Auteur Sujet: Plusieurs milliers de sites Internet de communes mal sécurisés  (Lu 4800 fois)

0 Membres et 1 Invité sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 32 500
    • Twitter LaFibre.info
Plusieurs milliers de sites Internet de communes mal sécurisés

Julien Kirch a mené une étude complète sur les 14220 communes de France en identifiant leur site web et le degrés de sécurité.
La Gazette des communes a dressé une carte indiquant le degré de sécurité de plus de 14000 sites de communes. Bilan : environ 6500 ne sont pas à jour.
=> http://www.lagazettedescommunes.com/337105/plusieurs-milliers-de-site-de-collectivites-mal-securises/


Peu après les attentats de janvier, de nombreux sites de collectivités ont été piratés – défacés dans ces cas – par des anonymes soutenant les terroristes. Nul besoin d’avoir un bac + 12 en sécurité informatique pour faire tomber un site tant ils sont nombreux à être insuffisamment sécurisés.
Dans le cas de notre enquête, nous recensons environ 6500 communes françaises disposant d’un site qui est non seulement vulnérable, mais qui expose cette vulnérabilité aux personnes en quête de proies faciles.

Pour les identifier, « il suffit » en effet d’analyser le code source ou les en-têtes de la page d’accueil pour lire les versions du serveur, de l’application et du langage utilisées. Ces informations permettent de déterminer si un site est vulnérable à des failles de sécurité, ou du moins de donner des indications sur la manière de l’attaquer en vérifiant si les versions des logiciels utilisés ont fait l’objet d’alertes de la part des éditeurs ou de la communauté des développeurs.

Les risques varient en fonction de la faille, de l’habileté du pirate, de ses moyens et de son but : défaçage, intrusion dans le système pour y glisser des malwares qui contaminent ensuite les personnes qui se connectent, ou pour voler et/ou détruire des données…

Ce constat est inquiétant, alors que l’e-administration est un axe important de la modernisation de l’action publique et répond à une demande effective des citoyens. Or  la confiance est nécessaire au bon déploiement de l’e-administration.



« Niveau de sécurité incertain » signifie que La Gazette des communes n’a pas pu déterminer de façon sûre si le site est sécurisé ou pas.
La carte interactive est disponible sur La Gazette des communes


Le co-marquage service-public.fr comme base d’enquête

Notre enquête se base sur les données du co-marquage de service-public.fr, un service proposé par l’État permettant aux administrations centrales de diffuser des informations locales, soit quelque 15 000 sites référencés.

Nos conclusions s’appuient donc sur les élèments visibles et déclarés sur chaque site, considérant que la version annoncée et/ou détectée est la version effectivement en place. Le bon réflexe en terme de sécurité sur internet est plutôt de cacher les versions utilisées que de mentir. Vous trouverez sur Github, ici et , notre algorithme pour déterminer le niveau de sécurité. Vous y trouverez en détail la liste des outils encore supportés et donc sécurisés, ceux qui ne le sont plus et ceux où nous n’avons pas pu déterminer.


Guides des bonnes pratiques

Si votre site n’est pas sécurisé ou si vous ne le savez pas, pas de panique : l’Anssi, l’agence gouvernementale chargée de la sécurité des systèmes d’information, propose des documents accessibles pour appréhender cette matière ardue et, dans le cas d’un marché public visant à la construction d’un site internet, d’y faire figurer les conditions de sécurité ad hoc : le guide d’hygiène informatique et la note sur la sécurisation des sites web : (cliquez sur les miniatures ci-dessous - les documents sont au format PDF)


Suite aux cyberattaques de janvier 2015, l’Anssi a aussi produit une fiche d’information pour les webmasters et une fiche de bonnes pratiques, deux documents courts pour rappeler des fondamentaux, pas forcèment coûteux. Enfin, elle vient de sortir une note sur les attaques DDOS, celles qui consistent à saturer un site de requêtes pour le faire tomber. Vous pouvez aussi vous adresser à ses observatoires régionaux, les OzSSI ou aux Clubs de la sécurité de l’information régionaux (Clusir). (cliquez sur les miniatures ci-dessous - les documents sont au format PDF)


