Transcription of PREMIER MINISTRE - ssi.gouv.fr
1 DAT-NT-009/ANSSI/SDEP R E M I E R M I N I S T R ESecr tariat g n ralParis, le 13 ao t 2013de la d fenseet de la s curit nationaleNoDAT-NT-009/ANSSI/SDE/NPAgence nationale de la s curit Nombre de pages du documentdes syst mes d information(y compris cette page) : 23 Note techniqueRecommandations pour la s curisation des sites webPublic vis :D veloppeurXAdministrateurXRSSIXDSIU tilisateurInformationsAvertissementCe document r dig par l ANSSI pr sente les Recommandations pour la s curisationdes sites web . Il est t l chargeable sur le site Il constitue une productionoriginale de l ANSSI. Il est ce titre plac sous le r gime de la Licence ouverte publi e parla mission Etalab ( ).
2 Il est par cons quent diffusable sans recommandations sont livr es en l tat et adapt es aux menaces au jour de leur publi-cation. Au regard de la diversit des syst mes d information, l ANSSI ne peut garantir que cesinformations puissent tre reprises sans adaptation sur les syst mes d information cibles. Danstous les cas, la pertinence de l impl mentation des l ments propos s par l ANSSI doit tresoumise, au pr alable, la validation de l administrateur du syst me et/ou des personnes encharge de la s curit des syst mes d ayant contribu la r daction de ce document:ContributeursR dig parApprouv parDateBSS, BAS, BAI,FRI, LAMDATSDE13 ao t 2013 volutions du document :VersionDateNature des avril 2013 Version ao t 2013 Corrections et pr cisions mineures, notammentsur TLSPour toute remarque.
3 ContactAdresse@m lT l phoneBureau Communicationde l ANSSI51 bd de LaTour-Maubourg75700 Paris Cedex07 71 75 84 04 NoDAT-NT-009/ANSSI/SDE/NP du 13 ao t 2013 Page 1 sur 22 Table des mati res1 Avant-propos32 Pr Infrastructure .. Architecture .. Configuration .. Code applicatif du site .. Gestion des entr es .. Logique applicative .. 143 R M ta-informations .. D tection des incidents .. Surveillance .. Journalisation .. Conduite tenir en cas d incident .. 214 Compl ments d information22 NoDAT-NT-009/ANSSI/SDE/NP du 13 ao t 2013 Page 2 sur 221 Avant-proposLes sites web sont par nature des l ments tr s expos s du syst me d information.
4 Leur s curisationrev t une grande importance, et ce plusieurs menaces les plus connues pesant sur les sites web sont les d figurations et les d nis de d figuration est une attaque par laquelle une personne malveillante modifie le site pour remplacerle contenu l gitime par un contenu qu il choisit, par exemple pour relayer un message politique, pourd nigrer le propri taire du site ou simplement, pour revendiquer son attaque comme preuve d unsavoir-faire. Un d ni de service a quant lui pour objet de rendre le site attaqu indisponible pour sesutilisateurs l gitimes. Dans les deux cas, l impact sur le propri taire du site est videmment un d ficitd image et, pour le cas d un site servant de support une activit lucrative, un manque ne faut toutefois pas n gliger les sc narios d attaques plus insidieux.
5 Il est possible qu un individumalveillant se serve d un site web comme une porte d entr e vers le syst me d information de l h ber-geur ou, plus g n ralement, de l entit qui appartient le site. Par ailleurs, un site peut tre utilis comme relai dans une attaque labor e vers un syst me tiers ou comme d p t de contenus ill gaux,ces situations tant susceptibles de mettre l exploitant l gitime du site en difficult . Enfin, une attaquesur un site peut aussi viser tendre un pi ge aux clients habituels de ce site, qui sont souvent lesemploy s du propri taire du site ou de ses partenaires. Ainsi, l externalisation de l h bergement d unsite ne permet pas de transf rer l ensemble des risques d intrusion au syst me d information de l h -bergeur.
