Piratage & SEO

Savoir réagir

© 6ix IT & One Clic Conseil - 2014 2

Karim SlamaniConsultant en sécurité des systèmes d’information

Fondateur de 6ix IT

• Tests d’intrusion

• Audits de code, audits de configuration, audits d’architecture

• Analyse de risque, rédaction de cible de sécurité

• Evaluations CSPN (Certification de Sécurité de Premier Niveau)

• Veille technologique & sécurité

© 6ix IT & One Clic Conseil - 2014 3

Julien DeneuvilleConsultant Webmarketing

Consultant Webmarketing @ One Clic Conseil

• Agence de référencement naturel et web conversion

• Problématiques techniques sur sites à grande volumétrie de pages

• Coordination des actions netlinking de l’agence

Me suivre :

• Twitter : @diije

• Blog : www.pureside.fr

Piratage

Quoi ? Comment ? Pourquoi ?

© 6ix IT & One Clic Conseil - 2014 5

PiratageExemple typique

Mon site est en ligne sur www.mondomaine.com

Je me rends dessus :

• en tapant directement l’URL,

• depuis mes favoris,

• en recherchant des mots clés spécifiques (marque le plus souvent)

Jusqu’ici, tout va bien. Pourtant …

© 6ix IT & One Clic Conseil - 2014 6

© 6ix IT & One Clic Conseil - 2014 7

© 6ix IT & One Clic Conseil - 2014 8

© 6ix IT & One Clic Conseil - 2014 9

Contrefaçon en ligneLe désarroi des marques

De nombreuses thématiques visées :

• Luxe, cosmétique

• Habillement et accessoires

• Médicaments

• Jouets

• …

© 6ix IT & One Clic Conseil - 2014 10

Contrefaçon en ligneLes hackers savent cibler leurs acheteurs

Détection de la

contrefaçon sur 14 000

mots clés aux USA

(maroquinerie)

© 6ix IT & One Clic Conseil - 2014 11

Et c’est presque invisibleSi l’on ne sait pas où chercher

1

2

3Site piraté, redirection 302 cloakée

sur le referer « Google » vers

http://www.alexapharma.com/

(vente de médicaments contrefaits)

© 6ix IT & One Clic Conseil - 2014 12

Et c’est presque invisibleMais ça ne l’est pas pour Google

Une fois piraté, le site entre dans un réseau de liens.

• Objectif : transmettre la sémantique voulue aux pages qui serviront à

rediriger les internautes vers le « Money Site »

© 6ix IT & One Clic Conseil - 2014 13

Risque encourusIls sont partagés

Vous pouvez dans certains cas être considérée comme pénalement et civilement responsable des dégâts qui seraient causés par un intrus à partir de vos sites et plus largement de votre système

d’information.

© 6ix IT & One Clic Conseil - 2014 14

Pirater un site pour tromper GoogleDe quoi parle-t-on ?

Deux principaux types d’attaques :

• Ciblées, en « one shot »

Voler des données

Faire tomber un site

…

• Automatiques, en crawlant le web à

la recherche de failles connues.

Insertion de contenus frauduleux

Phishing

Contrefaçon

© 6ix IT & One Clic Conseil - 2014 15

Motivations des piratesElles peuvent être diverses mais dans le SEO : La fraude économique

© 6ix IT & One Clic Conseil - 2014 16

Déroulement d’une attaqueVue globale

Exemples

Vecteurs d’attaques: Social engineering, attaque réseau, attaque applicative

Vulnérabilité: SQLi, CSRF, application obsolète

Contrôles de sécurité: Monitoring du réseau, analyse des logs

Impacts technique: Compromission du serveur Mysql, indisponibilité site web.

Impact Métier: Perte de la base de donnée client, modification de la configuration

Comment donner l’alerte ?

Outils et méthodes

© 6ix IT & One Clic Conseil - 2014 18

Donner l’alerte… avant qu’il ne soit un peu tard

L’objectif est de détecter l’attaque avant ça :

© 6ix IT & One Clic Conseil - 2014 19

Donner l’alerteOu avant de recevoir ça…

De la part de son responsable ou de ses clients …

© 6ix IT & One Clic Conseil - 2014 20

Quelques outilsPour tirer rapidement la sonnette d’alarme

Google Webmaster Tools :

• Filtrer les requêtes de recherche sur les mots clés « contrefaçon ».

