L’optimisation des configurations, un des points clé de la sécurité
Dans un contexte toujours plus menaçant, le système d’information est soumis à rude épreuve. Il est devenu obligatoire aujourd’hui de mettre tout en œuvre pour sécuriser celui-ci.
Que vous soyez RSSI (Responsable de la sécurité des systèmes d’information), administrateur système ou simple développeur, la sécurité doit être votre cheval de bataille ! Si vous ne voulez pas faire la une des journaux parce que votre application super tendance a laissé fuiter les données de ses utilisateurs, alors pensez optimisation.
Le serveur de messagerie électronique
On ne le dira jamais assez, l’humain est la plus grosse vulnérabilité dans une entreprise. Malgré toute la prévention qu’il est possible de faire, le facteur humain reste et restera une faille pour la sécurité. En partant de ce constat, il convient que l’utilisateur ait le moins de questions à se poser. Dans le cas du serveur de messagerie, et donc des emails, l’utilisateur ne doit pas à avoir à se demander si le mail est légitime ou pas, même si la prudence reste de mise. Il est donc du devoir du responsable du serveur SMTP de faire le nécessaire. La première action à réaliser est de choisir le bon antispam. Nous recommandons Altospam si vous êtes propriétaire de votre nom de domaine. Mais l’antispam et l’antivirus ne sont pas les seuls services de sécurité à paramétrer. Afin d’éviter toute usurpation d’identité de votre domaine, il est vivement conseillé de configurer un SPF, un DKIM et même un DMARC.
Leur ajout est assez simple puisqu’il suffit d’entrer un nouvel enregistrement TXT dans la zone DNS de votre domaine. Vous disposez de documentation sur les sites de chaque norme. Toutefois, il est important de tester ces configurations. Il existe divers outils sur Internet, mais NStools est ce qui se fait de mieux à l’heure actuelle. Celui-ci ne va pas seulement analyser votre configuration, il va aussi la vérifier. Ces tests justement vont vous permettre d’optimiser au mieux votre serveur de messagerie afin de pallier toutes sortes de failles de sécurité.
Le serveur web
Autre proie des hackers, le serveur web, celui qui héberge le site web, votre image sur Internet. Il est donc très important de le configurer correctement. La première chose à faire est de mettre à jour le paquet du serveur (Apache, lighttpd, Nginx…) mais aussi le langage de programmation utilisé (Php, Nodejs, Java…). Chaque année, des failles de sécurité sont dévoilées, l’absence de mise à jour entraine donc des risques importants pour votre serveur. La deuxième action à réaliser est de fermer les ports qui ne seront pas utilisés. Pour un serveur web, seuls les ports 80 (http) et 443 (https) doivent être ouverts.
Il vous faudra aussi penser à cacher les versions des technologies utilisées comme par exemple la version d’apache avec les valeurs <ServerTokens Prod> et <ServerSignature Off> ou de php.
La troisième action présentée dans cet article est l’utilisation des entêtes http. De nombreuses failles de sécurité sont dues à l’absence d’entête. Par exemple, l’entête <X-XSS-Protection> va empêcher les attaques par Cross-Site Scripting, c’est-à-dire l’injection de code malveillant dans une page web. Il existe de nombreux autres entêtes qui permettent de combler certaines failles.
Pour finir, même si cette liste n’est pas exhaustive, il faut obliger votre serveur à communiquer uniquement en HTTPS avec ses utilisateurs. Pour cela, il vous faut configurer l’entête <Strict-Transport-Security>. Ce paramétrage évitera toute attaque de type man in the middle.
Il est possible de vérifier ces éléments de sécurité via le site d’analyse NStools (ou NS.Tools en version anglaise). Sachez que celui-ci va tester vos DNS afin de détecter une mauvaise synchronisation ce qui, potentiellement, peut entrainer une incohérence de l’information. Une analyse de la réputation de votre IP ou de votre nom de domaine est également faite par NStools. De plus, il vous est possible d’avoir un aperçu rapide des retours de Virus Total, Google Safe Browsing et de nombreuses RBL (blacklistes).