L’ère numérique apporte des merveilles, mais elle comporte également son lot de défis. L’un de ces défis est la sécurité sur le Web, notamment en ce qui concerne le phishing et l’escroquerie. Pour combattre ces menaces, divers outils et organisations sont à l’œuvre, dont Netcraft. Cette entité s’efforce de faire d’Internet un lieu sûr pour tous, en identifiant et signalant les sites frauduleux, ce qui peut aboutir à leur suspension.
Pour commencer, qu’est-ce que Netcraft ?
Netcraft : Une solution de cybersécurité
Netcraft est une entreprise de cybersécurité basée au Royaume-Uni, spécialisée dans la détection des cybermenaces. Elle fournit une variété de services dont :
- La détection de sites de phishing
- Le signalement d’escroqueries potentielles
- La mise en évidence des sites piratés
Ces services sont vitaux pour maintenir l’ordre et la sécurité dans le paysage numérique.
Les conséquences d’un signalement Netcraft, suspension et blocage
Lorsqu’un site est signalé par Netcraft, plusieurs actions peuvent en découler :
- Le site peut être mis hors ligne temporairement ou définitivement
- Une erreur 503 ou 504 peut être affichée, indiquant une indisponibilité du serveur
- Dans certains cas, le site est suspendu par l’hébergeur, bloquant ainsi tout accès à son contenu
Ces mesures drastiques sont prises pour protéger les utilisateurs contre les menaces potentielles que peuvent représenter ces sites frauduleux.
Comment un site est-il signalé et suspendu ?
Le processus de signalement et de suspension est complexe mais nécessaire pour garantir la sécurité en ligne. Voici comment cela se déroule en général :
- Détection: Netcraft utilise diverses techniques et technologies pour identifier les sites suspectés de phishing ou d’escroquerie.
- Signalement: Une fois un site suspect identifié, Netcraft le signale à l’entité responsable, souvent l’hébergeur du site.
- Examen: L’hébergeur examine ensuite le signalement et le site en question pour confirmer les suspicions de Netcraft.
- Action: Si l’hébergeur estime que le signalement est justifié, il peut décider de suspendre ou de bloquer le site, le mettant ainsi hors ligne. Les utilisateurs qui tentent d’accéder au site peuvent rencontrer une erreur 503 ou 504.
Le rôle de Netcraft dans ce processus est crucial pour assurer la sécurité des utilisateurs sur le web. En signalant les sites douteux, cette entreprise contribue à maintenir la confiance dans l’Internet comme espace d’échange d’informations et de services.
Votre site internet est suspendu ou en maintenance forcée
Si votre site est suspendu par votre hébergeur, vous avez probablement reçu un email de ce dernier. Sur certains hébergeurs vous pouvez être contacté par l’intermédiaire d’un ticket de support. Dans ce message, le support doit vous donner la raison de cette suspension. Les causes peuvent être variées :
- Des malwares : Ces logiciels malveillants peuvent infecter les ordinateurs des visiteurs de votre site, menant souvent à des dégâts matériels ou à des vols d’information.
- Redirection d’URL : Si votre site redirige les utilisateurs vers des sites web frauduleux ou malveillants, il sera signalé.
- Cloaking : Il s’agit d’une technique où le contenu présenté aux moteurs de recherche diffère de celui présenté aux visiteurs. Elle est souvent utilisée pour tromper les moteurs de recherche et améliorer le classement SEO d’un site de manière déloyale.
- Contenu dissimulé : Cela se réfère au contenu caché sur votre site qui n’est pas visible par les utilisateurs normaux mais qui peut être utilisé pour des activités malveillantes.
Exemple d’email de suspension de site par Netcraft
Dans ces mails, on constate d’un lien qui redirige vers developer.mozilla.org et qui est destiné aux développeurs. En effet, il vous est proposé de tester une commande « curl » pour constater le résultat de la requête et de ce que Netcraft a détecté.
Mail en provenance de abuse.ovh.net suite à un signalement Netcraft
Vous avez un site à désinfecter ou à sécuriser ?
Consultez nos avis clients
Comment utiliser la commande curl pour tester votre site
Vous vous êtes probablement rendu sur le lien présent dans le mail et vous êtes tombé sur ceci :
L’un des outils recommandés par Netcraft lorsqu’un signalement est émis est l’utilisation de la commande curl
. En particulier, la commande curl -X OPTIONS https://example.org -i
peut vous aider à comprendre les problèmes potentiels avec votre site. Examinons ce que cette commande signifie et comment l’utiliser.
La commande curl
est un outil de ligne de commande utilisé pour transférer des données depuis ou vers un serveur. Elle supporte une multitude de protocoles, dont HTTP et HTTPS. En utilisant cette commande, vous pouvez émettre des requêtes HTTP et recevoir des réponses, ce qui vous aide à comprendre comment votre site interagit avec les utilisateurs et les moteurs de recherche.
Dans la commande curl -X OPTIONS https://example.org -i
, plusieurs éléments méritent une explication détaillée.
