Pourquoi les VPN doivent-ils être conformes à la réglementation RGPD-GDPR ?

Pourquoi les VPN doivent-ils être conformes à la réglementation RGPD-GDPR ?

Ces derniers mois ont été marqués par l’engouement pour la réglementation générale de l’UE en matière de protection des données (RGPD-GDPR) et la manière dont les entreprises en ligne, y compris les fournisseurs de VPN, ont mis à jour leurs politiques de confidentialité.

Comment le RGPD-GDPR protège-t-il les internautes en général ?

Le RGPD-GDPR s’applique à toutes les entreprises qui traitent, stockent, enregistrent ou partagent des données personnelles de citoyens européens, quelle que soit la partie du monde d’où proviennent les entreprises. Le non-respect de l’une ou l’autre des politiques du RGPD-GDPR peut entraîner de lourdes sanctions financières.

Le RGPD-GDPR rend obligatoire pour toutes les entreprises de fournir aux utilisateurs une politique de confidentialité facile à comprendre.

Les entreprises doivent également offrir une option de non-participation aux utilisateurs qui ne veulent pas donner leur consentement à partager leurs données. En cas de violation, l’entreprise devrait informer ses utilisateurs de la violation dans les 72 heures et sans retard inutile. Tous les utilisateurs auront la possibilité de télécharger toutes les données qu’ils ont fournies à une société spécifique, un journal détaillé de la façon dont ces données ont été utilisées dans le passé, et une option pour éditer ou supprimer n’importe laquelle de ces données.

Pourquoi les VPN avaient besoin de garder des journaux dans le passé

Les deux principaux types de journaux que les VPN conservent sont les journaux de connexion et les journaux de navigation. Comme son nom l’indique, le journal de navigation est un rapport complet sur chaque individu concernant toutes ses activités en ligne, sa communication, ses transactions en ligne et d’autres détails complexes.

Malheureusement, la majorité des fournisseurs de VPN qui opéraient à partir des États-Unis étaient tenus par la loi de tenir des registres de navigation. De plus, le fait de ne pas produire les journaux sur avis juridique aurait pu entraîner l’annulation des licences pour le fournisseur de VPN.

Il convient de noter que tous les VPN ne tiennent pas de journaux, mais ceux qui sont basés dans des pays tels que les États-Unis, le Royaume-Uni ou l’Union européenne sont légalement tenus de tenir des journaux pour pouvoir les produire quand la loi l’exige.

Cela compromet tout le concept d’obtenir la confidentialité et la sécurité d’un VPN.

Le deuxième type de journaux est connu sous le nom de journaux de connexion. Beaucoup de gens confondent les journaux de connexion avec les journaux de navigation et commencent à perdre confiance en leur fournisseur VPN après avoir découvert que leur fournisseur VPN conserve les journaux de connexion. Il convient de noter que sans journaux de connexion, aucun service en ligne, et encore moins les fournisseurs de VPN, ne peut fonctionner. Un journal de connexion comprend généralement votre nom, votre adresse e-mail, votre adresse IP et les horodatages de connexion. Sans enregistrement de ces informations, il sera impossible d’autoriser la connexion pour les utilisateurs, ou de savoir quand leur compte expire.

 

Les VPN doivent-ils être conformes à la réglementation RGPD ?

Maintenant que RGPD-GDPR est la loi sur la protection des données, les fournisseurs de VPN n’ont jamais été aussi heureux. Auparavant, ils étaient légalement tenus de tenir des registres, même s’ils détestaient cela. Aujourd’hui, ils ne sont plus tenus de le faire. En fait, le fait de consigner les renseignements personnels des utilisateurs et de les partager avec quiconque sans consentement préalable sera considéré comme une infraction criminelle. Il s’agit en effet d’un moment de soulagement et de célébration pour les deux, les fournisseurs VPN ainsi que leurs clients.

Chaque VPN qui fournit ses services en Europe, ou dont les serveurs sont basés sur le continent, doit se conformer à toutes les réglementations et politiques mises en œuvre par RGPD-GDPR . Ne pas le faire peut entraîner des interdictions régionales sur les fournisseurs de VPN, les empêchant de fournir leurs services à ceux qui vivent en Europe.

Il convient de noter que les fournisseurs de RPV ne sont tenus de se conformer à RGPD-GDPR que lorsqu’ils fournissent des services aux utilisateurs qui vivent en Europe. Cependant, de nombreux fournisseurs de RPV ont accueilli le changement à mains ouvertes et ont commencé à mettre en œuvre la politique de confidentialité des plaintes de RGPD-GDPR à travers le monde, dans le but d’offrir plus de confidentialité et de protection à leurs utilisateurs.

