Il existe de nombreux logiciels, le plus souvent gratuits, qui vous informent sur la robustesse de vos sites Web et tentent de détecter les failles éventuelles, qui vous exposent aux « facéties » des hackers. D’autres sont plus spécialisés, tel que le très intéressant SSL Server Test de Quays, qui lui va chercher à savoir si vous utilisez correctement les mécanismes de chiffrements et certificats SSL/TLS, et si là encore, vous ne vous exposez pas de manière inutile.

Cette fois, il s’agit d’autre chose. D’un logiciel d’audit, proposé par Mozilla, qui effectue une véritable introspection de vos sites, pour déterminer si vous utilisez les bons outils pour vous protéger, vous et les clients qui se rendent sur votre site. Au-delà donc de SSL/TLS.

Peu de sites passent au travers des mailles du filet

Ce qui est gênant dans l’utilitaire de Mozilla, qui, on le rappelle est une communauté Open Source, c’est qu’il détecte si oui ou non il exploite un certain nombre de produits dédiés sécurité, qui pour certains sont peu connus du commun des mortels.

Cet outil, qui est gratuit, fonctionne en mode SaaS et il suffit que vous précisiez une URL, pour qu’il effectue l’analyse, pour laquelle il a été conçu. Les résultats selon ce que vous déciderez, venant on non grossir une base de données publique, une sorte de base de donnaissances.

Ce service, qui porte le nom de « Dubbed Observatory » a été développé par Avril King, un spécialiste de la sécurité de Mozilla, d’abord pour des besoins internes à l’organisation, puis, poussé par Mozilla, a été mis à la disposition de l’ensemble des utilisateurs, dans la grande tradition de l’Open Source.

L’utilitaire « Dubbed Observatory » effectue une série de 11 tests, correspondant à des fonctionnalités et à des menaces bien précises, pour s’assurer que non seulement le site a eu la bonne idée l’intégrer les outils pour se protéger, mais aussi pour contrôler si ce travail a été fait dans les règles de l’art.

Nous avons effectué l’analyse du site www.mozilla.org et surprise, il n’a obtenu que 45 points sur 100 et n’a passé que 6 tests avec succès sur 11. Mais comparé à la plupart des autres sites, il se situe néanmoins dans la très bonne moyenne.
Quant au site www.hsbc.com, une banque, il a été évalué à F et a obtenu la valeur de 0. Bravo.
  • Content Security Policy : évite un certain nombre d’attaques de type CSS (Cross-Site Scripting) ou « clickjacking », qui consiste à vous soutirer des informations confidentielles
  • contribute.json est un fichier json, placé à la racine de votre site, qui peut aider les équipes de…Mozilla à détecter les faiblesses plus rapidement
  • certains attributs de cookies, tels que secure ou HttpOnly, peuvent vous protéger des vols, mais il y en a d’autres
  • Cross-origin Resource Sharing : il est important de configurer correctement le fichier CORS pour empêcher les sites externes d’accéder à vos données privées
  • HTTP Public Key Pinning (HPKP) qui demande au client d’associer une clé publique avec un serveur, pour éviter les attaques avec des certificats contrefaits
  • HTTP Strict Transport Security pour exiger des utilisateurs qu’ils se connectent en mode HTTPS
  • La redirection vers un site HTTPS
  • Subresource integrity, qui vous protège contre la modification malveillante de feuilles de styles et fichiers JavaScripts, stockés sur des serveurs CDN
  •  X-Frame Option qui précise si une ressource peut être chargée ou non dans une i-frame ou un cadre
  • X-Content-Type-options qui vous protège contre les attaques fondées sur des types MIME anormaux
  • X-XSS qui protège contre les attaques XSS (Cross Scripting), toujours utilisable, bien qu’il ait été remplacé par le « Content Security Policy ».

A l’issue de son audit, le service de Mozilla, attribue une note aux sites analysés et rejoint en cela ce que pratique déjà le scanner SSL/TLS de Qualys, qu’il double par une évaluation de F à A+.

Au départ, chaque site Web reçoit une valeur 100, qui est réduite ou augmentée selon qu’il passe ou non les différentes étapes du test. La note globale ne peut pas être supérieure à 130.

Le classement est calculé de manière très simple. Si le site a plus de 100, il est A+, s’il se situe entre 90 et 99, il vaut A et tout en bas de l’échelle, s’il n’a obtenu qu’entre 0 et 24, il sera évalué à F. Honte à lui.

Le prosélytisme dans le bon sens

Plus qu’un outil d’audit, le service « Dubbed Observatory » nous semble avoir surtout une vocation d’évangélisation sur les aspects sécurité des sites Web.

Car dans la grande majorité des cas, ceux-ci sont fabriqués en dehors de toute préoccupation sécuritaire, le plus souvent par des agences extérieures aux entreprises, pilotées par les services « communication », qui n’ont aucune compétence en la matière.

Ce que confirme d’une certaine manière les résultats obtenus par 1,5 million de sites Web scrutés par Mozilla, parmi lesquels moins de 10 % ont passé les tests avec succès.

Il y a cependant quelque chose de très gênant dans cet outil, tel que l’a conçu Mozilla. C’est le fait que n’importe qui peut lancer une analyse sur n’importe quel site, celui de la Maison Blanche, si cela vous chante et donc obtenir des informations très précieuses, si vous êtes vous-même un hacker.

Aussi s’il fallait évaluer l’intérêt d’un tel système d’audit, nous ne lui donnerions pas plus de 50…