Comment réagir après le piratage informatique d'un site internet ?

Votre site internet a été piraté ? Pas de panique, vous n'êtes pas les premiers à avoir subit un piratage de votre site internet. Cela arrive à des milliers de sites chaque jour. Commencez d'abord par analyser la situation avec calme. Comprendre d'où vient le problème est déjà un début de solution.

PS : pas la peine de pester contre votre webmaster. Il n'y est généralement pour rien...

Qui a piraté votre site ? Pourquoi ?

Tout d'abord, rassurez-vous : cette attaque n'a rien de personnel. Ce n'est pas vous ou votre entreprise qui êtes personnellement visés par les pirates (on dit aussi les "hackers"). Ils ont simplement profité d'une faiblesse technique ou d'une faille de sécurité de votre site pour attaquer. Et la plupart du temps, ces attaques sont automatisées : des programmes parcourent inlassablement le web pour trouver les sites vulnérables et les attaquer à la chaine.

Chaque mois, des milliers de sites sont piratés en France, et bien plus à travers le monde. Et les gros sites ne sont pas en reste. Vous souvenez-vous du piratage de France 24 ? de sites gouvernementaux ? ou bien encore de la récente attaque contre les géants du web (Amazon, Paypal, Twitter...) ?

Pour schématiser, personne n'est à l'abri, pas même les "gros" sites qui disposent d'un budget colossal pour assurer leur sécurité.

Votre site affiche des liens douteux et inappropriés ?

En général, on remarque un piratage en constatant la présence de liens "étranges" et inappropriés vers des sites douteux (médicaments en tous genres, sites pornos, jeux d'argent...). Ces liens peuvent être bien évidence, insérés dans un menu ou en haut de page par exemple, ou être bien plus discrets, dans le bas de page ou bien carrément noyés dans le texte d'un article.

Voilà ce que recherchent généralement les pirates : augmenter le trafic vers des sites douteux pour générer plus de vente, ou faciliter l'installation et la propagation d'un virus informatique.

Parfois, le piratage est si discret et sournois qu'on ne s'en rend compte qu'en examinant le code source du site infecté.

Votre site redirige vers des sites douteux ?

C'est une autre technique de piratage bien connue. Les hackers infectent votre site en plaçant du code malicieux dans vos pages. Ce code, en javascript la plupart du temps, renvoie vos visiteurs vers d'autres sites ou leur propose le téléchargement d'une application sur tablette ou smartphone.

De manière fort habile, la redirection n'est pas permanente. Elle s'applique en générale de manière aléatoire, tous les 10 ou 15 visiteurs par exemple. Cette stratégie permet au piratage d'être plus discret.

Certains vont même jusqu'à ne pas activer la redirection lorsque c'est le propriétaire du site qui visite son propre site. Il ne se rend ainsi compte de rien !

Votre site est défacé ?

Le défaçage est la technique préférée des hackers qui recherchent la notoriété et/ou cherchent à promouvoir une cause ou propager des idées. Cela consiste à modifier le graphisme du site (en générale en modifiant la page d'accueil) pour faire connaître des revendications (terrorisme, religions...).

C'est une attaque souvent "impressionnante" pour les propriétaires de site qui sont touchés car leur site se transforme alors en vitrine "publicitaire" sur fond noir, avec images à l'appui...

Comment les pirates ont-ils pu modifier votre site ?

Ce sont généralement les CMS qui sont touchés massivement : Joomla, Wordpress, Spip, Drupal, WooCommerce; Prestashop...

Pourquoi ? Parce que ce sont pour la plupart des applications :

populaires : une faille découverte et ce sont des millions de sites faciles à pirater !
dont le code est ouvert : les pirates peuvent analyser le code du programme pour trouver une faille
gratuites, souvent utilisées par des particuliers ou des petites structures pour qui le budget sécurité n'est pas une priorité et/ou qui ne procèdent pas aux mises à jour de sécurité
modulables, avec des extensions et des plugins plus ou moins sécurisés, ce qui introduit de nouvelles brèches dans la sécurité du site

Bref, les CMS comme Wordpress sont un formidable outil pour créer des sites internet en quelques clics, sans aucune notion en programmation. Mais cette simplicité peut devenir une faiblesse si l'utilisateur n'applique pas les recommandations des auteurs du logiciel.