Le mot de la fin

RGPD-GDPR est la première mesure prise pour faire de l’Internet un endroit meilleur et plus sûr pour les humains. Il s’agit avant tout de protéger les utilisateurs et leurs renseignements personnels et de permettre aux entreprises de faire des affaires dans le cadre des lignes directrices susmentionnées.

Techniques pour trouver des Backdoor

Techniques pour trouver des Backdoor

Trouver un Backdoor sur site Web n’est pas une tâche facile parce que sa fonction principale est de se garder caché au yeux du propriétaire du site Web.

Quelles est alors la technique pour identifier un Backdoor ?

Recoupement de Whitelist & Blacklist

Liste blanche

Nous savons à quoi ressemblent les bons fichiers. L’un des moyens d’identifier un fichier légitime est sa somme de contrôle : une signature numérique du fichier qui peut être comparée aux bons fichiers connus.

Par exemple, nous pouvons comparer le site Web individuel aux fichiers de base officiels des principaux systèmes de gestion de contenu (CMS), comme WordPress, Joomla, Magento, Drupal, Prestashop et autres. Nous avons également la somme de contrôle pour la plupart des plugins, modules, extensions et thèmes.

En utilisant cette technique de whitelisting, nous pouvons dire immédiatement si l’un des fichiers de base a été modifié ou si un nouveau fichier a été ajouté. De cette façon, nous pouvons ignorer en toute sécurité les bons dossiers, ce qui élimine une partie importante du travail.

Liste noire

Les grands organismes de sécurité (Sucuri Cloudflare, Kaspersky…) maintiennent une liste évolutive avec des milliers de portes dérobées et leurs variations.

Le blacklisting de ces signatures malveillantes les empêche de s’exécuter sur les sites Web des clients et s’assure qu’elles sont rapidement détectées.

Vérifications des anomalies

Exemple de la procédure SUCURI

“Lorsqu’un fichier n’est pas dans la liste blanche des fichiers de base et également dans la liste noire des signatures de fichiers malveillants, nous effectuons nos vérifications d’anomalies.

Nous analysons toutes les fonctions/variables et les inspectons manuellement pour voir s’il s’agit de portes dérobées. De là, nous les signalons pour enquête si nous ne pouvons pas vérifier que le dossier est bon. Nos analystes de sécurité professionnels peuvent enquêter davantage dans le cas d’une nouvelle porte dérobée ou d’une porte dérobée très complexe.

Lorsque nous trouvons une nouvelle porte dérobée, nous mettons à jour nos listes noires et nos moteurs de corrélation pour les attraper à l’avenir. Si après avoir analysé les fonctions et les variables, nous découvrons qu’elles ne sont pas nuisibles, nous les ajoutons à notre liste blanche.”

Prévention

Vous pouvez prendre certaines mesures pour protéger votre site Web de l’infection initiale :

  • Gardez tous vos logiciels à jour.
  • Gardez l’œil ouvert pour tout type de fichiers étranges sur votre serveur, en particulier les fichiers contenant des fautes de frappe.
  • Utilisez des mots de passe forts et différents.
  • Utilisez un pare-feu d’application de site Web qui agit comme un filtre virtuel invisible pour les pirates et les attaques potentielles.
  • Si vous utilisez WordPress, installez le scanner Sucuri gratuit (ou un scanner payant type WORDFENCE, payant mais qui étudie plus de cas de figures) pour surveiller et auditer votre site.

Conseils pour nettoyer un site Web compromis

Si vous essayez de nettoyer un site compromis par vous-même, nous avons quelques recommandations.

Tout d’abord, remplacez tous les fichiers que vous pouvez (fichiers de base, plugins, etc.) par des fichiers sains connus. Ensuite, analysez manuellement les fichiers personnalisés qui ne peuvent pas être écrasés pour vous assurer que votre site Web est propre.

Il est essentiel que toutes les portes dérobées soient fermées pour nettoyer avec succès un piratage, sinon votre site sera réinfecté rapidement.

