StopTheHacker : le service qui arrête les attaques à distance
Les annonces sponsorisées par Facebook réservent parfois quelques jolies surprises. Ainsi peut-on lire la publicité d’un site Web proposant un service de détection des attaques informatiques contre un site Web, faisant osciller entre rires et consternation.
Le service StopTheHacker est un service Américain qui propose des audits de sécurité de votre site Web, le tout à distance, afin de protéger vos revenus (cas des sites de e-commerce) et votre réputation sur les moteurs de recherches. En effet, lorsque des sites Web comportent des codes malveillants, certains moteurs de recherche – par exemple Google – les signalent comme étant malveillant ou dangereux. L’analyse du site Web client est générée en rapport, très semblable à celui de Google Analytics.
Que propose concrètement ce service ?
· La détection de malwares sur un site Web : le service scanne le site pour déterminer si un attaquant a injecté un code malveillant sur le site. Il retire automatiquement et immédiatement le code infectieux.
· La recherche de vulnérabilité : un scan du site est opéré pour déterminer s’il existe des failles de sécurité.
· Monitoring : il est procédé à une vérification de disponibilité du site Web ainsi qu’une vérification de la réputation du site Web dans les moteurs de recherche pour s’assurer qu’il n’a pas été blacklisté.
Ce service propose également de scanner régulièrement la page Facebook relié au compte de l’entreprise. Il se vante de détecter non seulement tous les malwares connus mais également tous les malwares inconnus et non recensés que les antivirus laissent passer. Une fois le malware détecté, le service le retire automatiquement, sans intervention humaine, sans qu’aucune installation ne soit nécessaire.
A partir de là, quelques interrogations surgissent.
S’il est vrai qu’il est possible d’injecter du code malveillant sur un site Web, cela nécessite un scan préalable du site victime, afin de détecter les failles, pour ensuite y injecter le dit code. Si le site a été bien configuré, qu’il est maintenu à jour, qu’un log-manager a été monté, c’est déjà plus difficile à faire. L’origine la plus classique d’attaques de site Web réside souvent – mais pas uniquement – dans des modules qui ne sont pas à jour. Or, de plus en plus de sites Web passent par des CMS, comme WordPress. Il suffit qu’un module ou même un thème ne soit pas à jour pour que la machinerie s’effondre.
Le service promet une détection de code malveillant et un retrait immédiat dès la détection sans intervention humaine. Donc un service de protection procède à une injection automatique de code pour retirer un code injecté automatiquement sans intervention humaine, sans installation préalable ni d’accès au back-office, au FTP, à l’interface MySQL ou de PHPMyAdmin ? Comment est-ce possible ?
Comme souvent, le service joue sur la peur en énonçant que 9500 sites sont quotidiennement bannis des moteurs de recherches de Google, Yahoo et de Microsoft pour cause de code malveillant. Bizarrement, il existe quelques difficultés pour retrouver l’origine de ce chiffre.
Cerise sur le gâteau : lorsque l’on a recours à ce service, un petit logo est inséré, indiquant que le site a été scanné et vérifié par StopTheHackers. M’est d’avis qu’un tel affichage aurait plutôt tendance à attiser les volontés malveillantes de certaines personnes qui voudront prouver que le service n’est pas efficace. Enfin, il existe un programme d’affiliation qui permet de gagner de l’argent en amenant des clients supplémentaires à utiliser ce service. Est-ce la démonstration qu’il n’est pas aussi efficace qu’il le prétend ?
Enfin, à aucun moment ne sont expliquées ni détaillées les différentes techniques et méthodes utilisées par ce service, ce qui laisse planer quelques doutes sur sa crédibilité. Tout au plus le service se fend de quelques explications généralistes des termes techniques employés.
A l’intention des personnes qui seraient tentées de recourir à ce type de service : le pentest est un « vrai » métier, nécessitant de « vraies » compétences acquises après plusieurs années de travail intensif et continu, ne pouvant aucunement être remplacé par un Google Analytics like version code malveillant.
A bon entendeur.