Mais le logiciel seul n'est pas toujours en cause. La naïveté des "apprentis-webmasters" est aussi une invitation au piratage :

combien de CMS possèdent un identifiant "admin" pour l'administration ?
combien de mots de passes transparents ? "azerty" "123456" ...
combien de sites "bidouillés avec ce que j'ai trouvé sur internet", sans se soucier des conséquences en terme de sécurité
combien d'identifiants transmis par mail, chat, forum non sécurisé ?
...

La liste est longue ! Et comme je l'ai souligné au début de cette page, même les gros sites ne sont pas à l'abri.

Parlons maintenant des conséquences d'un piratage.

Quelles sont les conséquences ? Est-ce dangereux ?

Selon la complexité et l'objectif du piratage, la gravité ne sera pas la même.

Voici les conséquences possibles (mais pas systématiques) d'un piratage :

perte de confiance des internautes : un site piraté ne donne pas une bonne image d'une société. Votre réputation prend un coup. Les internautes (ou pire, les clients !) n'oseront pas naviguer ou commander sur un site manifestement piraté.
attaque d'autres services : bien souvent (et malheureusement !) les gens utilisent les mêmes mots de passe pour se connecter à différents sites internet. Lors du piratage, les hackers ont probablement eu accès à vos mots de passe et à votre email. Ils peuvent donc ensuite réutiliser ces données pour tenter de se connecter à pleins d'autres services (messagerie, banque, Facebook, ...). Je vous laisse imaginer les conséquences...
chute du classement dans les moteurs de recherche et baisse du nombre de visiteurs : eh oui... votre site fait désormais l'apologie et la promotion de sites douteux ! Et cela a d'importantes conséquences. En effet, les moteurs de recherches vous placent désormais dans la catégorie des sites infectés et malveillants. En l'absence de réaction de votre part, les moteurs vont peu à peu déclasser vos pages dans les résultats de recherche. Au mieux, vous reculerez de quelques places (pages ?), au pire, Google affichera un avertissement de sécurité à l'attention de vos visiteurs. "Il est possible que ce site ait été piraté." ou encore "ce site représente une menace". Tout un programme ! La perte de référencement n'est pas simple à inverser.
fermeture du site : pour se prémunir de telles attaques et surtout éviter la propagation ou le ralentissement de leurs serveurs, certains hébergeurs prennent l'initiative de fermer les sites infectés. Votre site devient alors totalement inaccessible jusqu'à son nettoyage complet et une demande de réhabilitation adressée à votre hébergeur. Vous continuez néanmoins à payer votre hébergement...
perte de chiffre d'affaire : pour un site marchand, un piratage peut avoir des conséquences désastreuses. Outre la perte de confiance du consommateur évoquée plus haut, un piratage peut-être plus sournois et permettre aux pirates de découvrir vos identifiants bancaires. Ils sont alors libres de se connecter à votre compte pour le siphonner, ou encore installer leurs propres identifiants marchands à la place des vôtres (avec Paypal par exemple). Vous prenez les commandes, ils encaissent les bénéfices !
perte des données personnelles ou de fichiers clients : lors du piratage, les hackers ont probablement eu accès à votre base de données. Si par exemple vous gérez un site marchand ou une association, si vous utilisez un formulaire de contact ou si vous proposez l'inscription à une newsletter sur votre site, votre base de données contient toutes les données personnelles de vos contacts (nom, emails, adresse, téléphone...). Les hackers peuvent monétiser ces informations en les revendant à d'autres personnes (services de spam, de démarchage téléphonique, d'autres pirates, vos concurrents...). Les règles de la CNIL sont claires : vous êtes responsables des données personnelles collectées auprès de vos clients. Et vous ne pouvez en aucun cas les divulguer sans leur consentement. Il va sans dire que les pirates se moquent bien des recommandations de la CNIL !
propagation de virus, adwares et malwares en tout genre : certains codes malveillants installés par les pirates affichent des publicités sur votre site. Certaines ont parfois l'apparence d'une fenêtre popup qui affiche un message d'alerte en reprenant le graphisme habituel du système d'exploitation ou de l'antivirus de vos internautes. Ne se doutant de rien, et pensant qu'il s'agit d'une alerte ou d'un message légitime, l'internaute clique et déclenche, à son insue, le téléchargement d'un virus ou d'un cheval de Troie.
plaintes et poursuites : le propriétaire d'un site est pénalement responsable des propos tenus sur son site et des médias affichés (images, vidéos, sons...). Selon le virus qui touche votre site, vous pouvez vous retrouver avec des propos faisant l'apologie du terrorisme, de jeux d'argent illicites ou tout autre magouille répréhensible... Les plaintes sont rares, mais possibles.