Tiré de l’article original paru sur SUCURI : https://blog.sucuri.net/2018/07/ask-sucuri-how-do-you-find-website-backdoors.html

5 choses à savoir sur les montres connectées et la sécurité en 2018

5 choses à savoir sur les montres connectées et la sécurité en 2018

Les trackers d’activité, y compris les trackers de fitness dédiés et les smartwatches, peuvent exposer les réseaux d’entreprise s’ils ne sont pas correctement gérés et connectés

Quelle est la part exacte du risque de sécurité que représentent les traqueurs d’activité pour l’informatique d’entreprise ? Plus que vous ne le pensez : les pirates ciblent les trackers de fitness et les montres intelligentes parce qu’ils sont souvent mal sécurisés et peuvent exposer des mots de passe, révéler les habitudes de travail d’employés de grande valeur ou servir de points d’entrée à d’autres systèmes.

À une extrémité du spectre, il y a l’Institut AV-TEST. L’organisme de recherche basé en Allemagne a récemment testé 12 trackers de fitness et l’Apple Watch Series 3 pour voir à quel point ils étaient sûrs (ou non). Huit des 13 appareils ont reçu la cote la plus élevée possible de trois étoiles. Cependant, AV-TEST a évalué les dispositifs pour la sécurité personnelle et non le risque pour l’entreprise.

Les traqueurs d’activité – comme tous les autres appareils qui se connectent à Internet, à une application ou à une autre technologie – ne peuvent pas être sécurisés à 100 %, 100 % du temps. L’incident de STRAVA, survenu plus tôt cette année, illustre comment les données générées et partagées par les traqueurs d’activité pourraient être utilisées à des fins néfastes.

Voici cinq choses que l’informatique d’entreprise devrait savoir sur les traqueurs d’activité et la sécurité en 2018.

1. Les traqueurs de fitness sont de plus en plus sûrs, mais certains présentent encore des risques

“Par rapport aux tests précédents (AV-TEST), les fabricants ont pris la sécurité des données d’aptitude et la protection des données de leurs clients beaucoup plus au sérieux, ce qui semble avoir du sens à la lumière des scandales de données actuels.

Ainsi ont conclu les chercheurs AV-TEST des plus récents tests de sécurité du tracker d’activité de l’organisation, annoncés en mai 2018. En 2016, par comparaison, les chercheurs d’AV-Test ont conclu que les fabricants de trackers “souvent ne prêtent pas assez d’attention à l’aspect de la sécurité”.

Pour l’étude d’AV-Test 2018, chaque tracker a été testé pour la sécurité de ses communications externes, des communications locales, des applications connectées et de la protection des données. D’après les résultats de chaque test, les dispositifs ont reçu une note globale de une, deux ou trois étoiles.

Apple Watch Series 3 a obtenu trois étoiles, avec de bonnes notes dans chacune des quatre zones de test. C’est digne de mention, car Apple est actuellement le plus gros vendeur de vêtements, selon les données du marché d’IDC pour le premier trimestre 2018. Par conséquent, les informaticiens d’entreprise rencontreront probablement un nombre croissant d’utilisateurs dans leur organisation qui portent une Apple Watch.

Fitbit, qui, selon IDC, occupe maintenant la troisième place mondiale parmi les fabricants d’appareils portables, a reçu une note similaire de la part d’AV-TEST pour sa Charge 2. Le score de Fitbit vaut également la peine d’être noté parce que de nombreux travailleurs portent des Fitbits acquis dans le cadre des programmes de conditionnement physique de l’employeur, qui sont généralement gérés par l’intermédiaire de la plate-forme Fitbit Health Solutions.

Six autres fabricants d’appareils, dont Huawei et Garmin, ont obtenu trois étoiles au test AV-Test. Huawei s’est classé quatrième sur la liste d’IDC et Garmin cinquième.

Le tracker HW01 de Lenovo n’a reçu qu’une étoile de AV-Test ; les appareils de Xiaomi, Polar et Moov ont reçu deux étoiles. Cependant, les équipes de TI des entreprises nord-américaines peuvent être moins susceptibles de rencontrer des utilisateurs portant ces dispositifs. Bien que Xiaomi se classe deuxième sur la liste d’IDC, le marché de l’entreprise est en grande partie basé en Chine. Polar et Moov n’ont pas atterri sur la liste d’IDC.

