[forumactif]Sécurité - Comment éviter le piratage de votre forum ou de votre compte.

Date d'inscription: 15/01/2011

Préambule relatif aux droits d'auteur :

Vous pouvez recopier librement le contenu de ce message à une unique condition :

- Laisser le contenu tel quel. Y compris ce préambule.

Origine du sujet : School of Pub / Sécurité - Comment éviter le piratage de votre forum ou de votre compte.

***** ***** ***** ***** ***** ***** ***** ***** *****

Bonsoir !

Je vois par ci, par là, des rumeurs selon lesquelles tel ou tel forum aurait été piraté. Et des gens qui s'affolent pensant que cela était impossible.

Je vais remettre les pendules à l'heure en essayant d'expliquer quels sont les risques sur un forum ForumActif.
Bien que je ne parlerais que des forums hébergés chez ForumActif, l'approche reste la même quel que soit l'hébergeur.

Pour commencer, même en cas de piratage d'un forum, nous avons les moyens de réparer rapidement la plupart voire la totalité des dégâts provoqués grâce au forum de support. Y compris quand le forum est supprimé par le pirate.
Ensuite il faut garder à l'esprit que nos forums sont sécurisés de diverses manières.

La quasi-totalité des actes de piratage sont dus à un ou plusieurs de ces facteurs :
- Négligence ou maladresse du fondateur, ou d'un de ses administrateurs.
- Conflit entre administrateurs.

Il y a une règle d'or que le fondateur devra respecter pour assurer la sécurité de son forum.
Garder secrète l'adresse de fondation du forum.
Tant que cette adresse est inconnue, aucun pirate aussi habile qu'il soit ne pourra provoquer de dégâts irréparables.

Comment protéger l'adresse de fondation ?

- Elle doit être différente de l'adresse entrée sur le profil du fondateur.
- Elle doit être différente de l'adresse utilisée pour le compte Servimg associé au forum. (Divers/Hébergement d'image)
- Elle doit être différente de l'adresse indiquée à Panneau Admin/Général/Email et formulaire de contact.
- En clair, l'adresse de fondation ne doit apparaître nulle part sur le forum et nulle part sur le panneau admin.
- Elle doit si possible être différente de celle que vous communiquez à vos contacts.
- Et bien sûr elle ne doit pas être communiquée dans un message accessible à de nombreuses personnes.
- D'autre part je déconseille les adresses hotmail. Il semblerait qu'elles soient plus faciles à pirater que celles d'autres fournisseurs.

-> Le moyen le plus simple de ne rien oublier est de créer votre forum avec l'adresse que vous voudrez garder sur le profil du compte fondateur et de modifier rapidement l'adresse de fondation grâce aux outils du fondateur.

Une fois l'adresse de fondation sécurisée, tout dégât provoqué par un piratage du forum sera réparé relativement facilement tant que le fondateur gardera l'accès aux outils.

Quels sont les dégâts possibles suite à un piratage de compte ?

1/ Le piratage d'un compte modérateur provoquera uniquement des dégâts sur les messages ou les sujets. Dans certains cas, un tel piratage peut aussi conduire à un bannissement de membres, mais uniquement si la fonction de bannissement est activée pour les modérateurs.
-> Le piratage d'un compte modérateur entraine des dommages modérés facilement réparés par une restauration du forum et ceci sans aucune perte de messages s'il est lancé au bon moment (juste après une sauvegarde automatique)

2/ Le piratage d'un compte administrateur peut faire des dégâts bien plus importants puisque via le panneau d'admin on peut supprimer entièrement certains sous-forums, supprimer les comptes et bannir le compte des membres ainsi que l'adresse ip du fondateur. Le pirate pourra aussi changer le design du forum en modifiant le thème et/ou le css du forum.
-> Le piratage d'un compte administrateur entraine des dommages sévères mais facilement réparés par une restauration du forum et ceci sans aucune perte de messages ou de comptes s'il est lancé au bon moment.

