Rapport MELANI : la sécurité des sites web en point de mire
La sécurité des sites web est le premier point fort du 21e rapport semestriel de MELANI. Les attaques d'espionnage et les attaques de phishing sont les autres points forts.
Le rapport semestriel de la Centrale d'enregistrement et d'analyse pour la sûreté de l'information MELANI a changé de présentation dans sa 21e édition et se présente désormais avec un thème principal.
Dans le numéro actuel, le thème de la "sécurité des sites web" constitue le premier point fort. En outre, un éditorial abordera à l'avenir les aspects centraux des rapports semestriels.
Thème principal "Sécurité des sites web
Les systèmes de gestion de contenu (CMS) sont de plus en plus utilisés pour la création et la mise à jour de sites Internet. Ceux-ci présentent l'avantage de permettre à des personnes sans connaissances techniques particulières de créer et d'actualiser un site web. Or, il arrive souvent que l'on omette d'installer les mises à jour de sécurité des systèmes CMS, bien que celles-ci soient généralement disponibles. Au premier semestre 2015, cette omission a permis de découvrir quelques failles de sécurité : En Suisse, 70% de tous les sites web qui avaient installé le logiciel CMS WordPress présentaient des failles de sécurité.
MELANI montre comment les systèmes CMS peuvent être exploités en toute sécurité.
Espionnage : la Suisse aussi concernée
Au cours du premier semestre 2015, un prestataire de services de sécurité informatique connu a publié des détails sur le logiciel d'espionnage "Duqu2". Il a ainsi été rendu public que l'objectif de l'espionnage était, entre autres, les négociations nucléaires avec l'Iran. Les derniers cycles de négociations ont eu lieu à Lausanne, Montreux, Genève, Munich et Vienne. En Suisse, une procédure pénale est en cours auprès du Ministère public de la Confédération à ce sujet.
Le phishing reste un sujet important
Le phishing, l'obtention illégale d'informations telles que noms d'utilisateur, codes, mots de passe à usage unique, etc. MELANI observe presque quotidiennement des campagnes de phishing à plus ou moins grande échelle. L'imagination des pirates ne connaît guère de limites : courriels prétendument envoyés par des banques, formulaires fiscaux falsifiés ou même exploitation de la problématique actuelle des réfugiés dans les Balkans ne sont que quelques exemples du mode opératoire des auteurs.
Le rapport peut ici en PDF peuvent être obtenus.