Que faire pour nettoyer le site et le remettre en ligne ?

Le piratage est parfois anodin : un seul fichier est touché, il suffit de le nettoyer et tout rentre dans l'ordre en quelques minutes. Ca, c'est le cas parfait.

Malheureusement, la plupart des hacks touchent de nombreux fichiers sources. Il est alors difficile de nettoyer si vous n'avez aucune notion en programmation informatique.

Si vous possédez une copie de sauvegarde "saine" du site (d'avant le piratage), la réinstallation sera assez simple. Vous aurez cependant perdu les modifications effectuées depuis la sauvegarde.

Si vous n'avez pas de sauvegarde, il va falloir procéder avec minutie et patience. Dans ce cas, le fichier log de votre hébergeur, qui stocke et date toutes les tentatives d'accès à votre site et les modifications permettra la plupart du temps de localiser les fichiers infectés.

Si votre base de données est infectée, c'est plus embêtant. Il va falloir ruser pour débusquer les ajouts opérés par le pirate et les nettoyer.

Et ça peut recommencer ?

Les virus sont comme des plantes invasives, il suffit d'en oublier un petit bout lors du nettoyage pour qu'ils continuent de nuire au site ou parviennent à se réinstaller complètement.

Qui plus est, si vous vous contentez de réinstaller le site à l'identique à partir d'une sauvegarde ou simplement de nettoyer les fichiers infectés, votre site se retrouve alors dans l'état initial qui a permis le piratage. Une nouvelle attaque aura les mêmes conséquences.

Pour limiter les risques, il est important, dans la mesure du possible :

d'appliquer les mises à jour recommandées pour votre CMS. Chaque mise à jour dite "de sécurité" apporte des améliorations notables du point de vue de la sécurité et bouche les failles de sécurité découvertes à ce jour.
changer de mots de passe (administration, MySQL, FTP, ...)
mettre à jour, désinstaller ou remplacer les extensions vulnérables
sécuriser le serveur et les différents répertoires habituellement visés par les hackers
modifier le CHMOD du .htaccess pour augmenter le niveau de sécurité
changer l'adresse de la console d'administration du site
désavouer les liens frauduleux et les pages créés par les pirates dans les moteurs de recherche
sensibiliser ses collaborateurs à la nécessité d'appliquer et de respecter certaines consignes de sécurité
installer un plugin chargé de détecter et d'intercepter les tentatives de piratage

Nettoyer un site demande du temps et des compétences. En cas de doute sur la conduite à tenir suite au piratage de votre site, n'hésitez pas nous contacter pour une analyse approfondie de votre site et une estimations de l'ampleur des dégâts. Un rapport écrit vous aidera à y voir plus clair avant d'agir.

Nous pouvons également intervenir pour nettoyer le site ou renforcer son niveau de sécurité en préventif.

Pour plus d'informations, vous pouvez nous contacter par mail.

Tutos et cours en ligne

Contact - Mentions légales
Interventions sur l'agglomération clermontoise (Clermont-Ferrand, Chamalières, Royat, Durtol, Beaumont, Ceyrat, Aubière, Cournon d'Auvergne, Lempdes...) et en Auvergne
Possibilités d'interventions sur le reste de la France, en présentiel, à distance ou en visio-conférence (tarifs et devis personnalisés sur simple demande)
En poursuivant votre navigation sur ce site, vous acceptez que Google Analytics utilise des cookies pour comptabiliser le nombre de visites.