Inforisque - Réaliser un audit de son site web avec WebSure

Retour d'expérience après analyse du site Inforisque.info par WebSure.

Pour un site parlant de la sécurité comme Inforisque.info, il était normal de s'assurer de la solidité de la programmation du code. Nous avons donc volontairement fait examiner le code source à la loupe par le système d'audit WebSure InDeep Audit.

Après signature d'un contrat, un fichier placé sur le site, quelques réglages, les identifiant/mot de passe pour accéder aux parties sécurisées, le moment de l'analyse est fixé.

24-48 heures après, je reçois un rapport complet avec toutes les failles et erreurs trouvées. Verdict, un fichier effacé, une correction dans le php.ini et voilà toutes les failles critiques écartées. Le reste, ce sont des erreurs qui surviennent dans des configurations qui ne sont pas logiques dans le cas d'une utilisation normale du site (paramètre sans valeur...). Donc au final, le site Inforisque.info tient la route du point de vue de la sécurité ; surtout maintenant !!

Mon avis sur ce type d'analyse est que cela s'avère très utile pour un site complet comme Inforisque.info qui comporte beaucoup de paramètres, de pages, et un backoffice à accès restreint. Le rapport fourni est très détaillé :

définition du type de vulnérabilité,
sévérité de la vulnérabilité,
détail de la requête envoyée,
détail du message d'erreur retourné par le navigateur

Il permet aisément de retrouver le paramètre à modifier afin de sécuriser le fichier.

Il faut préciser que l'analyse est très complète, puisque le système d'audit trouve des fichiers qui ne sont pas accessibles, à moins de connaitre l’arborescence exacte du site ; rien ne lui échappe.

Par contre, vous ne devez pas oublier une faille de sécurité, une faille non détectable par WebSure : l'humain... Vous aurez beau avoir le meilleur codage, mais si vos mots de passe ne sont pas assez complexes, il y a toujours le risque de vous faire pirater votre site via l'accès ftp... j'ai déjà vu le cas.