2. Hackers : métadonnées de suivi de cible

Les pirates informatiques ne s’intéressent pas au nombre de pas que vous faites ou à votre fréquence cardiaque au repos. Ils pourraient être intéressés par le tableau d’ensemble que les métadonnées d’un pisteur peuvent peindre de vos activités, surtout si vous êtes quelqu’un qu’ils veulent cibler, note Ramon T. Llamas, un directeur de recherche d’IDC axé sur les appareils mobiles et la réalité augmentée/virtuelle. “Trianguler la durée de l’exercice et les distances que vous faites normalement et l’heure à laquelle vous faites de l’exercice peut montrer à un hacker quand vous êtes ou non au travail, et cela pourrait faire de vous une cible optimale” – un point qu’illustre l’incident récent de Strava.

Les médias ont rapporté en janvier 2018 que les soldats américains qui jumelaient leurs traqueurs d’activité au réseau de conditionnement physique Strava révélaient involontairement leurs coordonnées GPS via la carte mondiale de chaleur de Strava – qui est facilement accessible à toute personne disposant d’une connexion Internet. Le Pentagone ne s’est pas amusé. James Quaries, PDG de Strava, a répondu que l’entreprise ” travaille avec les militaires et les fonctionnaires pour traiter les données potentiellement sensibles “, entre autres mesures correctives.

3. Votre faible priorité en sécurité pourrait être une priorité élevée pour les pirates informatiques

“Les traqueurs d’activité sont plus bas sur la liste des préoccupations en matière de sécurité informatique, en particulier par rapport aux risques tels que les brèches dans les bases de données de mots de passe “, explique Merritt Maxim, un analyste principal de Forrester centré sur la sécurité et les risques. “Mais si les trackers sont en bas de votre liste, l’inverse pourrait être vrai pour les hackers. Ils se concentrent parfois sur des choses qui ne préoccupent pas trop l’informatique d’entreprise, parce qu’ils cherchent des cibles faciles.“.

Par exemple, il y a quelques années, les centres d’appels d’entreprise n’étaient pas une préoccupation majeure en matière de sécurité, note Maxim. Les criminels ont alors commencé à utiliser les appels téléphoniques à faible technicité, ainsi que l’ingénierie sociale et d’autres tactiques, pour obtenir des renseignements personnels sur les clients d’une entreprise auprès de ses opérateurs de centres d’appels, en particulier ceux qui se trouvent à l’extérieur des États-Unis.

4. Une montre à puce volée par un pirate informatique est probablement votre plus grande préoccupation

Les trackers dédiés au fitness perdent du terrain au profit de montres intelligentes plus performantes. Au cours du premier trimestre 2018, les ventes de smartwatch d’Apple, Fitbit et autres ont augmenté de 28,4 %, tandis que les ventes de vêtements de base ont diminué de 9,2 %, rapporte IDC.

Alors qu’auparavant, les smartwatches se limitaient principalement à la connectivité via Bluetooth, de nombreux modèles actuels se connectent via Wi-Fi à des applications pour smartphones. La connectivité Wi-Fi donne aux pirates une plus grande souplesse pour accéder, par exemple, au courrier électronique d’un utilisateur, qui peut être consulté à partir d’une smartwatch. Avec le Wi-Fi ou la connexion cellulaire d’une smartwatch, le voleur n’a plus besoin d’être à portée Bluetooth de la victime pour obtenir une connexion en ligne et ainsi avoir accès à l’information, explique Chet Wisniewski, chercheur scientifique principal de Sophos.

Pour la majorité des gens, cependant, un tel scénario de cape et d’épée est peu probable. “Mais si vous avez des employés à haut risque ayant accès à des informations sensibles, vous devriez leur faire savoir que leur Smartwatch, en cas de perte ou de vol, pourrait potentiellement donner à un pirate l’accès à ces informations “, dit M. Wisniewski. “S’ils perdent la montre, ils doivent vous le faire savoir immédiatement“, ajoute-t-il, afin que l’informatique ou l’utilisateur puisse désactiver la montre à distance. Par exemple, Apple offre une fonction de verrouillage d’activation, qui est active par défaut, sur sa montre Apple Wi-Fi.

De plus, en cas de perte ou de vol d’une montre intelligente Wi-Fi, tirez parti du système de gestion des appareils mobiles (MDM) de votre organisation ” pour assurer la transmission sûre des données entre la montre intelligente et l’entreprise, comme c’est déjà le cas pour les téléphones intelligents et les tablettes “, explique M. Llamas. “Bien sûr, les MDM doivent aussi être tenus à jour.”

