Futurezone - Sécurité informatique, Programmation, GNU/Linux, Développement Web...

Service d'audit de sécurité

Par 4n9e le 29-07-2005

FutureZone propose un service destiné a verifier la présence de vulnérabilités sur les sites Web

Un nouveau service est proposé aux membres de FutureZone.
Si vous êtes Webmaster, que vous administrez un site Web, un forum, un blog, vous pouvez dès à présent demander un audit sur la sécurité de votre site. Cet audit a pour but de vous donner un aperçu des failles potentielles que pourrait utiliser un attaquant qui s'en prendrait a votre site.

Sommaire :
I. Démarche
II. Audit
III. Authenticité
III. 1. Vérification d'authenticité

I. Démarche

Vous devez être un membre inscrit sur le forum de FutureZone.
La demande se fait en envoyant un mail à 4n9e@futurezone.biz
Ce mail doit contenir :

la demande formulée en bon français
l'adresse du site à auditer
éventuellement, un point en particulier à vérifier sur le site
une adresse e-mail valide que vous consultez régulièrement.

Les adresses Hotmail ou MSN sont refusées.
Les résultats de l'audit ainsi qu'un certificat vous y seront envoyés.
****

A réception de cette demande, il sera procédé à quelques vérifications dans le but de s'assurer que vous êtes bien propriétaire du site en question.
Il vous sera enfin envoyé un message privé sur le forum de FutureZone afin que vous confirmiez l'audit.
Sans cette confirmation de votre part, il ne sera procédé a aucun audit.
****

Dans un délai de quelques heures à quelques jours, vous recevrez les résultats avec les conseils éventuels afin de renforcer votre sécurité, ainsi qu'une bannière (voir plus bas) que vous pourrez ajouter si vous le souhaitez sur votre site.

II. Audit

Les tests porteront sur les vulnérabilités liées au serveur, aux technologies deployées (CGI, PHP, SSL...), bases de données (SQL...), injections, cross site scripting, .htaccess, intégrité des codes sources de scripts, solidité des formulaires d'authentification et des mots de passe.
L'ensemble de ces tests ne présente aucun danger pour le site. Toutefois, il est possible que certains occasionnent quelques désagréments prévisibles (les logs d'administration vous montreront sans doute quelques éléments étranges dus aux tests, comme des erreurs de login a répétition par exemple)

III. Authenticité

Il est possible de vérifier si un certificat délivré à un site web qui aurait demandé un audit de sécurité est valide, ou falsifié.
Cette vérification n'est qu'un simple élément du certificat. En effet, une empreinte cryptée y est incluse par stéganographie. Celle ci est unique pour le site qui a reçu le certificat.

III. 1. Vérification d'authenticité

le certificat se trouve en bas à gauche, comme sur l'exemple :

Il ne reste plus qu'à comparer la valeur inscrite sur la bannière, et celle que le moteur vient de vous donner.

URL du site :

Certificat :