Suivi de positions :

• Ajouter à vos mots clés suivis des requêtes du type « marque + viagra ».

Suivi des liens entrants :

• Détecter les afflux massifs de liens non désirés.

© 6ix IT & One Clic Conseil - 2014 21

Coté serveurLe monitoring, la clé.

Monitoring :

• Mail : Surveiller le nombre de mails sortant su serveur et détecter les

anomalies.

• Système :Mettre en place de la vérification d’intégrité fichier avec des outils

comme tripwire.

• Journaux : Analyse régulière des fichiers de logs

Scan externe:

• Mettre en place des sondes qui détectent les changements de contenus.

• Mettre en place des sondes qui détectent l’ouverture de ports suspects.

Comment se protéger

Les bons réflexes

© 6ix IT & One Clic Conseil - 2014 23

RecommandationsLes bonnes pratiques

Mises à jour

• Système : Dans le cas d’un serveur dédié.

• Applicatives : CMS, plugins et/ou librairies utilisés

Sauvegardes

• Faites des sauvegardes régulières et automatisées.

Backup-manager, scripts personnalisés, il existe des solutions.

Vérifiez vos sauvegardes (intégrité et disponibilités)

Mettez en place des processus type PRA:

– Sauvegardes physiques tous les X mois.

– Ne stockez pas toutes vos sauvegardes au même endroit.

– Simulez une indisponibilité du site.

© 6ix IT & One Clic Conseil - 2014 24

Se mettre dans la peau d’un pirateQuelle est la méthodologie des pirates ?

Les attaques automatisées : Un processus figé

• Identification de la vulnérabilité

Les pirates identifient une nouvelle vulnérabilité dans un Framework, un CMS ou

dans une application.

• Recherche de cible

Ils trouvent un « pattern » qui leur permet de trouver un maximum de cibles.

• Exploitation

La vulnérabilité est alors exploitée en masse de manière à constituer un réseau

– Botnets (DDOS)

– Plateformes pour la propagation de malware

– Réseau de site

© 6ix IT & One Clic Conseil - 2014 25

Se mettre dans la peau d’un pirateQuels sont ses moyens ?

Recherche de cible

Exploitation à grande échelle

© 6ix IT & One Clic Conseil - 2014 26

RecommandationsGarder un avantage technique

Objectif : Passer sous le radar

• Supprimer tout ce qui peut permettre l’identification des applicatifs utilisés

Par ex: Version PHP/Apache utilisée

Modifier les signatures des CMS, des plugins et des thèmes.

Changer les fichiers & répertoires par défaut

Objectif : Avoir un coup d’avance

• Faire de la veille :

Réseaux sociaux,

Liste de diffusion

• Tester sa propre sécurité

Que faire en cas d’attaque

Les bons réflexes

© 6ix IT & One Clic Conseil - 2014 28

Les différents types d’attaquesLes bonnes pratiques

Attaque par déni de service (DDoS)

• Le site web du concurrent est inaccessible.

– Contacter son hébergeur, peu de solutions pour le responsable du site.

Compromettre le site en intégrité• Injection de code malveillant

• Suppression de tout ou partie de la base de données

• Dépôt de fichiers illégaux– Audit de code, vérification de l’intégrité des sources, restauration de

sauvegardes.

Détournement de ressources• Envoies de spam

• Utilisation du serveur dans une campagne de phishing

– Analyse système, audit de configuration, audit de code, restauration de

sauvegardes.

© 6ix IT & One Clic Conseil - 2014 29

Audit post-mortemLes bonnes pratiques

Isoler le serveur compromis

• Erreur à éviter : ne surtout pas débrancher ni redémarrer le serveur.

Mesurer l’étendue des dégâts• Des données sensibles ont été consultées ?

• Des fichiers clients ont été volés ?

• Une backdoor a été déposée ?

• Un compte administrateur/utilisateur a été compromis ?

Déterminer la vulnérabilité utilisée

• Analyse des logs

Appliquer le ou les correctifs

• Quelle a été la méthodologie de l’attaquant ?