 
Pour vivre heureux, vivons masqués

Même si des mesures techniques comme des pare-feu permettent de se protéger, masquer les données renseignant les versions logicielles et applicatives est la base d’une installation sécurisée. Pourtant, beaucoup de sites parmi ceux analysés ne respectent pas cette règle de bonne hygiène, qui ne coûte rien. Elle ne dispense en aucun cas d’avoir des outils à jour. La sécurité doit concerner toutes les briques logicielles qui composent un site, serveurs, langage de programmation et applications. Si deux briques sont très sécurisées mais que la troisième présente une faille, votre site n’est pas sécurisé. De même, la sécurité d’un site est un processus continu qui repose sur des mises à jour, un site n’est jamais sécurisé une fois pour toute, il l’est à un instant T, en attendant qu’une faille de sécurité soit découverte.


Répartition selon le degré de sécurité




Type de serveurs




La version du serveur, une information souvent non visible

Dans le détail, côté serveurs, les sites de communes se montrent plus discrets (et donc plus sécurisés sur ce point) : la plupart d’entre eux n’exposent pas leur version dans la configuration par défaut, ce qui explique que plus des deux tiers des sites ne l’affiche pas. On connaît en revanche la technologie utilisée. Ce qui permet de relever que 2% des sites utilisent des versions de serveurs qui ne sont plus supportées.

Les trois quart des sites utilisent un serveur web Apache, une proportion plus important que pour la moyenne du web, mais qui correspond au positionnement des sites de mairies qui ont en majorité peu de trafic, alors que Nginx est plutôt utilisé pour des sites à gros trafic.


La date est celle de la fin du support.


Le langage de programmation, faille majeure

Seul un tiers des sites masque le langage de programmation utilisé. Parmi ceux qui le dévoilent, une majorité utilise le langage PHP, et la moitié indique aussi sa version. Parmi ces derniers, seuls 20% utilisent une version à jour. Or, plus une version est ancienne, plus elle présente des vulnérabilités.

Et la taille des villes ne change rien à l’affaire : une grande ville peut présenter les mêmes failles qu’une petite commune sans moyens, et des versions de langages anciennes. Nous avons dénombré 38 communes de plus de 50 000 hab. dont le site est mal sécurisé, sur 145, soit un bon quart. A contrario, Wisembach (406 hab.), Latillé (1480 hab.), Brié-et-Angonnes (2416 hab.), etc. ont des sites à jour, et mieux encore, bien d’autres masquent les informations, le bon réflexe en sécurité : Condé-sur-Marne (716 hab.), Falleron (1511 hab.), Charleval (2481 hab.), etc.

Toutefois, plus une ville est grosse, plus son site a des chances de présenter un bon niveau de sécurité (informations masquées ou site à jour), comme l’indique le graphique ci-dessous.




https aux abonnés absents

A l’origine, le protocole https, qui chiffre les données qui transitent entre une site et l’ordinateur de l’internaute, était essentiellement utilisé par les sites d’e-commerce. Mais son utilisation s’est peu à peu généralisée en même temps que le public commençait à s’intéresser à ces questions. Depuis 2014, Google privilégie même les sites utilisant https dans ses résultats de recherches. De ce point de vue, les sites des villes ont bien du retard : sur les plus de 14000 sites de notre base, seulement 53 proposent une version sécurisée, et pour 16 d’entre eux ils s’agit de sites hébergés sur des plate-formes comme WordPress ou Google qui fournissent d’office cette fonctionnalité. Toutefois, il semble que la partie « espace personnel », là où les internautes laissent des données personnelles, utilisent https.