-X OPTIONS
:-X
est une option de la commandecurl
qui permet de spécifier une méthode HTTP personnalisée à utiliser lors de la communication avec le serveur. Dans ce cas, la méthodeOPTIONS
est utilisée. La méthodeOPTIONS
est une requête HTTP qui retourne les méthodes HTTP que le serveur supporte pour une URL spécifiée. Cela peut vous aider à comprendre si certaines fonctionnalités de votre site sont désactivées ou mal configurées.https://example.org
: C’est l’URL que vous testez. Vous devez remplacerexample.org
par l’URL de votre propre site.-i
: C’est une autre option de la commandecurl
qui permet d’inclure le protocole de réponse HTTP dans la sortie. Cela signifie que vous verrez non seulement le corps de la réponse (le contenu de la page web), mais aussi les en-têtes de la réponse HTTP, qui peuvent vous donner des informations sur la configuration du serveur, l’état du cache, les cookies, et plus encore.
Pour utiliser cette commande, vous devez avoir accès à une ligne de commande sur votre ordinateur. Sur Windows, vous pouvez utiliser le « Command Prompt » ou « PowerShell ». Sur Mac ou Linux, vous pouvez utiliser « Terminal ». Vous tapez simplement la commande et appuyez sur Entrée, et la réponse sera affichée dans la console.
La compréhension de la sortie nécessite une certaine connaissance des protocoles HTTP et de la structure des en-têtes HTTP. Si vous n’êtes pas sûr de ce que signifient les résultats, il peut être utile de demander l’aide d’un expert en développement web ou en sécurité web.
L’analyse avec curl
est une étape fondamentale pour déterminer le problème sur votre site après un signalement Netcraft. Cela peut vous guider dans la bonne direction pour réparer votre site et le remettre en ligne avant sa suspension définitive.
Interpréter la réponse de la commande curl pour détecter un site piraté
La commande curl -X OPTIONS https://example.org -i
fournit une série d’informations dans sa réponse qui, lorsqu’elles sont correctement interprétées, peuvent vous aider à déterminer si votre site a été piraté.
Par exemple, une réponse normale à une requête OPTIONS pourrait ressembler à ceci :
HTTP/2 200 allow: OPTIONS, GET, HEAD, POST cache-control: max-age=604800 date: Thu, 01 Jul 2021 17:27:06 GMT expires: Thu, 08 Jul 2021 17:27:06 GMT server: EOS (vny/045F) x-frame-options: SAMEORIGIN content-length: 0
Dans cet exemple, on peut voir que le serveur autorise les méthodes OPTIONS, GET, HEAD et POST. Si vous constatez que votre serveur autorise des méthodes inattendues comme PUT, DELETE ou TRACE, cela pourrait indiquer que votre site a été piraté. Ces méthodes peuvent être exploitées par un attaquant pour modifier ou supprimer des données sur votre serveur.
La présence d’en-têtes inattendus peut également indiquer une activité suspecte. Par exemple, si vous voyez un en-tête comme X-Powered-By: PHP/5.3.0
, mais que vous savez que votre site est supposé fonctionner sur une version plus récente de PHP, cela pourrait indiquer que votre site a été piraté et que l’attaquant a installé une ancienne version de PHP pour exploiter une faille de sécurité connue.
Un autre indicateur pourrait être la présence d’un en-tête Server
inattendu. Par exemple, si votre serveur est supposé être Apache, mais que l’en-tête Server
indique Nginx, cela pourrait indiquer que votre serveur a été compromis.
Pour terminer, si votre serveur ne répond pas à la commande curl ou renvoie une erreur 500, cela pourrait également indiquer un problème. Un serveur en bonne santé devrait toujours répondre à une requête OPTIONS avec une liste des méthodes HTTP autorisées. Si ce n’est pas le cas, votre site a peut-être été piraté et le serveur pourrait être contrôlé par un attaquant.
Cependant, ces signes ne sont pas des preuves définitives d’une compromission. Ils sont simplement des indicateurs potentiels qui justifient une enquête plus approfondie.
Autres indications pour vérifier si un site est piraté
Outre l’utilisation de la commande curl, il existe d’autres indicateurs qui peuvent vous aider à déterminer si votre site a été compromis.
Modifications inattendues
Surveillez tout changement inattendu sur votre site. Il peut s’agir d’une modification de l’apparence du site, de nouvelles pages ou posts que vous n’avez pas créés, de redirections vers des sites étrangers, ou de changements dans le code source de votre site.
Activités inhabituelles sur le serveur
Surveillez les logs de votre serveur pour détecter toute activité suspecte. Par exemple, une augmentation soudaine du trafic, surtout s’il provient de sources suspectes, pourrait indiquer une compromission. De même, l’apparition de nouveaux comptes d’utilisateurs, en particulier des comptes administratifs, pourrait indiquer que votre site a été piraté.
Alertes des moteurs de recherche
Les moteurs de recherche comme Google ont des outils pour détecter les sites compromis et les marquer comme potentiellement dangereux. Si vous voyez une alerte de ce type dans les résultats de recherche pour votre site, ou dans votre compte Google Search Console, cela pourrait indiquer une compromission.
Augmentation des plaintes des utilisateurs
Si vous recevez une augmentation soudaine des plaintes des utilisateurs au sujet de problèmes tels que des messages d’erreur, des logiciels malveillants détectés ou des tentatives de phishing, cela pourrait indiquer que votre site a été piraté.
Détection de Malware ou de vulnérabilités par des outils de sécurité
L’utilisation régulière d’outils de sécurité pour scanner votre site à la recherche de malwares ou de vulnérabilités peut aider à détecter une compromission. Des outils tels que Sucuri SiteCheck, Quttera ThreatSign!, ou les outils de scan de Netcraft peuvent être utiles.