© 6ix IT & One Clic Conseil - 2014 30

Cas concret : Analyse de l’attaqueSous-titre

La tracé des ses actions peut-être assimilé au scénario suivant :

• Recherche de masse automatisée sur la vulnérabilité impactant le CMS Peel

• Exploitation automatique de la vulnérabilité

• Cassage des mots de passe puis authentification

• Modification des données – Mise en place de redirection et de contenu

fraruduleux

• Tentative de compromission du serveur

© 6ix IT & One Clic Conseil - 2014 31

Dans la peau du pirateCas pratique

• Dans cet exemple, l’algorithme de hachage utilisé (qui n’est pas un

algorithme de chiffrement) est faible et peut être cassé en quelques minutes.

© 6ix IT & One Clic Conseil - 2014 32

Attaque automatiséeChronologie de l’exploitation

Et ensuite ?

Grand nettoyage

© 6ix IT & One Clic Conseil - 2014 34

Faire le ménageLes listes de sites malveillants

Bases de données de sitesdangereux :

• Malwares

• Phishing

• …

Ressources :

• Demande de réexamen via Google Webmaster Tools

• Formulaires de retrait des listes (exemples ici et ici)

© 6ix IT & One Clic Conseil - 2014 35

Rétrograder les sitelinksNettoyer les requêtes marque

Eviter l’apparition de sitelinks indésirables :

• L’outil : Google Webmaster Tools

© 6ix IT & One Clic Conseil - 2014 36

Supprimer les pages du cacheForcer Google à mettre à jour son index

Identifier les pages à nettoyer

Demander leur suppression via Google Webmaster Tools

© 6ix IT & One Clic Conseil - 2014 37

Nettoyer les liens entrantsLoué soit l’outil de désaveu

1. Exporter les domaines référents

2. Identifier les domaines piratés

3. Si possible, avertir les webmasters concernés

4. Désavouer les autres domaines

© 6ix IT & One Clic Conseil - 2014 38

Travail sur le long termeMais des résultats sont possibles

En conclusion

© 6ix IT & One Clic Conseil - 2014 40

Des enjeux importantsEconomie, image de marque, légalité …

Les principales cibles sont les grandes marques

• Louis Vuitton,

• Louboutin,

• Chanel,

• D’autres exemples chez AxeNet.

Quelques faits marquants :

• 2010 : on estime que le CA de la contrefaçon en ligne est supérieur au CA

global de la marque Moncler dans le monde (Le Figaro).

• 2013 : aux USA, Gucci obtient $144M de dommages et intérêts suite à la

contrefaçon en ligne (Les Echos).

© 6ix IT & One Clic Conseil - 2014 41

Des réflexes à acquérirPour éviter les situations délicates

Mises à jour

• Système : Dans le cas d’un serveur dédié.

• Applicatives : CMS, plugins et/ou librairies utilisés.

Sauvegardes

• Faites des sauvegardes régulières et automatisées.

Backup-manager, scripts personnalisés, il existe des solutions.

Vérifiez vos sauvegardes (intégrité et disponibilité)

Veille technologique

• Réseaux sociaux, listes de diffusion spécialisées.

Plan de reprise d’activité

© 6ix IT & One Clic Conseil - 2014 42

Une problématique complexeEt de nombreux acteurs impliqués

Plusieurs types de compétences requises :

• Sécurité

• Référencement

• Juridique

Les marques ne sont pas inactives, Google non plus :

• DMCA

• Mise en avant de sites de marques

• …

© 6ix IT & One Clic Conseil - 2014 43

Des questions ?

Bing

?

Google

trafic

SEO

ranking

liens

Yandex

contenu

Merci de votre attention

© 6ix IT & One Clic Conseil - 2014 44

Crédits photo

Flickr

• http://www.flickr.com/photos/nofrillsexcursions/8542436550

• http://www.flickr.com/photos/seanfx/5092674036/

• http://www.flickr.com/photos/aidanmorgan/3219967086/

• http://www.flickr.com/photos/111692634@N04/11406964255/

• http://www.flickr.com/photos/80893226@N00/4798350373/