Vincent Guesnard est CEO de TouchWeb.fr, une société d’infogérance spécialisée dans la supervision système et applicative de sites E-Commerce (Prestashop, Magento et WordPress) réalisant plus de 500 000 euros de transactions par an en ligne.
Tu étudies activement l’activité des hackers depuis des années, comment expliques-tu cette recrudescence de piratages sur les sites e-commerce ?
Je pense qu’il y a beaucoup de facteurs qui s’entremêlent :
- une conjoncture macro-économique qui a mis au chômage beaucoup de cerveaux brillants qui s’ennuient et/ou sont en colère
- un climat géopolitique noirci par le conflit russo-ukrainien qui exacerbe les tensions sur le front numérique
des entreprises toujours plus avides de productivité déraisonnée, qui associent la prudence/sagesse à de la paranoïa inutilement coûteuse, - des équipes de développement dont la pression pour assurer un livrable en flux tendu s’amplifie mais sans avoir les budgets pour y associer un processus de contrôle qualité adapté, sur des systèmes toujours plus complexes,
- une défiance, voire du mépris, de plus en plus fort de la part d’un nombre grandissant de directions contre les techniciens, ce qui démobilise les seniors qui sont remplacés par des juniors à qui l’on impose des visions court-termistes, où la sécurité est trop souvent relayée au second plan.
L’ensemble de ces facteurs a amélioré considérablement le retour sur investissement des hackers, les coûts pour réussir un piratage étant devenu ridiculement bas et les gains explosant.
C’est un vrai jackpot pour les hackers !
On m’aurait dit il y a 2 ans que l’on verrait des juniors travailler sur des fonctionnalités critiques des sites E-Commerce, j’aurais probablement explosé de rire.
Pourtant, en un an, 10 solutions de paiement et 6 transporteurs de renommée nationale et/ou internationale ont mis sur le marché des plugins incluant au moins une vulnérabilité critique faisant peser un risque pour les marchands.
Comme à chaque fois qu’il y a de l’argent facile à prendre, les réseaux criminels se professionnalisent pour en tirer un maximum de profits. En conséquence, on voit de plus en plus de réseaux professionnels mener des attaques toujours plus sophistiquées.
Le court-termisme systémique ambiant impose de devoir vivre des catastrophes avant qu’il ne soit acceptable de bloquer des budgets pour les anticiper.
Trop peu de e-commerçants se sentent concernés par la cybersécurité avant de ne devoir contacter des milliers de clients pour les informer de faire opposition à leurs cartes bleues. Ces mêmes e-commerçants ont l’innocence de penser que ce n’est pas possible.
« La CB n’est collectée que par la banque, impossible que mon site ne soit touché ! » Grave erreur.
Partant du principe qu’une volumétrie bien trop élevée d’e-commerçants ne se sent pas concernée par la cybercriminalité avant d’y être confrontée, et que les cybercriminels l’ont bien intégré, cela ne va nécessairement aller qu’en s’empirant, pour le plus grand bonheur des hackers !
Si l’on se base sur des statistiques et études comparables à d’autres industries, on risque d’être confronté à un cycle de 3 à 4 années difficiles, le temps que les mentalités évoluent.
La marge de manœuvre des hackers est énorme et la plupart des écosystèmes n’adressent toujours que des menaces triviales, sans rentrer dans le dur des vraies menaces à venir dont les attaques par injection XSS qui constituent un véritable challenge pour les prochaines années sur les écosystèmes CMS spécifiquement E-Commerce.
Lorsque le répondant des écosystèmes sera proportionné au niveau de menace, la situation se stabilisera, puis les hackers trouveront d’autres cibles avec un ROI plus favorable.
Parce que c’est bien cela le cœur du sujet : le retour sur investissement, tout le jeu en matière de sécurité consiste à le dégrader le plus possible en la défaveur des hackers pour que les coûts liés au piratage soient supérieurs au gain potentiel.
Est ce que les CMS Open source comme WordPress ou Prestashop sont plus vulnérables aux attaques que des CMS sur le modèle technique Saas, comme l’est Shopify par exemple ?
Il n’est pas possible d’avoir un avis tranché sur la question étant donné que deux visions diamétralement opposées du monde se confrontent sans aucune comparaison possible par manque de data.
Cela serait fallacieux de dire que les CMS Open Source, qui prônent la transparence et le partage et donc communiquent largement sur ces sujets, sont moins sécurisés que des solutions SaaS comme Shopify qui prônent la sécurité par l’obscurité et donc ne communique sur rien.
