour garder sécurisé un site Internet, chose pas facile du tout. 

Mais comment savoir maintenant, même ayant travaillé sérieusement (des non-sérieux existent aussi) si un site Internet est bien sécurisé pour ne pas permettre à la mafia informatique de le détourner (hijacking) pour des actions illégales ? 


Heureusement il existe une multitude d’outils, même gratuits qui permettent de faire des tests approfondis, appelés aussi "Web site assessment", du serveur et des applications y présentes, dont voici une sélection non exhaustive, ainsi que des sites Internet réputés traitant la sécurité spécifique de ses attaques: 










Avec cette sélection d’outils de contrôle vous disposez maintenant d’un arsenal puissant pour pouvoir vérifier la sécurité de vos applications. 

Mais n’oubliez pas non plus la sécurité de l’ordinateur avec lequel vous entretenez la gestion de votre site Internet. Si celui-ci n’est pas assez sécurisé il se pourrait qu’il soit infecté et que les pirates informatiques aient accès à votre code d’accès du serveur. À ce moment là ce sera le contrôle total pour les cybercriminels !

              
Veuillez lire aussi les articles suivants :

Je tiens à préciser que ces outils sont seulement à utiliser pour le test des propres sites. Toute tentative de les utiliser sur d'autres sites est une effraction aux lois et sera puni ! 

Shields up!

Oui, bien évidemment quand il y a moyen de faire du commerce des solutions sont proposées par des firmes spécialisées en applications de sécurité, mais il existe aussi des outils gratuits sortants de la forge de l'Open Source :



Remarque : OWASP existe aussi pour Mac et Linux OWASP Pantera Web Assessment Studio Project 
Extrait du magazine de sécurité GOBAL SECURITY MAG :

Scanners de vulnérabilité : une nécessité, mais le test d’intrusion humain est irremplaçable.

De nombreuses vulnérabilités sont identifiées chaque jour dans des applications courantes. Les outils permettant une détection – et une éradication - de ces vulnérabilités au sein du Système d’Information sont devenus une nécessité pour les entreprises soucieuses de leur sécurité. 

Toutefois, rien ne peut remplacer un test d’intrusion réalisé par des experts. 

Nécessaire : Veuillez lire l'article complet ici GLOBAL SECURITY MAG 

Fin extrait.
Liens connexes :


Récapitulatif                                                                                                  


Les "webmasters "[10] des sites Internet ont une grande responsabilité pour maintenir leurs sites Internet à jour. Surtout ceux qui utilisent des sites Internet employant du PHP et des bases de données avec PHP MySQL. Assez souvent, malheureusement, des vulnérabilités sont détectées qui permettent aux cybercriminels d'exploiter ces vulnérabiltés et d'injecter du code malicieux dans ces sites Internet (code injection et/ou cross-site scripting [XSS] )[11]. Ce code malicieux est conçu sur la connaissance des dernières vulnérabilités détectées dans les applications tierces, c'est à dire : si une vulnérabilité est détectée par exemple dans Adobe Acrobat Reader , les cybercriminels [12]créeront un code malicieux qui vise à infecter tout utilisateur n'ayant pas mis à jour son ordinateur, qui ne dispose pas de la dernière version de cet utilitaire.

D'abord ils rechercheront les sites Internet qui ne disposent pas des dernières mises à jour et puis ils injecteront le code malicieux préparé. 

Un site Internet qui est compromis, infecte alors tout visiteur dont l'ordinateur ne dispose pas des dernières mises à jour. Il suffit tout simplement de visiter le site Internet, aucune interaction de l'internaute est nécessaire. On appelle ceci du "drive by download "[13].






Références

  1. PHP
  2. CMS

Commentaires

Les commentaires sont modérés et ne seront visibles qu'une fois qu'ils auront été approuvés par l'un des auteurs de ce knol.

Gust MEES
Gust MEES
Formateur andragogique/pédagogique TIC (ICT Course Instructor)
Luxembourg
Avis sur l'article :
Votre avis :

Activité pour ce knol

Cette semaine :

47consultations de page

Totaux :

1984consultations de page
©2009 Google