Upload
one-clic-conseil
View
2.023
Download
0
Tags:
Embed Size (px)
DESCRIPTION
Support de la conférence "Piratage & SEO" par Karim Slamani (http://6ix-it.com/) et Julien Deneuville (http://www.1-clic.info/) lors du SEO Camp'Us 2014.
Citation preview
Piratage & SEO
Savoir réagir
© 6ix IT & One Clic Conseil - 2014 2
Karim SlamaniConsultant en sécurité des systèmes d’information
Fondateur de 6ix IT
• Tests d’intrusion
• Audits de code, audits de configuration, audits d’architecture
• Analyse de risque, rédaction de cible de sécurité
• Evaluations CSPN (Certification de Sécurité de Premier Niveau)
• Veille technologique & sécurité
© 6ix IT & One Clic Conseil - 2014 3
Julien DeneuvilleConsultant Webmarketing
Consultant Webmarketing @ One Clic Conseil
• Agence de référencement naturel et web conversion
• Problématiques techniques sur sites à grande volumétrie de pages
• Coordination des actions netlinking de l’agence
Me suivre :
• Twitter : @diije
• Blog : www.pureside.fr
Piratage
Quoi ? Comment ? Pourquoi ?
© 6ix IT & One Clic Conseil - 2014 5
PiratageExemple typique
Mon site est en ligne sur www.mondomaine.com
Je me rends dessus :
• en tapant directement l’URL,
• depuis mes favoris,
• en recherchant des mots clés spécifiques (marque le plus souvent)
Jusqu’ici, tout va bien. Pourtant …
© 6ix IT & One Clic Conseil - 2014 6
© 6ix IT & One Clic Conseil - 2014 7
© 6ix IT & One Clic Conseil - 2014 8
© 6ix IT & One Clic Conseil - 2014 9
Contrefaçon en ligneLe désarroi des marques
De nombreuses thématiques visées :
• Luxe, cosmétique
• Habillement et accessoires
• Médicaments
• Jouets
• …
© 6ix IT & One Clic Conseil - 2014 10
Contrefaçon en ligneLes hackers savent cibler leurs acheteurs
Détection de la
contrefaçon sur 14 000
mots clés aux USA
(maroquinerie)
© 6ix IT & One Clic Conseil - 2014 11
Et c’est presque invisibleSi l’on ne sait pas où chercher
1
2
3Site piraté, redirection 302 cloakée
sur le referer « Google » vers
http://www.alexapharma.com/
(vente de médicaments contrefaits)
© 6ix IT & One Clic Conseil - 2014 12
Et c’est presque invisibleMais ça ne l’est pas pour Google
Une fois piraté, le site entre dans un réseau de liens.
• Objectif : transmettre la sémantique voulue aux pages qui serviront à
rediriger les internautes vers le « Money Site »
© 6ix IT & One Clic Conseil - 2014 13
Risque encourusIls sont partagés
Vous pouvez dans certains cas être considérée comme pénalement et civilement responsable des dégâts qui seraient causés par un intrus à partir de vos sites et plus largement de votre système
d’information.
© 6ix IT & One Clic Conseil - 2014 14
Pirater un site pour tromper GoogleDe quoi parle-t-on ?
Deux principaux types d’attaques :
• Ciblées, en « one shot »
Voler des données
Faire tomber un site
…
• Automatiques, en crawlant le web à
la recherche de failles connues.
Insertion de contenus frauduleux
Phishing
Contrefaçon
© 6ix IT & One Clic Conseil - 2014 15
Motivations des piratesElles peuvent être diverses mais dans le SEO : La fraude économique
© 6ix IT & One Clic Conseil - 2014 16
Déroulement d’une attaqueVue globale
Exemples
Vecteurs d’attaques: Social engineering, attaque réseau, attaque applicative
Vulnérabilité: SQLi, CSRF, application obsolète
Contrôles de sécurité: Monitoring du réseau, analyse des logs
Impacts technique: Compromission du serveur Mysql, indisponibilité site web.
Impact Métier: Perte de la base de donnée client, modification de la configuration
Comment donner l’alerte ?
