ATTYPIQUE.COM (avec 2 T) Interviews d'hier pour comprendre aujourd'hui:

Sites WEB défaillants, 68,2 % des internautes ne reviennent plus selon l'hébergeur 1&1

 D’après une étude réalisée par 1&1 Internet Ltd, l’un des plus grands hébergeurs web, les internautes français font les frais de nombreux dysfonctionnements de sites web.

A une époque où les consommateurs dépendent de site de commerce en ligne ou de banques en lignes accessibles en continu, de plus en plus de français se  sentent frustrés par des sites web qui buggent ou qui sont hors-ligne pour maintenance.

L’étude montre que 68.2% des consommateurs décident de ne plus avoir recours aux services d’une entreprise à cause d’un site web défaillant. 52% des Français sont plus critiques envers des sites web défaillants qu’il y a 5 ans.

C’est pourquoi 1&1 se doit d’avertir les entreprises française  sur la nécessité de choisir un hébergeur rapide et performant.

L’étude de 1&1 sur les habitudes de 1003 consommateurs français sur le web montre que 76% des internautes sont régulièrement  gênés par des sites défectueux. Plus de la moitié (59.5%) relèvent des écarts sur la fiabilité des sites web. Les données de l’étude montrent que seulement  23% des consommateurs (soit plus d’1 consommateur sur 4) reconnaissent une amélioration depuis que 1&1 a conduit la même étude il y a 5 ans.

 Le « Top 5 » des dysfonctionnements des sites web, selon les internautes français sont :

1. Lenteur de chargement des pages web (50.1%) 
2. Sites web hors ligne pour maintenance (38.2%) 
3. Sites web qui ne fonctionnent pas/incomplets (35.9%) 
4. Adresse web qui ne mènent nulle part (28.5%)
5. Fonction de recherche qui ne donne aucun résultat (16.7%)

De tels défauts amènent plus de 2 internautes sur 3 à ne plus avoir recours aux services de l’entreprise à cause du site web défectueux. Les frustrations face à un site web professionnel ont poussé 68.2% des internautes vers la concurrence. Alors que la majorité des webmasters préviennent les visiteurs en avance en cas de maintenance, l’étude montre que cette initiative n’arrive pas à rassurer plus d’un tiers des consommateurs (38.2%), qui se sentent frustrés à cette occasion.

Il est intéressant de constater qu’une grande partie des internautes ayant répondu à l’étude (38%) pensent que la fréquence des erreurs aussi bien pour les petites et les grandes entreprises est la même. 52% des français sont plus critiques envers les dysfonctionnements aujourd’hui qu’il y a 5 ans. Sur cette même période, 50% des Français pensent qu’ils sont plus à mêmes de juger si un site contient des erreurs de fonctionnement. Plus d’1 français sur 3 déclarent qu’ils ressentent régulièrement de la colère, de l’inquiétude ou du stress face à un site web défectueux. L’aspect qui engendre le plus d’inquiétude est le doute qui pèse sur une transaction en ligne, ressenti par 32.3% des internautes. 


1&1 web-hosting utilise la géo-redondance pour aider à améliorer la fiabilité des sites web de ses clients. Toutes les données et les processus sont exploités de manière synchronisée dans les différents data centers. En cas de d’imprévus – panne d’électricité ou blackout des serveurs, par exemple – toutes les tâches seront prises en charge par les autres data centers, permettant d’assurer une protection maximale en cas d’arrêt. 1&1 effectue des mises à jour et des opérations d'entretien régulièrement, sans aucune perturbation sur les serveurs par commutation entre les deux plates-formes. Les sites 1&1 ne seront donc jamais indisponibles pour cause de maintenance.

Les offres d’hébergement 1&1, disponibles à partir de 1.99€/mois bénéficient d’une connectivité de 280 gbit/seconde, grâce au réseau mondial 1&1. Des études récentes menées par 1&1 montrent que les consommateurs sont véritablement sensibles à la rapidité d’un site web professionnel. 

(1) 1003 consommateurs français ayant répondu à un questionnaire électronique 

EXPERTISE:

Graham Jones, psychologue spécialisé dans les habitudes des internautes, indique que « les internautes sont moins à même de revenir sur votre site web s’il ne fonctionne pas correctement, frustrés par la lenteur de chargement et des additions au site qui ne fonctionnent que sous certaines conditions. Si vous disposez d’un système de « panier d’achats» ou autres servicessupplémentaires, il vous faut les tester encore et encore pour être absolument certain qu’ils ne causeront aucun problème ». 

Olivier Mauss, CEO de 1&1 Internet Ltd., indique que « les sites web peu fiables donnent une image négative des entreprises, toutes tailles confondues. Il apparaît clair que face à un site défectueux, les consommateurs vont ailleurs.  Le plus surprenant, c’est la proportion d’internautes qui ne reviendront pas. Les entreprises doivent garder ce point à l’esprit et s’appliquer à maintenir des sites web bien conçus, fonctionnels et reposant sur les infrastructures et la vitesse d’hébergement les plus fiables à leur service ». 

