Maire-info
Le quotidien d’information des élus locaux

Édition du vendredi 16 janvier 2015
Technologie de l'information

Attaques de sites Internet : comment les mairies peuvent-elles réagir ?

Alors que, selon certains experts, au moins un millier de sites internet d’institutions ont été touchés par des attaques informatiques (lire Maire info de mardi), pour de nombreuses petites communes aux moyens modestes se pose la question de la vulnérabilité et des moyens de protection face à ce genre d’attaques. Maire info a exploré quelques-unes de ces mesures.
Rappelons que depuis une semaine, des sites de mairies, conseils généraux, universités, églises ou entreprises subissent des campagnes de « défacement », c’est-à-dire une infiltration dans le site par des pirates affichant sur la page d'accueil des messages à caractère idéologique. « Il n'y a de Dieu qu'Allah », « Death to France »  (Mort à la France) ou encore « Death to Charlie »  (Mort à Charlie) : ces actions ont été revendiquées par « une cinquantaine d’individus ou de groupes »  n’ayant toutefois « pas une grande force de frappe technique, quand on voit le niveau et les cibles des attaques », qui ne bénéficient pas de la protection d’administrations plus importantes, explique à Maire info Olivier Laurelli, fondateur du site d’informations Reflets.info et expert en sécurité informatique.
Cependant, pour des institutions de taille modeste, n’ayant pas de services techniques ni même de spécialiste en informatique, il peut être très difficile de s’en protéger. Que faire alors face à une attaque ?
« La première chose est de contacter le prestataire informatique qui a réalisé le site web ou, s’il n’y en a pas, l’hébergeur du site », c’est-à-dire la société qui stocke sur ses serveurs (ordinateurs) le contenu du site, dont les services sont payants et avec lequel un contrat a été nécessairement souscrit, recommande Olivier Laurelli. Parfois, c’est le prestataire qui joue également le rôle de l’hébergeur. « Il faut lui demander si toutes les mises à jour ont été faites »  sur les logiciels ayant servi à créer l’architecture du site, car « souvent, les pirates réussissent à effectuer un « défacement »  grâce à une faille de sécurité provenant d’une mise à jour non effectuée », détaille l’expert.
En effet, selon Olivier Laurelli, la « grande majorité des sites "vitrines" de mairies sont réalisés avec des systèmes de gestion de contenu, des logiciels libres (comme Wordpress) dont les mises à jour – visant entre autres à améliorer la sécurité – sont très fréquentes, et il vaut mieux éviter d’en sauter une ».
En cas d’attaque, un prestataire est en mesure de mettre le site en panne dans l’urgence – pour éviter d’afficher le message des pirates – et rapidement remplacer la page d’accueil visée. Pour un site basique, élaboré avec Wordpress par exemple, les premiers prix pour une gérance informatique permettant d’assurer un suivi régulier des mises à jour et une assistance en cas de problème s’établissent dans une fourchette de 1 500 à 3000 euros par an. Les coûts peuvent s’envoler bien évidemment en fonction de la complexité du site, et notamment si celui-ci gère les données personnelles d’usagers (par exemple si les administrés peuvent y payer la cantine scolaire ou autre service municipal).
Deuxième chose à faire : « Il ne faut évidemment pas hésiter à porter plainte auprès de la police ou de la gendarmerie, insiste Olivier Laurelli, car il est possible que les pirates soient français, et cela permet aux autorités de faire des corrélations avec d’autres plaintes, d’analyser les traces laissées par les assaillants ».
Deux administrations sont principalement chargées de recueillir les plaintes : l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC), une structure interministérielle, et la Brigade d'enquêtes sur les fraudes aux technologies de l'information (BEFTI), qui dépend de la direction régionale de la police judiciaire de Paris, et se concentre plus sur la criminalité économique et financière.
Avant de porter plainte, il est essentiel, lorsqu’on remet le site Internet en route, de « ne pas effacer les traces laissées par les assaillants, notamment les fichiers corrompus »  ou installés par les pirates, avertit Olivier Laurelli. Il est important d’en créer des copies de sauvegarde et de les remettre aux enquêteurs, qui pourront y trouver des indices permettant d’identifier les auteurs de l’attaque.
Autre partenaire important pour les maires : l’Agence nationale de la sécurité des systèmes d’information (Anssi), qui est l’autorité nationale en matière de sécurité informatique, et vient de demander à l'Association de maires de France (AMF) de diffuser aux maires et présidents d'intercommunalités des conseils pour parer aux éventuelles cyberattaques. L'Anssi surveille et protège en effet tous les sites publics, dont ceux des collectivités locales, et vient d’éditer deux fiches pratiques pour aider les collectivités à sécuriser leurs système, l’une à l’intention des usagers (agents, élus…), l’autre des responsables des services informatiques.
Le Club de la sécurité de l'information français (Clusif), association à but non lucratif d'entreprises et de collectivités, rassemble également des antennes régionales, les Clusir. Le Clusif organise notamment des formations en sécurité informatique.

E.G.E.


Consulter les fiches d’aide de l’Anssi pour la protection contre les cyberattaques.
Consulter le vade-mecum du Clusif à l’usage des victimes de cyberattaques, comprenant les coordonnées de l’OCLCTIC, de la BEFTI et autres organismes-ressources.


Les conseils des experts informatiques de l’AMF
 
Les attaques visant actuellement les sites institutionnels sont, dans la très grande majorité des cas, des attaques simples à éviter :
-  en premier lieu, il convient de mettre à jour dans la dernière version l’éditeur en ligne du site. Les plus attaqués cette semaine sont FCKeditor, CKeditor et tinyMCE,
-  dans le cas de l’utilisation d’un CMS, s’assurer de la mise à jour régulière de la version ainsi que des plugins additionnels,
- ne jamais utiliser un dossier d’administration classique comme : http://ndd/admin/ http://ndd/administration/ , http://ndd/gestion/ , http://ndd/manage/ , http://ndd/manager/
-  sécuriser les accès : mots de passe complexes (lettres en minuscules/majuscules, chiffres et caractères spéciaux) ; ne pas utiliser d’identifiant standard comme admin / administrateur / webmaster / webmestre / user / utilisateur
-  isoler le dossier ou la page d’administration via un sous-domaine ou par filtrage d’IP » 



Suivez Maire info sur Twitter : @Maireinfo2