Autres enseignements

Les données récupérées à l’occasion de cette enquête permettent par ailleurs d’établir que, sur notre échantillon de 15 000 sites, l’immense majorité des communes françaises de plus de 5000 habitants ont un site. Les exceptions concernent surtout l’outre-mer : Parmi les communes qui n’ont pas de site, certaines se sont rabattues sur une page Facebook, par exemple Baillif en Guadeloupe. L’office du tourisme en revanche peut avoir un site correctement fourni. On peut aussi relever certaines communes qui, en l’absence de site propre, renvoient directement sur leur intercommunalité. A noter aussi que M’Tsangamouji, à Mayotte, a un site dont l’accès… est soumis à mot de passe : une sécurité parfaite, mais pas forcèment un exemple à suivre.


vivien

  • Administrateur
  • *
  • Messages: 32 500
    • Twitter LaFibre.info
Plusieurs milliers de sites Internet de communes mal sécurisés
« Réponse #1 le: 27 mars 2015 à 09:27:36 »
Comment avons-nous déterminé si une version de PHP est à jour ?

De nombreux sites présentent un “niveau de sécurité incertain”, ce qui signifie que nous n’avons pas pu déterminer de façon certaine si le site est sécurisé ou pas. Cela provient de la manière dont les logiciels sont développés et installés. Nous allons prendre l’exemple de PHP, le langage majoritairement utilisé. Il existe deux moyens d’avoir une version de PHP à jour :

- Utiliser une des dernières versions de PHP sorties, elle sont à jour de toutes les failles de sécurité. Si une faille est détectée, l’éditeur sort une nouvelle version et il faut la mettre à jour.

- Utiliser une version de PHP packagée dans un système d’exploitation supporté par un éditeur ou une communauté de développeurs. Dans ce cas la version de PHP est choisie lors de la sortie du système d’exploitation, et l’équipe en charge de la sécurité dans l’entreprise ou la collectivité, ou la communauté qui s’occupe du système d’exploitation récupère les correctifs de sécurité disponibles dans les nouvelles versions de php et les intègre dans sa propre version. Le numéro de version peut alors ne pas être modifié au sein du système d’exploitation packagée, ce qui n’empêche pas de disposer d’une version à jour.

Malheureusement pour nos analyses, il n’est pas possible, à partir des informations récoltées, de déterminer dans quel cas on se trouve. Le degré de sécurité du site au niveau du langage de programmation est donc incertain. En effet, lorsqu’un site utilise une version de php distribuée dans un système d’exploitation, trois cas sont possibles :

- la version distribuée dans un système d’exploitation et le système ont été mis à jour : la version de PHP est sécurisée.

- la version distribuée dans un système d’exploitation et le système n’ont pas été mis à jour : la version de PHP n’est pas sécurisée.

- une version installée manuellement dans un système d’exploitation différent de son système d’origine : elle n’a donc pas bénéficié des patches de sécurité.

Exemples :
- Version 5.4.37 : une des dernières version de php sorties et qui ne contient pas de faille de sécurité identifiée. Elle est donc à jour.
- Version 4.1.2 : une version très ancienne de php, aucun système d’exploitation supporté actuellement ne l’utilise.
- Version 5.4.20 : une version qui est utilisée par au moins un système d’exploitation supporté actuellement (OpenSuse 13.1) : on est dans un des trois cas décrit ci-dessus, il est donc impossible de savoir si elle est sécurisée.

Ce même procédé est appliqué pour toutes les briques logicielles pour laquelle nous disposons d’informations suffisantes.

Les failles de sécurité ont été catégorisées manuellement pour ne retenir que celles qui sont pertinentes pour le site d’une commune. Ainsi une version d’un logiciel comportant une faille sur une fonctionnalité qui n’est pas utilisée sur ce type de site est tout de même considérée comme sécurisée. La mise à jour d’un site pouvant être compliquée, les administrateurs font parfois le même genre d’évaluation pour savoir si elle est nécessaire ou si on peut s’en passer.


Source : La Gazette des communes, le 25 mars 2015, Par Julien Kirch, Sabien Blanc
Projet réalisé sur une idée de Julien Kirch, qui a scrappé les données et formalisé l’analyse technique.