Outils et méthodes
© 6ix IT & One Clic Conseil - 2014 18
Donner l’alerte… avant qu’il ne soit un peu tard
L’objectif est de détecter l’attaque avant ça :
© 6ix IT & One Clic Conseil - 2014 19
Donner l’alerteOu avant de recevoir ça…
De la part de son responsable ou de ses clients …
© 6ix IT & One Clic Conseil - 2014 20
Quelques outilsPour tirer rapidement la sonnette d’alarme
Google Webmaster Tools :
• Filtrer les requêtes de recherche sur les mots clés « contrefaçon ».
Suivi de positions :
• Ajouter à vos mots clés suivis des requêtes du type « marque + viagra ».
Suivi des liens entrants :
• Détecter les afflux massifs de liens non désirés.
© 6ix IT & One Clic Conseil - 2014 21
Coté serveurLe monitoring, la clé.
Monitoring :
• Mail : Surveiller le nombre de mails sortant su serveur et détecter les
anomalies.
• Système :Mettre en place de la vérification d’intégrité fichier avec des outils
comme tripwire.
• Journaux : Analyse régulière des fichiers de logs
Scan externe:
• Mettre en place des sondes qui détectent les changements de contenus.
• Mettre en place des sondes qui détectent l’ouverture de ports suspects.
Comment se protéger
Les bons réflexes
© 6ix IT & One Clic Conseil - 2014 23
RecommandationsLes bonnes pratiques
Mises à jour
• Système : Dans le cas d’un serveur dédié.
• Applicatives : CMS, plugins et/ou librairies utilisés
Sauvegardes
• Faites des sauvegardes régulières et automatisées.
Backup-manager, scripts personnalisés, il existe des solutions.
Vérifiez vos sauvegardes (intégrité et disponibilités)
Mettez en place des processus type PRA:
– Sauvegardes physiques tous les X mois.
– Ne stockez pas toutes vos sauvegardes au même endroit.
– Simulez une indisponibilité du site.
© 6ix IT & One Clic Conseil - 2014 24
Se mettre dans la peau d’un pirateQuelle est la méthodologie des pirates ?
Les attaques automatisées : Un processus figé
• Identification de la vulnérabilité
Les pirates identifient une nouvelle vulnérabilité dans un Framework, un CMS ou
dans une application.
• Recherche de cible
Ils trouvent un « pattern » qui leur permet de trouver un maximum de cibles.
• Exploitation
La vulnérabilité est alors exploitée en masse de manière à constituer un réseau
– Botnets (DDOS)
– Plateformes pour la propagation de malware
– Réseau de site
© 6ix IT & One Clic Conseil - 2014 25
Se mettre dans la peau d’un pirateQuels sont ses moyens ?
Recherche de cible
Exploitation à grande échelle
© 6ix IT & One Clic Conseil - 2014 26
RecommandationsGarder un avantage technique
Objectif : Passer sous le radar
• Supprimer tout ce qui peut permettre l’identification des applicatifs utilisés
Par ex: Version PHP/Apache utilisée
Modifier les signatures des CMS, des plugins et des thèmes.
Changer les fichiers & répertoires par défaut
Objectif : Avoir un coup d’avance
• Faire de la veille :
Réseaux sociaux,
Liste de diffusion
• Tester sa propre sécurité
Que faire en cas d’attaque
Les bons réflexes
© 6ix IT & One Clic Conseil - 2014 28
Les différents types d’attaquesLes bonnes pratiques
Attaque par déni de service (DDoS)
• Le site web du concurrent est inaccessible.
– Contacter son hébergeur, peu de solutions pour le responsable du site.
Compromettre le site en intégrité• Injection de code malveillant
• Suppression de tout ou partie de la base de données
• Dépôt de fichiers illégaux– Audit de code, vérification de l’intégrité des sources, restauration de
sauvegardes.
Détournement de ressources• Envoies de spam
• Utilisation du serveur dans une campagne de phishing
– Analyse système, audit de configuration, audit de code, restauration de
sauvegardes.
© 6ix IT & One Clic Conseil - 2014 29
Audit post-mortemLes bonnes pratiques
Isoler le serveur compromis
• Erreur à éviter : ne surtout pas débrancher ni redémarrer le serveur.
Mesurer l’étendue des dégâts• Des données sensibles ont été consultées ?
• Des fichiers clients ont été volés ?
• Une backdoor a été déposée ?
• Un compte administrateur/utilisateur a été compromis ?
