Sécurité des sites web 100% statiques

Chalut à tous,

J’ai récemment codé un site web entièrement statique (HTML & CSS uniquement).
Je l’ai hébergé en ligne, supposons sur un hébergeur 100% infaillible.

Le mot de passe pour se connecter au compte d’administration du site est très solide (20 caractères alphanumériques, dont un caractère spécial).

Peut-on dire, à l’heure actuelle, que mon site web est infaillible ?

Si non, que pourrait-on imager comme attaques dessus ?

J’ai pensé à l’attaque de la bande passante : un pirate télécharge en continu un fichier lourd du site et utilise ainsi toute la bande passante. Un moindre mal car mon hébergeur est capable de s’en protéger à l’aide de Cloudfare si nécessaire.

Du coup, que pourrait-on imager d’autre ?

Je pose cette question avant de publier le lien de l’un de mes premiers sites web !

Salut !

Tu t’en doute, le risque zéro n’existe pas. Cependant, les sites statiques ont l’avantage de n’avoir qu’une faible surface d’attaque. Mais il faut en différencier deux types : celle consistant à modifier le contenu du site, et celle consistant "simplement" à le faire tomber (DDoS notamment).

Dans le premier cas, une bonne clé SSH plus un bon mot de passe et tu dois pouvoir te mettre à l’abri de la quasi-totalité des menaces. Dans le second cas, Cloudflare est déjà un bon bouclier. Cela dit, mes compétences dans ce domaine étant limité, je ne saurais t’en dire plus.

Les commentaires HTML sont visibles dans le code source de la page. Évite de mettre des informations sensible.

Pour faire court : Invulnérable, ça n’existe pas.
Pour commencer tu ne dois pas supposer que ton hébergeur ne peut pas être attaqué.

Si ton site est entièrement statique, il reste vulnérables aux failles éventuelles de l’hébergeur. Lire attentivement les conditions générales de vente à ce sujet. Il n’y a certainement aucune garantie de résultat à ce sujet, tout au plus une déclaration d’intention, dans le meilleur des cas une garantie de moyens.

L’hébergeur peut être attaqué depuis un des sites qu’il héberge, en particulier si le pirate fait héberger un site conçu pour faciliter les attaques de l’hébergeur.

Rien ne garantit que les mises à jour de sécurité sont installées en temps voulu et sans faire d’erreur. Concernant les machines virtuelles, on peut se demander si il est possible d’installer les correctifs du noyau.

Ensuite, il peut être très difficile de contrer une attaque par déni de service, spécialement si cette attaque est menée depuis un botnet.

Concernant ton mot de passe,il est probable que personne ne va essayer de la casser par force brute. C’est plus facile d’essayer de te le voler au moment où tu te connecte. Ou encore le récupérer sur la machine dont tu te sers pour la connexion. Ne pas oublier non plus l’ingénierie sociale.

celle consistant à modifier le contenu du site

Dans cette catégorie, on pourrait imager que mon site statique contienne des ressources (images, fichiers de police d’écriture, fichiers audio, vidéos, scripts…) hébergées sur des sites externes.

Si ces sites externes sont piratés, alors les ressources de mon site peuvent être corrompues.

J’ai prévu le coup, tout est en local, et le code fait maison !

Je pense que cette catégorie est OK.

Dans le premier cas, une bonne clé SSH plus un bon mot de passe

Je suis perdu avec la clé SSH. Est-ce que tu parles du protocole https ?

et celle consistant "simplement" à le faire tomber

Yep, j’ai confiance en mon hébergeur, je sais qu’il active automatiquement Cloudfare en cas de problème ddos.

Les commentaires HTML sont visibles dans le code source de la page. Évite de mettre des informations sensible.

Oh non, j’avais justement pris soin de recopier toutes les informations de ma carte d’identité dans des commentaires CSS pour m’en protéger x)

Le mot de passe pour se connecter au compte d’administration du site est très solide (20 caractères alphanumériques, dont un caractère spécial).

Quel est ta définition d’un site statique ? Le compte d’administration c’est celui pour te connecter aux outils de ton hébergeur ou c’est une fonctionnalité de ton site ?

Quel est ta définition d’un site statique ? Le compte d’administration c’est celui pour te connecter aux outils de ton hébergeur ou c’est une fonctionnalité de ton site ?

Site statique entièrement codé en HTML/CSS.
Compte admin : c’est celui pour te connecter aux outils de ton hébergeur

Assure toi que les données soit caché dans ton whois ça évitera le social engineering.

yep, ça aussi c’est ok, en fait j’ai un site sous-domaine, du type monsite.hebergeur.com du coup le whois c’est celui de l’hébergeur, non ?

Merci pour les explications !

Pour ma part, mon hébergeur propose une interface web en https sur laquelle tu peux upload tes fichiers.

Mais j’ai une question concernant ftp : tout transite en clair, soit. Mais si le hackeur ne sait pas accéder à mon wifi, il n’y a aucun risque ?

Salut,

Il n’a pas besoin d’être sur ton wifi pour intercepter les paquets réseaux. A ce moment là, soit c’est en clair et il peut les lire comme il veut, soit c’est chiffré et il en fait pas grand chose (à moins d’avoir ta clé de chiffrement et/ou une technique pour faire sauter le chiffrement rapidement).

Bye