Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  03.08.2022      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Un serveur mutualisé est un serveur partagé entre de nombreux sites Web (jusqu’à des milliers à des dizaines de milliers) pour des raisons de taille (genre petits sites Web personnels d’une seule page) et d’économie (location partagée du serveur ou serveurs gratuits de Fournisseur d'Accès Internet [FAI]).

En sécurité informatique (antispams, anti-malveillances, antivirus, stop-tracking, anti-escroqueries, anti-pornographie, anti-pédophilie, antidrogues, anti-médicaments, anti-cigarettes, anti-armes, anti-amoralités, etc.), il nous arrive d’identifier un site Web dont il faut bloquer l’accès (l’inscrire dans différentes listes noires).

Ces sites Web sont nativement malveillants (développés par des cybercriminels à l'abri (planqués) dans des iles du Pacifique) ou hackés (modifiés) grâce à l’exploitation de failles de sécurité au niveau des technologies utilisées (dont celles des logiciels serveur eux-mêmes). Liste des correctifs aux failles de sécurité, au jour le jour.

Il peut advenir des conséquences terribles aux autres sites Web hébergés sur le même serveur mutualisé, et qui n’ont rien à voir avec le site Web malveillant sujet au blocage. Le blocage par adresse IP bloque la totalité des sites hébergés sur ce serveur. C'est le serveur en lui-même qui est bloqué, pas un site Web en particulier. Ce sont tous les sites présents sur ce serveur qui sont bloqués en même temps.

La seule solution, pour les autres administrateurs des autres sites Web, dès qu’ils s’en aperçoivent ou sont prévenus par leurs visiteurs, est de prévenir l’administrateur du serveur qui doit :

  • Identifier la faille de sécurité éventuelle qui a permis de hacker un site hébergé sur son serveur (voir l’inventaire au jour le jour des correctifs aux failles de sécurité).

  • Supprimer le site Web pénalisant le serveur.

  • Prévenir les administrateurs des listes noires que le problème a été résolu.

Toutefois, certaines listes noires ne sont pas gérées manuellement par leurs administrateurs, compte tenu de l’énorme quantité d’opérations de maintenance qu’il faudrait exécuter alors que ces listes sont souvent gratuites et administrées par des passionnés qui ont leurs propres vies privées et leurs propres métiers par ailleurs. Donc certaines listes ont des mécanismes de suppressions automatiques des inscriptions automatiques (par un crowdsourcing de confiance), par exemple au bout de 3 mois.

Il est donc dramatiquement indispensable, pour un auteur d’un site Web, de choisir méticuleusement un serveur mutualisé très bien entretenu par une équipe de professionnels travaillant 24/24 7/7 (il arrive régulièrement qu’un serveur soit bloqué en fin de semaine et ne sera pas débloqué avant le lundi ou le mardi suivant). Il s’agit donc d’utiliser (d’être client, payant) un serveur d’un hébergeur ayant un comportement professionnel.

Partager le serveur personnel de quelqu’un qui en a fait un sur son propre ordinateur domestique, chez lui, est une solution, probablement gratuite, mais qui n’a aucune chance de rendre un site Web accessible 24/24 7/7 durant des années.

Des solutions de logiciels serveur clé en main existent, dont :

  1. Caddy. Site officiel

  2. EasyPHP. Site officiel

  3. Laragon (Laravel). Site officiel

  4. Tiny Web Server. Site officiel

  5. UwAmp. Site officiel

  6. Wamp64 (appelé également WampServer). Site officiel

  7. Web serveur PHP par The PHP Group. Site officiel

  8. XAMPP. Site officiel

  9. Etc.