CyberACTUS Août XVI

#2016/08 – Auto-évaluer la sécurité de son site.

security-vulnerabilities

La rentrée de septembre est proche. Il est temps de prendre les résolutions pour améliorer la sécurité de nos sites WEB. Dans cette optique Mozilla a construit un scanner en ligne afin d’aider les webmasters à mieux protéger leurs sites Web et les utilisateurs. Ce scanner permet de vérifier si les serveurs Web ont une configuration des paramètres de sécurité optimum.

L’outil a été initialement construit pour un usage interne à Mozilla par l’ingénieur Avril King, qui a ensuite été encouragé à l’ouvrir à tous. L’approche retenue est similaire à des scanners d’évaluation des configurations SSL/TLS tel quel le service SSLTest de Qualys (https://www.ssllabs.com/ssltest/) ou le site CryptCheck (https://tls.imirhil.fr/).

Cyberactus_aoutA
https://observatory.mozilla.org

En complément, une API est disponible pour les administrateurs qui ont besoin d’évaluer un grand nombre de sites Web périodiquement.

Le service de Mozilla reprend le principe de notation de la configuration en partant d’un score à 100 points et en dévaluant le score en fonction des vulnérabilités identifiées avec une représentation allant de F à A+ pour les configurations les plus sécurisées.

L’observatoire de Mozilla scanne un large éventail de mécanismes de sécurité Web incluant 14 points de contrôles dont :

– Content Security Policy (CSP),
– Cookies,
– Cross-origin Ressource Sharing (CORS),
– HTTP Public Key Pinning (HPKP),
– HTTP Strict Transport Security (HSTS),
– Redirection,
– Subressource Integrity (SRI),
– X-Content-Type-Options,
– X-Frame-Options,
– X-XSS-protection, et plus encore.

Le scanner ne vérifie pas uniquement la présence des options de sécurité mais mesure aussi le paramétrage mis en œuvre. Les informations concernant la méthodologie sont disponibles sur le site gitub (https://github.com/mozilla/http-observatory/blob/master/httpobs/docs/scoring.md)

L’observatoire présente aussi une hiérarchisation des mesures à mettre en œuvre en fonction des risques et de la difficulté d’implémentation. Cette liste commence évidemment avec la mise en œuvre et la configuration du TLS.

Cyberactus_aoutB

Le tableau présente les 14 points avec une graduation des bénéfices  et du niveau de difficulté d’implémentation pour chaque mesure.

Enfin, l’observation nous présente une vision de la sécurité de plus d’1,4 millions de sites Internet. On notera que plus de 89% des sites mondiaux ont une note à F.

Seulement 147 000 sites ont une note comprise entre A+ / D- et seulement 0,4% des sites avec une note A+.

Fort de ce constat, on note que la sécurité des sites internet reste un axe d’amélioration et un enjeu dans le cadre de la dématérialisation. Il sera utile d’évaluer la progression des configurations d’ici un an pour connaître la tendance.

Dans cette perspective, nous avons procédé à une analyse des 100 premiers sites en France à partir de la liste fournie par Netcraft (http://toolbar.netcraft.com/stats/topsites?c=FR&submit=Refresh).

Les résultats reflètent une répartition similaire à celle de l’observatoire et nous avons comptabilisé une dizaine de site avec un grade autre que F. Les premiers de cette liste, avec un B-, sont le moteur de recherche https://www.qwant.com/ et la banque postale avec le site compte.laposte.net.

Cela montre qu’une faible minorité des services IT ont adopté actuellement une configuration sécurisée de leur site internet. Il faut souhaiter un changement de cap pour que les entreprises intègrent la sécurité dès la conception des services internet.

Nous  pouvons  saluer l’approche de Mozilla dans la contribution de la sécurité des services Internet ainsi que les différents participants à savoir hstspreload.appspot.com – securityheaders.io et  tls.imirhil.fr ou encore le site whynopadlock.com pour la recherche des pages non sécurisées.