Communes de plus de 50 000 hab. dont le site n'est pas sécurisé

CommunePopulation
Le Havre 175497
Angers 147571
Villeurbanne 145150
Saint-Denis 145022
Brest 141303
Limoges 139150
Roubaix 94713
Fort-de-France 87216
Marseille 15 et 16ème arr. 80808
Saint-Pierre 79228
Aubervilliers 76087
Saint-Maur-des-Fossés 74816
Antibes 74120
Le Tampon 73365
Béziers 70955
Drancy 66410
Villeneuve-d'Ascq 63572
Noisy-le-Grand 62964
La Seyne-sur-Mer 62082
Antony 61793
Neuilly-sur-Seine 61754
Marseille 13 et 14ème arr. 60949
Marseille 11 et 12ème arr. 60528
Cergy 56988
Villejuif 55490
Hyères 54600
Épinay-sur-Seine 54518
Pantin 54136
Cholet 54098
Saint-André 53955
Bondy 53530
Saint-Louis 52038
Fréjus 51839
Le Blanc-Mesnil 51438
Narbonne 51039
Laval 50940
Meaux 50755
Annecy 50379


Villes de plus de 5000 hab. sans site

VilleDépartementPopulation
Matoury Guyane 28110
Saint-Joseph Martinique 16717
Dzaoudzi Mayotte 14311
Rivière-Pilote Martinique 13221
Rivière-Salée Martinique 12767
Somain Nord 12506
Basse-Terre Guadeloupe 11915
Dembéni Mayotte 10923
Tsingoni Mayotte 10454
Sada Mayotte 10195
Saint-Esprit Martinique 9335
Le Vauclin Martinique 9229
Le Marin Martinique 8690
Maripasoula Guyane 8473
Pibrac Haute-Garonne 8091
Goyave Guadeloupe 8065
Chirongui Mayotte 8047
Petit-Canal Guadeloupe 8038
Bandrélé Mayotte 7885
Mtsamboro Mayotte 7805
Vieux-Habitants Guadeloupe 7703
Divion Pas-de-Calais 7129
Apatou Guyane 6704
Bouéni Mayotte 6402
M'Tsangamouji Mayotte 6314
Bethoncourt Doubs 5971
Marles-les-Mines Pas-de-Calais 5744
Grand-Bourg Guadeloupe 5530
Grand-Fort-Philippe Nord 5434
Roquemaure Gard 5424
Saint-Marcel-lès-Valence Drôme 5293
Baillif Guadeloupe 5214
Le Morne-Rouge Martinique 5083
Grand-Santi Guyane 5065
Mourmelon-le-Grand Marne 5048


Les détails de l'étude de Julien Kirch, disponibles sous licence Open Database

L'Open Database License (ODbL) est un contrat licence1 de base de données favorisant la libre circulation des données2. Elles est issue du projet opendatacommons.org de l'Open Knowledge Foundation.
=> Résumé de la licence ODbL 1.0 en français

Cliquez sur le tableau ci-dessous pour télécharger la base de donnée (format .csv, lisible sous Libre Office Calc ou Microsoft Excel)

tontonrobert

  • Client Bbox adsl
  • *
  • Messages: 189
  • VDSL2 - Bbox
Plusieurs milliers de sites Internet de communes mal sécurisés
« Réponse #2 le: 27 mars 2015 à 09:46:50 »
Citer
Même si des mesures techniques comme des pare-feu permettent de se protéger
Débile, franchement, cela n'a aucun sens.


Damien

  • AS24904 mémoire vive de K-Net depuis 2010 / dev SI
  • Expert
  • *
  • Messages: 1 831
    • K-Net.fr
Plusieurs milliers de sites Internet de communes mal sécurisés
« Réponse #3 le: 27 mars 2015 à 09:47:23 »
Je savais que tu allais kiffer cet article Vivien !

cali

  • Officiel Ukrainian Resilient Data Network
  • Fédération FDN
  • *
  • Messages: 2 082
    • Ukrainian Resilient Data Network
Plusieurs milliers de sites Internet de communes mal sécurisés
« Réponse #4 le: 27 mars 2015 à 10:26:35 »
Débile, franchement, cela n'a aucun sens.