5. Les montres Smartwatches n’introduisent pas de risques supplémentaires

Même si les utilisateurs ne portent pas de montres intelligentes, il y a de fortes chances qu’ils aient des smartphones avec eux presque partout, ajoute M. Wisniewski. Les Smartphones suivent constamment l’emplacement et partagent ces données avec les quatre principaux opérateurs sans fil américains (il en est de même en France) ainsi qu’avec les fabricants d’appareils et les éditeurs de logiciels. En juin 2018, on a constaté que les entreprises de télécommunications sans fil américaines partageaient les données de localisation des clients avec des tiers.

“Nous payons déjà volontairement 1 000 $ ou plus pour transporter un tracker – notre smartphone – qui donne nos informations de localisation à toutes sortes d’entreprises “, explique M. Wisniewski. “Si vous y pensez, une montre à puce n’introduit aucun risque supplémentaire.”

En fin de compte, le travail de l’informatique d’entreprise est d’éduquer les utilisateurs sur les risques potentiels et d’identifier les mesures et procédures claires qu’ils devraient prendre pour atténuer ces risques, dit M. Wisniewski. Identifiez les utilisateurs qui risquent le plus d’être la cible de pirates informatiques et aidez-les à trouver des moyens d’être plus vigilants en matière de sécurité.

Vous pourriez dire aux utilisateurs de votre organisation de ne pas porter de traceurs d’activités ou de montres intelligentes, bien sûr, mais bonne chance avec cela. “Vous ne pouvez pas dire aux gens ce qu’ils peuvent ou ne peuvent pas porter “, surtout si, comme une montre à puce, l’appareil est souvent utilisé pour des raisons personnelles, dit Wisniewski. “Acceptez juste qu’il n’y a pas grand-chose que vous pouvez faire à ce sujet.”

Une faille WordPress qui peut conduire à la destruction du site

Une faille WordPress qui peut conduire à la destruction du site

WordPress est le CMS le plus populaire sur le web. Selon w3tech, il est utilisé par environ 30% des sites Web.

Cette large adoption en fait une cible intéressante pour les cybercriminels. Dans ce billet, nous allons introduire une vulnérabilité de suppression de fichier arbitraire authentifiée dans le noyau WordPress qui peut conduire à l’exécution de code arbitraire par des attaquants.

La vulnérabilité a été signalée il y a 7 mois à l’équipe de sécurité de WordPress mais n’a pas encore été corrigée… Le temps qui s’est écoulé depuis le rapport initial, sans correctif, a conduit RIPSTECH à le rendre public.

Qui est concerné

Au moment de la rédaction du présent article, aucun correctif empêchant cette vulnérabilité n’est disponible.

Toute version de WordPress, y compris la version 4.9.6 actuelle (juin 2018), est sensible à la vulnérabilité décrite ici !

Pour exploiter la vulnérabilité discutée dans ce qui suit, un attaquant aurait besoin d’obtenir les privilèges pour éditer et supprimer les fichiers multimédias (auteur, éditeur, administrateur…) au préalable.

Ainsi, la vulnérabilité peut être utilisée pour escalader les privilèges obtenus par la prise de contrôle d’un compte avec un rôle d’auteur, ou par l’exploitation d’une autre vulnérabilité/mauvaise configuration.

Que peut faire un attaquant ?

Exploiter la vulnérabilité donne à un attaquant la possibilité de supprimer n’importe quel fichier de l’installation WordPress (+ tout autre fichier sur le serveur sur lequel l’utilisateur du processus PHP a les permissions appropriées pour supprimer). Outre la possibilité d’effacer toute l’installation de WordPress, ce qui peut avoir des conséquences désastreuses si aucune sauvegarde actuelle n’est disponible, un attaquant peut utiliser la capacité de suppression arbitraire de fichiers pour contourner certaines mesures de sécurité et exécuter du code arbitraire sur le serveur web. Plus précisément, les fichiers suivants peuvent être supprimés :

  • .htaccess : En général, la suppression de ce fichier n’a aucune conséquence sur la sécurité. Cependant, dans certains cas, le fichier.htaccess contient des contraintes liées à la sécurité (par exemple, des contraintes d’accès à certains dossiers). La suppression de ce fichier désactiverait ces contraintes de sécurité.
  • index.php : Souvent, les fichiers index.php vides sont placés dans des répertoires pour empêcher l’inscription dans les répertoires dans le cas où le serveur Web ne le fait pas. Supprimer ces fichiers donnerait à un attaquant une liste de tous les fichiers dans les répertoires protégés par cette mesure.
  • wp-config.php : La suppression de ce fichier d’une installation WordPress déclencherait le processus d’installation WordPress lors de la prochaine visite sur le site Web. Ceci est dû au fait que wp-config.php contient les informations d’identification de la base de données, et sans sa présence, WordPress agit comme s’il n’avait pas encore été installé. Un attaquant pourrait supprimer ce fichier, subir le processus d’installation avec les informations d’identification de son choix pour le compte administrateur et, finalement, exécuter du code arbitraire sur le serveur.

