Des leçons classiques pour des problématiques nouvelles
*Ce texte une traduction libre d’un article paru dans Drupal WatchDog. Bien que concernant Drupal, il peut tout à fait s’appliquer à la sécurité informatique en général. Ce sont des conseils relativement classiques mais présentés d’une façon un peu humoristique.*
Leçon n°1 : on ne court pas avec des ciseaux. Ou plutôt, ne fais rien qui puisse impacter la sécurité de ton infrastructure quand tu es mal réveillé, bourré ou distrait. C’est la meilleure façon de faire une bêtise.
Leçon n°2 : ne te pense pas plus futé que tu ne l’es. Inutile de faire étalage des vulnérabilités d’une infrastructure, surtout si c’est la tienne.
Leçon n°3 : verrouille toutes tes portes. Utilise des mots de passe forts, une protection réseau, un log-manager, etc. Tous ceux qui se disent être ton ami ne le sont pas nécessairement. Et passe du temps à configurer tes profils utilisateurs et surtout leurs différents droits.
Leçon n°4 : ne laisse aucune place aux assaillants potentiels. Prend le temps de passer en revue toutes les permissions du système. Il suffit d’un seul petit 777 pour corrompre tous tes fichiers PHP ou pire.
Leçon n°5 : sois attentif à ton environnement professionnel. Ne jamais laisser carte blanche à tous les développeurs avec lesquels tu travailles, ils ne sont pas nécessairement de confiance et le meilleur moyen de garder quelque chose de secret est encore de le garder pour soi.
Leçon n°6 : n’ouvre pas la porte à des inconnus. Protège ton site contre toutes formes d’intrusions, nettoies toutes les données qui peuvent provenir des utilisateurs : PHP, Javascript, SQL et tout ce qui pourrait endommager un site ou une infrastructure.
Leçon n°7 : si c’est trop beau pour être vrai, c’est qu’il y a forcément un vice quelque part. Méfies-toi des commentaires trop élogieux en provenance de parfaits inconnus. Ils insèrent très souvent des liens HTML te reliant vers des sites vers lesquels tu ne veux pas être relié.
Leçon n°8 : le bon sens est souvent le plus utile. Ne sois jamais dépendant de qui que ce soit ou de quoi que ce soit. Cela vaut pour les personnes comme pour les librairies.
Leçon n°9 : l’ignorance est source de plaisir, mais le plaisir peut être éphémère. Passe régulièrement en revue tes logs, tes accès récents, tes rapports d’erreurs. Garde toujours un œil sur les tentatives ratées d’intrusion.
Leçon n°10 : ne joue pas dans le jardin sans avoir vérifier qu’il n’y avait pas de serpents. Ton hébergeur – comme tous les prestataires – doit répondre à certains critères et l’un des critères, non négociable, doit être la façon dont il protège ses infrastructures. Assure-toi qu’il te fournisse les outils nécessaires pour protéger, sauvegarder et restaurer ton site. Les attaquants cherchent toujours une façon d’attaquer un serveur mais s’ils échouent en se prenant directement à l’hébergeur, tu as une marge de manœuvre.
Leçon n°11 : range ta chambre ! Blinde ton site maintenant !