Que faire quand son compte est suspendu pour phishing ?

Les Pages Perso Chez Free

Par albert, le , dans En cas de problème. / Dernière modification : le par Al (merci à mll, olivier, Nan'Art, Hubert, Pat_nantes, Bip-Bip, mithril94 et Coyote mal réveillé).
Tags : Erreur 403, Phishing, Suspension, Sécurité

Vous avez appris que vos pages perso ont été suspendues pour cause de phishing ? Pas de panique ! Lisez ce qui suit pour comprendre ce qui se passe et ce que vous devez faire.

Mais le phishing c'est quoi, d'abord ?

Le phishing, ou hameçonnage en académicien moderne, est le fait de créer un site bidon ressemblant à s'y méprendre à un site officiel important, par exemple celui d'une banque, ou d'un FAI, ou d'un service en ligne connu et largement utilisé, et, par la ruse, d'amener des internautes à s'y rendre et y donner des informations confidentielles (identifiants et mots de passe, numéros de comptes, de cartes bancaires, etc).

Euh, oui, mais…

… moi je ne fais pas de phishing !

Non, sans doute : les cas de personautes ayant volontairement bâti un site de phishing sont très rares (voir plus loin). Cependant, les cas de piratages de pages perso avec implantation d'un site de phishing sont nettement plus nombreux. Ces piratages peuvent avoir plusieurs origines, entre autres :

  • le site a fait l'objet d'une intrusion qui a permis à l'intrus d'implanter les pages de phishing :
    • parce que les fichiers de configuration contenant le mot de passe ne sont pas bien protégés ;
    • parce qu'un module logiciel du site contient une faille connue et n'a pas été mis à jour ;
    • parce que votre mot de passe est trop simple : mot du dictionnaire, prénom…
  • les identifiants d'accès au site ont été récupérés sur l'ordi du titulaire mal protégé, ou communiqués à un tiers inconséquent.

… moi, j'avais fait ça pour voir / pour montrer aux potes / pour tester / autre !

Ces excuses (y compris dans la catégorie « autre ») ne seront pas acceptées.

Mon site a été suspendu pour phishing. Je ne peux plus y accéder, ni par HTTP, ni par FTP. Que faire ?

Quelques étapes simples vous aideront à récupérer votre site :

  1. Établissez un plan d'actions curatives (ce que vous allez faire pour éliminer le phishing et la faille qui a permis son installation) et préventives (ce que vous allez faire pour éviter qu'un nouveau phishing ait lieu). Pour ce faire, faites des recherches, sur Google par exemple ;
  2. « Passez vos ordinateurs à l'antivirus », de préférence un antivirus robuste et mis régulièrement à jour. Voir 2 anti-virus ;
  3. Allez sur l'interface de gestion de votre compte Free, en vous identifiant avec le login et le mot de passe de votre compte pages perso. Changez le mot de passe. Profitez-en pour en mettre un pour le mail et l'interface, un pour le FTP, un pour le SQL, tous différents et difficiles : s'ils sont trop simples, l'étape suivante sera refusée. De plus, si le compte compromis est un compte principal, changez de même tous les mots de passe de tous ses comptes secondaires car l'attaquant peut les avoir découverts ;
  4. Vérifiez les fichiers modifiés, et leur date de modification, sur votre compte à l'aide du script proposé par JC_Et et les développeurs de CMS Made Simple, disponible ⬇︎ ici ;
  5. Vérifiez que les comptes pages perso dont vous êtes le titulaire sont conformes et sécurisés ;
  6. Allez sur le forum des pages perso (proxad.free.services.pagesperso), indiquez le compte pages perso concerné, exposez votre situation, indiquez avoir changé les mots de passe, exposez votre plan d'action curatives et préventives et demandez le déblocage de l'accès FTP pour pouvoir nettoyer votre site ;
  7. Il est impératif de disposer d'une version fonctionnelle de votre site en local, sur votre machine. Si vous disposez d'une copie locale de votre site, réalisez les modifications et les corrections en local. SI vous ne disposez pas d'une sauvegarde locale de votre site, vous pouvez commencer par réinstaller ou recréer votre site en local pour réaliser les corrections et modifications. Attendez ensuite de retrouver l'accès FTP pour récupérer l'ensemble de vos fichiers et votre base de données sur votre ordinateur pour en extraire les données essentielles et les inclure dans la nouvelle version de votre site ;
  8. Mettez à jour votre site. Visitez les sites d'origine des scripts utilisés sur vos pages, leurs documentations et forums pourront vous aider à installer les mises à jour et les correctifs de sécurité ou, le cas échéant, à désinstaller les modules qui ont permis l'intrusion ;
  9. Nettoyez votre site, nettoyez-le bien, en prenant soin de vérifier qu'aucun morceaux de code malicieux n'est présent dans vos fichiers et qu'aucun fichiers douteux n'est présent sur votre site. Vérifiez la syntaxe du fichier .htaccess afin d'interdire un retour rapide de l'intrus ;
  10. Une fois l'accès FTP retrouvé, supprimez l'ensemble des fichiers présents sur le serveurs et remplacez-les par ceux de votre copie locale ;
  11. Assurez-vous d'avoir éradiqué le phishing et bouché la faille qui a permis l'intrusion en premier lieu ;
  12. Retournez sur le forum des pages perso indiquer ce que vous avez fait pour nettoyer et sécuriser votre site et ré-ouvrez l'accès HTTP en modifiant le fichier .htaccess de la racine à bon escient.