Déterminer la vulnérabilité utilisée
• Analyse des logs
Appliquer le ou les correctifs
• Quelle a été la méthodologie de l’attaquant ?
© 6ix IT & One Clic Conseil - 2014 30
Cas concret : Analyse de l’attaqueSous-titre
La tracé des ses actions peut-être assimilé au scénario suivant :
• Recherche de masse automatisée sur la vulnérabilité impactant le CMS Peel
• Exploitation automatique de la vulnérabilité
• Cassage des mots de passe puis authentification
• Modification des données – Mise en place de redirection et de contenu
fraruduleux
• Tentative de compromission du serveur
© 6ix IT & One Clic Conseil - 2014 31
Dans la peau du pirateCas pratique
• Dans cet exemple, l’algorithme de hachage utilisé (qui n’est pas un
algorithme de chiffrement) est faible et peut être cassé en quelques minutes.
© 6ix IT & One Clic Conseil - 2014 32
Attaque automatiséeChronologie de l’exploitation
Et ensuite ?
Grand nettoyage
© 6ix IT & One Clic Conseil - 2014 34
Faire le ménageLes listes de sites malveillants
Bases de données de sitesdangereux :
• Malwares
• Phishing
• …
Ressources :
• Demande de réexamen via Google Webmaster Tools
• Formulaires de retrait des listes (exemples ici et ici)
© 6ix IT & One Clic Conseil - 2014 35
Rétrograder les sitelinksNettoyer les requêtes marque
Eviter l’apparition de sitelinks indésirables :
• L’outil : Google Webmaster Tools
© 6ix IT & One Clic Conseil - 2014 36
Supprimer les pages du cacheForcer Google à mettre à jour son index
Identifier les pages à nettoyer
Demander leur suppression via Google Webmaster Tools
© 6ix IT & One Clic Conseil - 2014 37
Nettoyer les liens entrantsLoué soit l’outil de désaveu
1. Exporter les domaines référents
2. Identifier les domaines piratés
3. Si possible, avertir les webmasters concernés
4. Désavouer les autres domaines
© 6ix IT & One Clic Conseil - 2014 38
Travail sur le long termeMais des résultats sont possibles
En conclusion
© 6ix IT & One Clic Conseil - 2014 40
Des enjeux importantsEconomie, image de marque, légalité …
Les principales cibles sont les grandes marques
• Louis Vuitton,
• Louboutin,
• Chanel,
• D’autres exemples chez AxeNet.
Quelques faits marquants :
• 2010 : on estime que le CA de la contrefaçon en ligne est supérieur au CA
global de la marque Moncler dans le monde (Le Figaro).
• 2013 : aux USA, Gucci obtient $144M de dommages et intérêts suite à la
contrefaçon en ligne (Les Echos).
© 6ix IT & One Clic Conseil - 2014 41
Des réflexes à acquérirPour éviter les situations délicates
Mises à jour
• Système : Dans le cas d’un serveur dédié.
• Applicatives : CMS, plugins et/ou librairies utilisés.
Sauvegardes
• Faites des sauvegardes régulières et automatisées.
Backup-manager, scripts personnalisés, il existe des solutions.
Vérifiez vos sauvegardes (intégrité et disponibilité)
Veille technologique
• Réseaux sociaux, listes de diffusion spécialisées.
Plan de reprise d’activité
© 6ix IT & One Clic Conseil - 2014 42
Une problématique complexeEt de nombreux acteurs impliqués
Plusieurs types de compétences requises :
• Sécurité
• Référencement
• Juridique
Les marques ne sont pas inactives, Google non plus :
• DMCA
• Mise en avant de sites de marques
• …
© 6ix IT & One Clic Conseil - 2014 43
Des questions ?
Bing
?
trafic
SEO
ranking
liens
Yandex
contenu
Merci de votre attention
© 6ix IT & One Clic Conseil - 2014 44
Crédits photo
Flickr
• http://www.flickr.com/photos/nofrillsexcursions/8542436550
• http://www.flickr.com/photos/seanfx/5092674036/
• http://www.flickr.com/photos/aidanmorgan/3219967086/
• http://www.flickr.com/photos/111692634@N04/11406964255/
• http://www.flickr.com/photos/80893226@N00/4798350373/