Bah si, ils mettent le pare-feu pour n'exposer que ce qui est vulnérable ;)

Marin

  • Client Bbox vdsl
  • Modérateur
  • *
  • Messages: 2 779
  • 73
Plusieurs milliers de sites Internet de communes mal sécurisés
« Réponse #5 le: 27 mars 2015 à 10:51:30 »
Tout d'abord, n'oublions pas de rappeler que le niveau d'impact d'un deface de la mairie de Trifouilly-sur-Seine est généralement compris entre nul, et faisant éventuellement objet d'une mention de l'attaquant sur Zataz voire de 5 lignes dans la gazette locale ; particulièrement quand il est hébergé sur un mutualisé OVH avec uniquement du contenu statique.

Le bon réflexe en terme de sécurité sur internet est plutôt de cacher les versions

Un premier signe que l'auteur du papier ne semble pas avoir énormèment entendu parler du fingerprinting sur les versions, ni de son utilisation dans le monde réel.

Vous trouverez sur Github, ici et , notre algorithme pour déterminer le niveau de sécurité.

Ce bout de code paraît surtout bien naïf. Il doit sortir un bon nombre d'énormités vu la manière dont sont catégorisées les instances logicielles, et ne prend même pas en compte les sous-versions dans certains cas.

Même si des mesures techniques comme des pare-feu permettent de se protéger

Super efficace contre les CVE...!??!?

Le langage de programmation, faille majeure

À ce point-là, tu te dis que tu en as déjà beaucoup trop lu.

De nombreux sites présentent un “niveau de sécurité incertain”, ce qui signifie que nous n’avons pas pu déterminer de façon certaine si le site est sécurisé ou pas. Cela provient de la manière dont les logiciels sont développés et installés. Nous allons prendre l’exemple de PHP, le langage majoritairement utilisé.

Un coup d'œil sur le code source, la présence de PHP 5.6.4 catégorise donc unilatéralement le site comme vulnérable ? On dirait qu'on prend en compte des choses du niveau de menace du DoS local.

Communes de plus de 50 000 hab. dont le site n'est pas sécurisé

Établir une binarité sécurisé/pas sécurisé, surtout sur cette base, ne me paraît pas vraiment pertinent.
« Modifié: 04 avril 2015 à 09:32:58 par Marin »

corrector

  • Invité
Plusieurs milliers de sites Internet de communes mal sécurisés
« Réponse #6 le: 27 mars 2015 à 18:09:47 »
C'est pas faute d'expliquer que "pare feu" ne veut rien dire et qu'il ne faut pas utiliser ce terme.

On dit "filtre de paquets", "filtre applicatif", "reverse proxy filtrant", etc.

En même temps, quand on ne sait pas de quoi on parle, "pare feu" c'est bien aussi...

Thibault

  • AS57199 MilkyWan + Client K-Net
  • Modérateur
  • *
  • Messages: 1 968
  • FTTH K-net Cormoranche S/S & SFR FTTH Lyon
    • MilkyWan
Plusieurs milliers de sites Internet de communes mal sécurisés
« Réponse #7 le: 27 mars 2015 à 18:27:37 »
Vous avez des tests pour vérifier correctement si le site est sécurisé ? (Faille dans la programmation?)
Car en effet, je fais bénévolement le site de Cormoranche Sur Saône, qui est hébergé chez K-net. J'aimerai vérifier un minimum la sécurité, même si il ne contient pas des contenus sensibles.

vivien

  • Administrateur
  • *
  • Messages: 32 500
    • Twitter LaFibre.info
Plusieurs milliers de sites Internet de communes mal sécurisés
« Réponse #8 le: 27 mars 2015 à 19:01:33 »
Ça alors ! Je ne trouve pas dans le fichier Excel Cormoranche-sur-Saône (pourtant même les communes sans site sont indiquées)