3/ Le piratage du compte fondateur est le plus grave puisque l'indélicat pourra aller jusqu'à modifier l'adresse du forum voire supprimer le forum. Et bien évidemment, il pourra faire ce que n'importe quel admin pourrait faire.
-> Le piratage du compte fondateur entraine des dommages critiques mais facilement réparés par une restauration du forum et ceci sans aucune perte de messages ou de comptes s'il est lancé au bon moment. Il est toutefois conseillé de faire une sauvegarde de chaque template ayant subi des modifications (phpBB2 et punBB uniquement) ainsi que la feuille de style CSS (toutes versions).

4/ Le piratage d'un compte standard ne provoquera que des dégâts mineurs. Le pire qu'il puisse arriver est que le pirate édite les messages du membre quand cela est autorisé (n'importe quel membre peut éditer ses messages tant que le sujet n'est pas verrouillé et que l'édition est autorisée aux membres)
-> Le piratage d'un compte standard entraine des dommages mineurs et facilement réparés par une restauration du forum et ceci sans aucune perte de messages s'il est lancé au bon moment.

Comment choisir un bon mot de passe ?
Une deuxième règle d'or concerne le choix des mots de passe. Et celle ci concerne toute l'équipe d'un forum et plus uniquement le fondateur.
Je vous renvoie à la lecture de ces deux sujets qui abordent le problème de la sécurité. Bien que de source différente, ils disent à peu près la même chose.
http://www.securite-informatique.gouv.fr/gp_article45.html
http://securinet.free.fr/mot-de-passe.html

A mon avis le plus important est de savoir comment les pirates procèdent.
Il existe 3 types majeurs d'attaque toutes décrites dans le premier lien
- Force brute : on essaie successivement toutes les combinaisons possibles, plus le mot de passe est long, plus la méthode devient inefficace d'autant plus que les Forumactif sont protégés contre ce type d'attaque.
- Attaque par dictionnaire ainsi que ses variantes.
- Attaque par ingénierie sociale : Le pirate vous connait et va essayer des mots de passe possibles comme votre date de naissance ou le prénom de membres de votre famille.

Le mot de passe devra être sûr, tant sur le forum en lui même mais aussi et surtout sur les outils du fondateur. En effet pour accéder aux outils on peut saisir au choix l'adresse du forum ou l'email de fondation. Si le mot de passe des outils est piraté, cela devient ensuite un jeu d'enfant de modifier l'email de fondation et d'accéder au forum en réclamant un nouveau mot de passe directement sur l'écran de connexion du forum, voire pour les plus gonflés sur le forum de support de l'hébergeur.
Si le compte qu'utilise le fondateur pour poster n'est pas le compte fondateur, veiller à ce que les passes soient différents. C'est le cas sur de nombreux forums JdR ainsi que sur les forums où le fondateur a pris certaines précautions pour le cas où il souhaiterait par la suite transmettre son forum tout en y restant membre "standard".

Le dernier point consiste à bien choisir son staff et surtout les administrateurs vu que ce sont eux qui peuvent provoquer le plus de dégâts.

Et que faire si le fondateur perd l'accès aux outils et à son forum ?

- Ne pas paniquer et garder son sang froid, y compris si vous avez déjà pu constater d'importants dégâts sur votre forum.
- Modifier au plus vite votre mot de passe partout où il est le même que votre adresse de fondation (si perte d'accès aux outils) ou que votre compte forum (si vous avez encore accès aux outils). Il va de soi qu'il est de votre intérêt de ne pas utiliser le même passe pour le forum et pour les outils.
- Contacter un ou plusieurs membres de votre équipe pour les rassurer et leur expliquer ce qu'il s'est passé.
- Demander de l'aide sur le forum d'entraide (lien au bas de toutes les pages de n'importe quel forum ForumActif.)
Ensuite il vous restera à suivre les consignes du forum de support qui auront pour but de découvrir si oui ou non, vous êtes bien le fondateur du forum indiqué.

[Si vous avez un soucis, n'hésitez pas à venir poser vos questions par ici]