Website Compromise

Les cybercriminels peuvent compromettre les applications de votre site Web pour voler les données que les utilisateurs fournissent, telles que les informations de carte de paiement sur un site de commerce électronique, ou des informations personnelles d’identification telles que les numéros d’identification gouvernementaux, que les cybercriminels peuvent utiliser pour l’usurpation d’identité et la fraude.

Lorsque les cybercriminels utilisent des cartes de paiement volées, ils effectuent souvent des transactions de faible valeur d’abord pour tester la validité des cartes. Pour ce faire, ils ciblent souvent des sites Web qui acceptent les cartes de paiement. Les sites d’œuvres de charité ou de financement participatif sont populaires en raison de leurs pages de dons. Un site Web compromis peut entraîner pour le propriétaire des frais de cartes de paiement se chiffrant à plusieurs milliers de dollars, uniquement en raison de nombreuses petites transactions de test.

Les sites Web peuvent être détournés pour des raisons politiques, activistes, liées au terrorisme ou pour exercer une pression dans le cadre d’une attaque de cyberextorsion. Le détournement d’un site Web peut également être un moyen pour un pirate de prouver ses compétences. Les cybercriminels peuvent également exploiter un site Web établi en y apportant des modifications qui redirigent le trafic web vers un site malveillant ou frauduleux. C’est une tactique souvent observée dans les escroqueries liées aux cryptomonnaies.

Lorsque les formulaires de sites Web ne sont pas correctement conçus pour valider les données saisies dans leurs champs, les cybercriminels peuvent surcharger le site Web de requêtes automatisées et ainsi provoquer une panne. Pour en savoir plus, voir [LINK to DDoS scenario]

Le nombre de services, de structures et d’applications sur un serveur Web peut rendre difficile l’application régulière et réussie des correctifs de sécurité. Il est très utile de faire appel à un expert tiers pour vérifier de manière indépendante le travail de l’équipe de sécurité chargée de protéger le site Web. Par ailleurs, si votre site web est géré par un fournisseur tiers, l’accord de service établi avec celui-ci devrait inclure une période définie durant laquelle il sera responsable de l’application des correctifs sur vos actifs.

L’utilisation d’un centre de traitement des paiement peut éviter la nécessité de stocker les informations relatives aux cartes de paiement. Un Iframe (ou cadre intégré) peut être utilisé pour incorporer des éléments interactifs sur une page Web afin que les informations sensibles (comme les données de carte de paiement) soient envoyées à un centre de traitement des paiement approprié plutôt que d’être stockées directement sur le site Web. Cette approche limite les informations accessibles à un cybercriminel, même en cas de compromission du site Web.

La mise en place d’un RDC permet la distribution de contenu Web sur une plus grande zone géographique et améliore la sécurité. Les RDC sont souvent dotés d’une résilience supérieure aux mesures de sécurité mises en place par la plupart des organisations. En conséquence, les attaques DDoS sont généralement moins efficaces lorsqu’elles ciblent des sites Web dont le trafic est acheminé par l’entremise d’un RDC.