Sinon le site de Cormoranche-sur-Saône va rester confidentiel si tu ne met pas son url sur la page Wikipedia : https://fr.wikipedia.org/wiki/Cormoranche-sur-Sa%C3%B4ne

Marin

  • Client Bbox vdsl
  • Modérateur
  • *
  • Messages: 2 779
  • 73
Plusieurs milliers de sites Internet de communes mal sécurisés
« Réponse #9 le: 27 mars 2015 à 19:02:42 »
Vous avez des tests pour vérifier correctement si le site est sécurisé ? (Faille dans la programmation?)
Car en effet, je fais bénévolement le site de Cormoranche Sur Saône, qui est hébergé chez K-net. J'aimerai vérifier un minimum la sécurité, même si il ne contient pas des contenus sensibles.

La question est très vaste. Commence par vérifier que ton serveur est tenu à jour et que le mot de passe de l'interface d'administration n'est pas admin:admin.

S'il y a du code que tu as écrit toi-même, il serait bon que tu sois renseigné un minimum sur les principaux types de vulnérabilités qui existent (XSS, injection SQL, LFI, CSRF...).

Ça alors ! Je ne trouve pas dans le fichier Excel Cormoranche-sur-Saône (pourtant même les communes sans site sont indiquées)

Sinon le site de Cormoranche-sur-Saône va rester confidentiel si tu ne met pas son url sur la page Wikipedia : https://fr.wikipedia.org/wiki/Cormoranche-sur-Sa%C3%B4ne

Il ne semble effectivement pas être indexé par Google.

Thibault

  • AS57199 MilkyWan + Client K-Net
  • Modérateur
  • *
  • Messages: 1 968
  • FTTH K-net Cormoranche S/S & SFR FTTH Lyon
    • MilkyWan
Plusieurs milliers de sites Internet de communes mal sécurisés
« Réponse #10 le: 27 mars 2015 à 19:05:52 »
Le site de Cormoranche a été annoncé aux vœux du maire en publique. L'ouverture est prévu pour mi-avril, je vois actuellement avec le conseil municipal pour le remplir.

Oui je connais les bases de vulnérabilités, mais quand je vois que des sites très populaires se font HACK...
Sinon pour le serveur, c'est du mutualisé chez K-net, donc je ne gère pas cette zone.

Vous ne pouvez pas voir le contenu, mais voilà le site http://www.cormoranche.fr/

Marin

  • Client Bbox vdsl
  • Modérateur
  • *
  • Messages: 2 779
  • 73
Plusieurs milliers de sites Internet de communes mal sécurisés
« Réponse #11 le: 27 mars 2015 à 20:19:27 »
Oui je connais les bases de vulnérabilités, mais quand je vois que des sites très populaires se font HACK...

La plupart des vulnérabilités trouvées dans les très gros sites ne sont pas nécessairement très sophistiquées en elles-mêmes, c'est surtout qu'elles sont noyées au milieu d'un océan de complexité. Il s'agit de tester toutes les entrées de toutes les manières possibles, c'est un processus qui ne peut pas être totalement automatisé et qui n'est jamais vraiment fini. Un facteur important est le manque de visibilité, par exemple dans un système sur base de communication Ajax complexe, ou dans une API privée utilisée uniquement par une application smartphone propriétaire, le problème peut passer inaperçu plus longtemps.

Il peut aussi y avoir des cas vraiment alambiqués qui assemblent plusieurs vulnérabilités pour mener une schéma d'exploitation complet (exemples : CSRF multiples ; contournement de filtres ; XSS qui peut servir à injecter un autre payload malveillant, par exemple en modifiant un cookie, de manière autrement inatteignable ; contournement d'authentification à multiples facteurs...), mais ce n'est pas le plus commun.

Bien sûr, tout cela ne concerne pas de la même manière le site d'une mairie lambda avec 5 pages statiques ou un CMS générique.

 

Mobile View