Nous n’avons aucune data pour le dire, c’est tout le problème de la sécurité par l’obscurité des solutions qui ne sont pas Open Source.
S’il y a bien une chose à retenir des 2 dernières années, c’est que tout le monde est concerné par les problèmes de sécurité, et ceux qui ne communiquent pas dessus sont rarement les plus irréprochables vu que l’on découvre quasiment toujours des fuites sévères de données / vulnérabilités préjudiciables.
Maintenant que ce cadre est posé, nous privilégierons toujours à TouchWeb des solutions qui prônent une transparence absolue sur ces sujets sensibles, seule manière selon nous d’avoir un capital confiance préservé sur la durée et in fine de garantir une souveraineté compatible avec le RGPD.
Ton activité d’infogérance est en 1ère ligne pour servir de rempart contre les tentatives de piratages. Peux-tu nous expliquer pourquoi ?
Pour répondre à cette question, il faut bien comprendre qu’Internet n’est ni plus ni moins qu’une gigantesque tuyauterie où de « l’eau » circule en permanence.
Si un tiers malveillant (hacker) déverse du poison dans l’un des tuyaux, il peut souvent être détecté bien en amont du point de livraison et donc avant d’impacter le site e-commerce – au niveau hébergement.
Les infogérances qui vendent une expertise secops / devsecops (c’est une méthode de gestion qui fait le lien entre équipes de sécurité et d’exploitation) vendent de fait dans ce schéma, une unité de contrôle qualité et de retraitement de l’eau.
Evidemment, aucun professionnel au monde n’est en mesure de détecter 100% des poisons et/ou d’atténuer à 100% leurs toxicités, néanmoins, nous travaillons activement à en détecter le plus possible, et à défaut, à atténuer le plus possible la toxicité pour les sites e-commerce.
Les hébergeurs tels qu’OVHCloud nous aident également au mieux sur ces sujets, sur des strates inférieures.
Quelles sont les solutions que tu mets en place sur les sites de tes clients pour limiter les tentatives de piratage ?
Chez TouchWeb, nous avons une approche 360° de la cybersécurité : toute la data à disposition est exploitée pour prévenir et protéger.
Comme la plupart de nos confrères, nous avons les process standards à ce sujet : analyse anti-virale, anti-malware, firewall applicatif. Mais si on doit retenir quelque chose de 2022, c’est que tout cela ne répond plus au besoin, vu que cela ne permet pas d’anticiper réellement les risques à venir avec des hackers qui investissent massivement contre les écosystèmes e-commerce.
Nous avons déployé beaucoup d’énergie à concevoir des outils préventifs en plus des outils curatifs.
Pour les points clés :
- Analyse active des sources : nous avons industrialisé la surveillance dans les fichiers des biais de conception de développeurs PHP juniors et confirmés pour détecter proactivement les vulnérabilités critiques de sécurité qu’ils génèrent – que l’on auto-corrige (expertise devsecops) tout en les formant sur ces sujets sensibles
- Agression automatisée des infrastructures : chaque jour, nous stressons nos mécaniques actives de défense pour constater qu’elles répondent au besoin et nous testons différents patterns pour détecter proactivement des critiques sécurité générées par les développeurs de nos clients – Grâce à nos grands comptes, nous avons également la chance d’avoir un test mensuel d’intrusion complet de la société Qualys – spécialiste mondialement reconnu en cybersécurité – qui nous challenge.
- Écoute active des signaux faibles : je ne pourrais pas en dire plus car cela doit rester nébuleux comme sujet pour des raisons de sécurité, néanmoins, sans rentrer dans les détails, nous avons déconstruit le mode opératoire de bons nombres de groupes de hackers, ce qui nous permet de surveiller finement ce qu’ils observent avant d’attaquer – cela permet de traiter les faiblesses 24 à 96h avant qu’elles ne soient exploitées
- Nous travaillons en synergie avec notre réseau professionnel composé d’agences et de freelances, ce qui nous permet d’agréger toujours plus de données pour améliorer la supervision, autant système qu’applicative.
A propos de Touchweb
Nous vendons de la tranquillité d’esprit à nos clients en travaillant la résilience de leurs projets sur un large spectre d’incidents et de moments clés (refonte), qui va de l’erreur humaine au piratage, en passant par des pannes aussi diverses que variées de leurs hébergements et/ou de leurs dépendances.
Nos garanties de réparation sous délai restreint sont soumises à pénalités (10% de pénalité par quart d’heure de retard) – une mécanique qui permet d’avoir la certitude que la réparation sera effectuée avec diligence 🙂