A force de discuter à droite à gauche, il faut constater que beaucoup de sites Internet sont très indiscret.
Je vous propose ici une petite démonstration « grandeur nature » du problème posé par une configuration un peu « faible » d’un serveur comme Apache.
Au départ, nous avons une site web proposant une zone d’accès restreint sur authentification (un Intranet par exemple)
J’utiliserai ici IE comme client identifié (donc ayant accès au contenu secret et protégé) et Opéra representer un visiteur quelconque (sans droit sur le site).
Ma petite démonstration fonctionne quelque soit le navigateur! C’est juste parce que plus pratique pour moi.
En arrivant sur le site, tout le monde voit la même chose:
Une fois identifié, nous voyons apparaître un nouvel article (appelé « article secret »)
On accède donc librement au l’article et aux fichiers joints qu’il contient
Même si notre visiteur ne peux pas accéder à l’article confidentiel, il n’a aucune difficulté à accès au document en remontant simplement les sous-dossiers de site.
Il tombe d’abord sur la liste des fichiers du répertoire courant
Il n’a plus qu’à choisir le fichier pour l’ouvrir simplement ou le télécharger…
Bien entendu, ce visiteur lambda peut être le robot de Google et votre super fichier secret devient très largement accessible avec encore moins d’effort.
Avec un simple de réglage du serveur, on interdit tout bêtement le parcours des dossiers et le visiteur indiscret trouve au minimum un message d’erreur.
Si votre administrateur est un semi Dieu (s’il a ouvert un jour les howtos d’Apache), il saura rediriger ces erreurs vers soit votre page d’accueil soit un formulaire destiné à l’informer du problème.
Sachez aussi qu’en cherchant si votre site comporte une page toto permet très souvent de récupérer la version de votre serveur et son système d’exploitation. (essayez l’adresse votresite.com/toto)
Fort de ces éléments il suffit de compulser les bases de vulnérabilités connus pour trouver des failles exploitables.
Si vous êtes dans le cas de figure que je décris ici virer votre administrateur ou votre prestataire! Etant à la recherche d’un emploi, je me ferai un devoir de sécuriser votre site et votre parc. 😉
Merci à l’association CapSudOuest de m’avoir permis d’utiliser son site pour ma démonstration