6 Toutes ces attaques ont en commun de rechercher, contrairement celles voqu es plus haut,une certaine discr tion et peuvent par cons quent rester insoup onn es pendant de longues p protection contre ces menaces passe la fois par des mesures pr ventives et par des m canismespermettant de d tecter les tentatives d Pr ventionCette section liste les principales mesures permettant de renforcer les protections d un site webcontre les attaques. Elle n est aucunement exhaustive mais permet de rappeler les principes classique-ment admis comme devant pr sider la mise en place d un site web. Les recommandations doiventbien entendu tre adapt es et d clin es en fonction du contexte d InfrastructureUne premi re s rie de pr cautions peuvent tre prises au niveau du syst me (mat riel et logiciel)h bergeant le ArchitectureD fense en profondeurLe principe g n ral de d fense en profondeur s applique videmment aussi aux sites web.
7 Il estpar cons quent conseill de mettre en uvre plusieurs mesures de protection ind pendantes face auxmenaces envisag es. Il est souvent beaucoup plus facile d appliquer ce principe si le syst me s curiserest d coup en l ments nettement s par s, aux interactions bien d finies et poss dant chacun leurspropres m canismes de s curit .Les architectures de type n-tiers par exemple se pr tent bien une telle approche. Pour tirerprofit d une telle architecture en terme de s curit , il convient videmment de ne pas concentrer toutesNoDAT-NT-009/ANSSI/SDE/NP du 13 ao t 2013 Page 3 sur 22les mesures de s curit sur le tiers pr sentation. Au contraire, chaque composant doit assurer sapropre d coupage en composants isol s devrait id alement ne pas tre que conceptuel mais se refl ter surl organisation de l architecture mat rielle et logicielle de la solution d h bergement.
8 Selon le contexteet les moyens disponibles, on peut par exemple dissocier les diff rents tiers sur des machines distinctesen filtrant les changes entre elles par des quipements de filtrage r seau ou plus simplement recourir un cloisonnement au sein d une m me machine en utilisant des processus distincts ou des solutionsde confinement telles que vServer, LXC, architecture mat rielle et logicielle du site web et de son infrastructure d h bergementdoit respecter le principe de d fense en l ment qui participe la d fense en profondeur est le filtrage par un pare-feu web ( WAF :Web Application Firewall ). Une telle mesure ne permet en aucun cas de se dispenser de la s curisationdu site mais apporte une barri re de protection suppl implantations de pare-feu web existent : certains prennent la forme de composants r seaupris sur tag re (COTS1), d autres sont des l ments logiciels greffer2sur le serveur web ou surun serveur mandataire inverse ( reverse proxy ) plac devant le site web.
9 La logique peut soit tre un mod le de s curit n gatif (liste noire), o seules les requ tes correspondant une signatured attaque connue sont rejet es, soit un mod le de s curit positif (liste blanche), o seules les requ tescorrespondant aux fonctionnement l gitime de l application sont accept es. L approche positive apporteg n ralement une meilleure s curit au prix d une configuration plus logicielsLa plupart des sites web utilisent un grand nombre de composants logiciels : syst me d exploitationet serveur web mais aussi syst me de gestion de contenu et ses greffons, biblioth ques Java ou PHP , syst me de gestion de base de donn es, modules du serveur web, nombreuses attaques sur les sites web aboutissent en exploitant des vuln rabilit s dans lescomposants logiciels tiers et non pas dans le code sp cifique au site.
10 Un tel sc nario est particuli rementregrettable lorsque le logiciel exploit est pr sent mais non utilis : il convient de r duire la surfaced attaque en supprimant par exemple les greffons inutiles des syst mes de gestion de composants applicatifs employ s doivent tre limit s au strict n composants applicatifs employ s doivent tre recens s et maintenus canismes d administrationLes m canismes d administration des sites web sont par nature des l ments sensibles dont l expo-sition doit tre limit e. Il convient donc de privil gier les protocoles s curis s tels que SSH (notammentSFTP).1. Commercial Off The On peut par exemple citer, pour les produits open-source, les modules Modsecurity (pour Apache, IIS et Nginx)ou Naxsi (pour Nginx).