Et si ça recommence ?

Là, vous risquez la perte définitive de votre site… d'autant plus si c'est vous qui avez placé le code de phishing.

C'est pourquoi vous devez tenir votre site à jour : si vous utilisez un CMS tout fait (Joomla, Drupal, DotClear…), faites les mises à jour de sécurité ; si vous codez vous-mêmes, tenez-vous au courant des failles de langage (PHP, HTML, CSS, SQL, SSI…) et appliquez les corrections ou les palliatifs suggérés.

Amicalement,
Albert.

Les pré-requis en cas de phishing

  1. Changement des mots de passe du compte, de l'accès FTP et SQL (éventuellement, si une base est active) ; si le compte suspendu est un compte principal, il est impératif de changer les mots de passe de l'ensemble des comptes secondaire rattachés à celui-ci et, pour plus de sécurité, tous les comptes dont vous êtes le titulaire ;
  2. Mettre en conformité avec les règles d'utilisation des pages perso l'ensemble des pages perso rattachées au compte principal touché (liste sur le forum Usenet des pages perso de Free ou sur ce site). Si ce pré-requis n'est pas effectué, l'admin n'étudiera pas votre demande ;
  3. Vérifier qu'aucun des comptes est orphelin (erreur 500 lors de la connexion à l'interface de gestion) ;
  4. « Passer les ordinateurs que vous utilisez régulièrement à l'antivirus », de préférence un antivirus robuste et mis régulièrement à jour. Voir 2 anti-virus ;
  5. Trouver ce qui a entrainé la présence des pages de phishing sur le compte et préciser les mesures qui seront prises pour que cela ne se reproduise pas (renforcement de la solidité du mot de passe, sécurisation des scripts PHP, mise à jour du CMS utilisé…) ;
  6. Mettre à jour la copie locale du site, avec les corrections permettant d'interdire la répétition de la compromission et vérifier qu'aucun morceau de code malveillant n'est présent dans les pages, dans le fichier .htaccess et qu'aucun fichier douteux n'est également présent sur le site ;
  7. Demander la levée du blocage à Lionel, de manière claire, courte et précise en présentant ce qui a été fait, ce qui sera fait une fois l'accès FTP rétabli, en postant un message sur le forum Usenet de Free ;
  8. Une fois que l'admin a redonné la main, supprimer l'ensemble des fichiers sur le serveur et les remplacer par ceux de la copie locale, saine et sécurisée ;
  9. Ré-ouvrir l'accès à tous les visiteurs en modifiant le fichier .htaccess à bon escient.