Types d'attaques sur un site WEB: 

Attaque d’URL sémantique (« Semantic URL attack »)

Cette technique consiste à modifier les variables passées en clair par l’URL. Ainsi, l’adresse http://www.exemple.com?utilisateur=dupont&mail=dupont@exemple.com transmet deux variables :

• « utilisateur », dont la valeur est « dupont »
• « mail », dont la valeur est « dupont@exemple.com ».

Si une application ne vérifie pas correctement que ces variables correspondent bien à l’utilisateur authentifié, un attaquant peut par exemple injecter du code ou se faire passer pour un autre utilisateur et découvrir des informations le concernant, modifier son mot de passe, etc., selon les défauts de l’application Web.

Bien souvent, il leur faut procéder par tentatives multiples pour trouver les failles d’un site, mais les pirates savent être patients et méthodiques, et ils créent des robots qui vont tenter de découvrir toute faille permettant des opérations illicites.

Cross-Site Scripting (XSS)

Le Cross-Site Scripting est une des attaques les plus connues.

Si un site affiche sans le contrôler du texte saisi par un utilisateur, ce dernier peut attaquer l’application Web en inscrivant par exemple du code JavaScript. Ce dernier exécutant des actions, le code sera exécuté comme s’il faisait partie de la page originelle et l’attaquant peut rediriger les informations auxquelles JavaScript a accès vers un autre site. L’attaquant peut ainsi connaître par exemple le contenu des cookies, et dans le cas d’une application Web qui utiliserait les cookies pour enregistrer le nom des utilisateurs, ou pire leur mot de passe, voler ainsi ces informations.

Injection SQL (« SQL injection »)

L’injection SQL l’une des vulnérabilités les plus courantes des applications Web.

SQL est le langage utilisé pour exécuter des actions sur les bases de données (cf. XP-Infos n° 11). L’injection SQL consiste à tenter de modifier la requête prévue par le développeur pour exécuter une action différente (illicite) sur la base de données. Par exemple, dans un formulaire de connexion contenant un nom d’utilisateur et un mot de passe, l’attaquant peut tenter d’écrire un code SQL dans l’un de ces champs pour court-circuiter la nécessité de présenter le mot de passe. Si l’application ne prend pas la peine de vérifier le contenu des deux champs et de bloquer le texte suspect, elle est vulnérable à ce type d’attaque.

(Source : http://www.xp-internet.com)

Exemple d'abus sur site e-commerce:

Avertissement par la CNIL pour la société FNAC DIRECT en raison de manquements dans la conservation des données bancaires des clients du site www.fnac.com

27 juillet 2012 Les données bancaires communiquées par des clients lors d'un achat sur Internet sont des données sensibles dont la conservation par le commerçant doit répondre à un certain nombre de règles strictes. En particulier, la conservation de ces données après la transaction ne peut se faire qu'avec le consentement préalable des clients, pour une durée limitée et doit présenter un haut niveau de sécurité. C'est ce qu'a rappelé la formation restreinte de la CNIL dans l'avertissement qu'elle a adressé à la société FNAC DIRECT.

20 Critical Security Controls - Version 3.1

• Critical Control 1: Inventory of Authorized and Unauthorized Devices
• Critical Control 2: Inventory of Authorized and Unauthorized Software
• Critical Control 3: Secure Configurations for Hardware and Software on Laptops, Workstations, and Servers
• Critical Control 4: Continuous Vulnerability Assessment and Remediation
• Critical Control 5: Malware Defenses
• Critical Control 6: Application Software Security
• Critical Control 7: Wireless Device Control
• Critical Control 8: Data Recovery Capability
• Critical Control 9: Security Skills Assessment and Appropriate Training to Fill Gaps
• Critical Control 10: Secure Configurations for Network Devices such as Firewalls, Routers, and Switches
• Critical Control 11: Limitation and Control of Network Ports, Protocols, and Services
• Critical Control 12: Controlled Use of Administrative Privileges
• Critical Control 13: Boundary Defense
• Critical Control 14: Maintenance, Monitoring, and Analysis of Security Audit Logs
• Critical Control 15: Controlled Access Based on the Need to Know
• Critical Control 16: Account Monitoring and Control
• Critical Control 17: Data Loss Prevention
• Critical Control 18: Incident Response Capability
• Critical Control 19: Secure Network Engineering
• Critical Control 20: Penetration Tests and Red Team Exercises

 jpbichard@gmail.com

BONUS: 

http://www.sans.org/

http://www.commentcamarche.net/faq/31580-reperer-si-un-site-web-est-fiable#securisation-du-site

 www.1and1.fr.

http://www.xp-internet.com

http://www.cnil.fr/la-cnil/actualite/article/article/avertissement-pour-la-societe-fnac-direct-en-raison-de-manquements-dans-la-conservation-des-donne/