Comment intervenir en cas de piratage de compte
Un compte piraté (ou hacké) est un compte qui a été compromis par un autre individu ou par un programme automatisé, afin d’être utilisé à des fins illégales.
Pourquoi mon compte a-t-il été piraté?
Un compte d’hébergement web offre souvent des possibilités alléchantes pour les pirates informatiques (ou “hackers”), leur permettant d’utiliser notre plateforme pour:
- installer et distribuer des virus,
- envoyer une quantité énorme de pourriels (spam),
- héberger des copies de sites et extraire des informations personnelles importantes (appelé « phishing » ou « hameçonnage »),
- causer des dommages financiers intentionnellement à votre compagnie ou organisation (ce qui reste peu commun),
- prouver leurs compétences en tant que pirates informatique.
Comment mon compte a-t-il été piraté?
Il existe plusieurs manières différentes. Les deux principales sont :
- Un mot de passe compromis. Il aurait pu être deviné (si il était trop simple), utilisé par une personne en qui vous avez confiance, ou volé de votre ordinateur souvent de matière automatique par un virus/Trojan.
- Des scripts sur le serveur qui ont des failles exploitables et ont été utilisées de façon à donner accès à votre compte aux hackers (très fréquent, surtout pour les logiciels Joomla, WordPress, et phpBB lorsqu’ils ne sont pas mis à jour).
Il est important de bien comprendre que ce problème survient donc d’une faille au niveau logiciel de soit (1) votre environnement local ayant accès au serveur, ou (2) vos application installées sur le serveur, et n’est aucunement reliée à la sécurité globale du serveur web sur lequel votre compte est hébergé. À cause des mesures de sécurité implantés sur nos serveurs, un compte piraté ne peut pas affecter l’intégrité des données sur d’autres comptes hébergés sur le même serveur. Dans certains cas, cependant, un compte piraté peut augmenter la charge du serveur et affecter sa réputation en tant qu’expéditeur de courriels légitimes, d’où l’importance de réagir rapidement afin de palier le problème.
Comment se manifeste un compte piraté?
Il arrive qu’un pirate informatique rende évident le fait que votre site a été piraté. Dans d’autres cas, il peut être plus difficile de vous rendre compte que votre site l’a été. Un compte piraté peut :
- Insérer du code HTML dans vos pages, qui installe des virus se propageant auprès de tous les visiteurs de vos sites. Les sites infectés seront généralement bloqués par certains navigateurs web et engins de recherche, afin de limiter la propagation du virus. Ceci ralentira considérablement le trafic vers votre site.
- Contenir des pages visiblement piratées (avec des liens et images externes qui ne sont pas les vôtres).
- Contenir, souvent dans des sous-répertoires, des images et textes identiques à ceux d’un autre site (appelé « phishing » ou « hameçonnage »).
- Envoyer des emails illégitimes (spam) en masse à partir de votre compte.
- Installer des scripts pour attaquer d’autres sites ou pirater davantage de comptes (causant une surcharge de l’utilisation des ressources du serveur).
Si votre compte a été piraté et nous recevons des plaintes, nous vous enverrons un avis vous informant du problème, et vous demandant d’agir rapidement (en moins de 24 heures) afin de corriger le problème. Dans des cas extrêmes, il est possible que nous suspendions votre compte immédiatement afin d’empêcher d’importants problèmes au niveau du serveur.
Grâce à la configuration de sécurité du serveur, un utilisateur d’un compte (même si compromis) ne peut pas lire ou modifier les fichiers privés d’autres comptes sur le même serveur.
Réagir rapidement après avoir été piraté
Un compte compromis ne peut pas être considéré comme étant sécuritaire tant qu’il n’a pas été recréé à partir de zéro avec un mot de passe différent. Même si vous effacez les fichiers qui vous paraissent infectés, il est probable que des fichiers cachés demeurent présents sur votre compte. Ceux-ci pourraient être utilisés pour des attaques futures.
Pour rétablir un site piraté:
- Effectuez un balayage complet de votre ordinateur (et de tous les autres ordinateurs ayant accès à votre compte) pour des virus avec un antivirus qui est à jour.
- Identifiez une sauvegarde intacte de votre site. Idéalement, vous en aurez une sur votre ordinateur ou autre interface de sauvegarde, qui pourra rapidement être déployée sur le site web. Si votre sauvegarde est infectée, ou si vous n’avez pas de sauvegarde fonctionnelle, vous pourriez avoir à procéder à un nettoyage manuel de vos fichiers HTML, PHP, et JavaScript. Vous pourriez avoir besoin de récupérer tous vos courriels, bases de données, et configurations additionnelles avant cette requête, puisque votre compte sera irréversiblement effacé.
- Après avoir reçu la confirmation que votre compte a été recréé, téléversez tous les fichiers non-infectés sur notre serveur, et recréez les adresses courriel et bases de données (tel que nécessaire).
- Changez votre mot de passe (choisissez-en un de sécuritaire !) pour :
- l’Espace Client
- votre cPanel
- les comptes de messagerie
- les logiciel CMS (par exemple Joomla, phpBB, WordPress, ou autre, si utilisé)
- Vérifiez que les logiciels installés sur votre compte sont à jour (incluant tous les modules et extensions), et les mettre à jour sinon. En général, une simple recherche sur Google contenant le nom de votre logiciel, sa version, et le mot “vulnerability” (exemple: Joomla 1.5.2 vulnerability) vous affichera des informations concernant des failles possibles de sécurité avec votre version.
Sécuriser votre compte
Il est très important de bien sécuriser votre site web une fois que celui-ci a été nettoyé de problèmes. Consultez l’article correspondant pour plus d’information.