Heureusement, RIPSTECH propose un HotFix.

La correction peut être intégrée dans une installation WordPress existante en l’ajoutant au fichier functions.php du thème/thème enfant actuellement actif.

Tous les détails et une vidéo dans l’article de RIPSTECH ICI !

DDoS l’attaque volumétrique par saturation : Qu’est ce que c’est ?

DDoS l’attaque volumétrique par saturation : Qu’est ce que c’est ?

Attaque volumétrique par saturation de la bande passante

Dans cette catégorie d’attaque volumétrique  nous pouvons remarquer la tentative de de créer une saturation en consommant toute la bande passante disponible entre la cible et le plus grand Internet.

C’est alors que de grandes quantités de données seront envoyées à une cible en utilisant un système d’amplification ou un autre moyen pour créer un trafic massif, comme les demandes du botnet.


Attaque volumétrique par amplification de DNS

Une amplification de DNS c’est comme si une personne devait appeler un restaurant et dire « Je vous confirme ma commande, s’il vous plaît rappelez-moi et donnez moi le détail des articles de ma commande », et  le numéro de téléphone à rappeler et celui de la cible. Avec très peu d’effort, une réponse longue est générée.

Il peut s’agir de…

  • l’inondation d’un réseau ou d’un serveur par des pings afin d’empêcher son bon fonctionnement
  • interrompre et perturber des connexions entre deux machines, empêcher l’accès à un service précis
  • l’obstruction d’accès à un service où à une personne en particulier

Conclusion

L’attaque volumétrique est une arme redoutable et facilement ajustable pour les pirates.

Elle à pour conséquence de totalement faire tomber le serveur, au final : plus de présence en ligne.

Néanmoins, il faut l’envisager avec sérieux donc, et la combattre avec véhémence !

 

 

 

RGPD : tous responsables de la sécurité des données

RGPD : tous responsables de la sécurité des données

Comme vous le savez surement, le RGPD est effectif depuis le 25 mai 2018 !

La sécurité des données est devenue primordiale

Dès lors, tous personnes possesseurs ou administrateurs de sites Internet, qu’ils soient commerciaux, institutionnels ou associatifs, se doivent de veiller à la sécurité des données inhérentes à leur site WEB.
Cela signifie qu’en plus de remplir les bonnes pratiques liées à la RGPD, vous devez tout faire pour satisfaire aux conditions optimales de sécurité de votre site Internet.


Quid de la sécurité des données des comptes clients, des utilisateurs, des commandes, des adresses clients et fournisseurs

Tout doit être sécurisé, car le cas échéant, et en cas de fuite de données notamment, vous serez personnellement tenu pour responsable devant la loi et devant les propriétaires de ces informations de la bonne sécurité des données, où non !
Vous devez donc veiller à ce que vos sites Internet soient particulièrement bien protégés, en assurer la sécurité des données devient alors une activité récurrente pour chacun d’entre nous.

Exemple

La CNIL a prononcé une sanction d’un montant de 250.000 euros contre la société OPTICAL CENTER pour avoir insuffisamment sécurisé les données de ses clients effectuant une commande en ligne. Une fuite de données via les URL permettait d’obtenir sans trop de difficultés les données personnelles des clients (Nom, prénom, adresse…).

Le seul moyen de savoir si votre site est correctement protégé contre les hackers (attention, le 100% sécurisé n’existe pas !), c’est de procéder régulièrement à des scan et à des tests de vos sites Internet.

Pourquoi régulièrement, tout simplement car un site est “vivant”, vous ajoutés des photos, des textes, des pièces jointes, des parties de codes sont modifiés et dans le cas des CMS des plugins sont mis à jour, le cœur du CMS également…

L’état, à un instant T, de votre site peut changer

Autant de raisons de surveiller fréquemment la bonne santé “sécurité” de votre site Internet, comme vous le feriez pour votre voiture. L’analogie est simpliste mais tellement vraie. un accident est si vite arrivé.
CQFD
Bonne journée 😉

id, justo consectetur dolor. mi, id amet, tempus ultricies at