Pourquoi votre site est peut-être déjà compromis sans que vous le sachiez

La plupart des propriétaires de sites découvrent qu'ils ont été piratés de la pire façon possible : un client les appelle pour signaler une page bizarre, Google affiche un avertissement rouge avant leur site, ou leur hébergeur suspend leur compte pour activité suspecte. À ce moment-là, la compromission a souvent plusieurs semaines, voire plusieurs mois de retard.

Selon les données publiées par Sucuri dans leur rapport annuel sur la sécurité web, plus de 60% des sites compromis ne montrent aucun signe visible de compromission. L'attaquant n'a aucun intérêt à signaler sa présence — il préfère opérer discrètement, utiliser vos ressources et votre réputation, et rester aussi longtemps que possible.

Comment les attaquants trouvent votre site

La première idée fausse à déconstruire : les pirates ne "ciblent" pas votre site. Dans l'immense majorité des cas, votre site est découvert par des scanners automatisés qui parcourent l'ensemble d'internet, adresse IP par adresse IP, en cherchant des signatures connues de vulnérabilités.

Ces scanners fonctionnent en permanence. En quelques heures après la publication d'une nouvelle CVE (Common Vulnerability and Exposure) sur un plugin WordPress populaire ou une version de PHP, des millions de sites sont déjà scannés pour détecter si cette version vulnérable est présente. Ce n'est pas de la science-fiction — c'est le fonctionnement documenté de botnets comme Mirai et de frameworks d'exploitation automatisés disponibles sur des forums spécialisés.

Les trois vecteurs d'entrée les plus exploités en pratique :

• Les plugins et thèmes CMS non mis à jour : WordPress représente environ 43% du web. Ses plugins sont la première surface d'attaque. Un plugin avec 200 000 installations actives et une vulnérabilité d'injection SQL non corrigée représente 200 000 cibles potentielles pour un scanner automatisé.
• Le credential stuffing : des milliards de paires identifiant/mot de passe sont disponibles dans des bases de données issues de fuites antérieures (LinkedIn 2016, Adobe 2013, et des centaines d'autres). Les attaquants testent ces combinaisons automatiquement sur les pages de connexion. Si vous utilisez le même mot de passe sur plusieurs services, il est probablement dans ces bases.
• Les panneaux d'administration exposés : /wp-admin, /admin, /phpmyadmin, /cpanel — ces URLs sont connues et testées systématiquement. Un panneau d'administration accessible sans restriction d'IP et sans authentification à deux facteurs est une invitation.

Les signaux d'alerte que vous ignorez probablement

Une compromission laisse des traces. Le problème, c'est que ces traces ressemblent souvent à des anomalies bénignes.

Une chute inexpliquée du trafic organique est l'un des premiers signaux. Si Google détecte que votre site sert du contenu malveillant à certains utilisateurs (ou à son crawler), il dégrade votre référencement avant même d'afficher un avertissement visible. Une baisse de 20 à 40% du trafic organique sans changement de contenu ni de structure mérite une investigation sécurité immédiate — pas seulement une analyse SEO.

Des emails rejetés ou des rapports d'abus sont un indicateur fort. Si votre domaine ou votre IP est utilisé pour envoyer du spam, vous recevrez des bounces, des plaintes, ou votre IP se retrouvera sur des listes noires. Vos propres emails transactionnels (confirmations de commande, réinitialisation de mot de passe) commenceront à atterrir en spam.

Des fichiers inconnus dans votre arborescence : les attaquants déposent des webshells — des fichiers PHP qui leur permettent d'exécuter des commandes sur votre serveur à distance. Ils ont souvent des noms inoffensifs (image.php, style.php, update.php) et se trouvent dans des répertoires comme /wp-content/uploads/ où les fichiers PHP ne devraient jamais exister.

Des redirections conditionnelles : votre site semble parfaitement normal quand vous le visitez depuis votre ordinateur habituel. Mais des visiteurs arrivant depuis Google sur mobile sont redirigés vers des sites de pharmacie en ligne ou des pages de phishing. Cette technique, dite "cloaking", détecte l'agent utilisateur et l'adresse IP pour ne montrer le comportement malveillant qu'aux visiteurs "utiles" — pas à l'administrateur qui surveille.

Des comptes utilisateurs créés sans votre intervention : dans votre CMS, base de données ou panneau d'hébergement, des comptes administrateurs apparaissent que vous n'avez pas créés. C'est un signe que l'attaquant a établi une persistance et prépare une exfiltration ou un accès durable.

Ce que fait un attaquant une fois à l'intérieur

Comprendre la motivation aide à comprendre pourquoi les compromissions restent invisibles.

Un attaquant qui accède à votre serveur ne cherche généralement pas à "détruire" votre site — cela attirerait l'attention et mettrait fin à son accès. Il cherche à monétiser discrètement. Les usages les plus courants :

• SEO parasite : injection de milliers de liens vers des sites de jeux d'argent, de pharmacie, ou de contenu pour adultes dans vos pages. Vos pages existantes conservent leur contenu — le contenu malveillant est souvent invisible pour vos visiteurs normaux mais lisible par les crawlers de Google.
• Hébergement de phishing : votre domaine, avec sa bonne réputation, sert à héberger des pages imitant des banques ou des services populaires. Ces pages ont une durée de vie courte — elles sont créées, utilisées pour une campagne, puis supprimées — mais votre domaine reste associé à cet abus dans les bases de réputation.
• Mining de cryptomonnaie : des scripts s'exécutent en arrière-plan sur votre serveur, consommant CPU et mémoire pour miner des cryptomonnaies. Votre site ralentit, votre facture d'hébergement augmente, mais rien ne semble "cassé".
• Revente d'accès : sur certains forums, des accès à des serveurs compromis sont vendus à d'autres acteurs malveillants. Votre serveur peut être revendu plusieurs fois et utilisé pour des attaques que vous ne connaîtrez jamais.

Que faire si vous suspectez une compromission

La première règle : ne pas supprimer immédiatement. L'instinct est de nettoyer, mais cela détruit les preuves qui permettent de comprendre le vecteur d'entrée — et donc de le corriger. Si vous ne corrigez pas la faille initiale, le site sera recompromis en quelques jours.

La procédure à suivre dans l'ordre :

• Prenez une capture (snapshot) de votre serveur si votre hébergeur le permet. Cela préserve l'état pour analyse.
• Changez immédiatement tous les mots de passe : hébergement, FTP, base de données, CMS, fournisseur DNS, registrar de domaine. Utilisez des mots de passe uniques et un gestionnaire de mots de passe.
• Activez l'authentification à deux facteurs sur tous les accès administratifs.
• Identifiez les fichiers modifiés récemment avec la commande find /chemin/vers/site -newer /tmp/reference -type f — comparez avec une date avant laquelle vous êtes certain que le site n'était pas compromis.
• Cherchez les webshells dans les répertoires d'upload : find /wp-content/uploads -name "*.php" ne devrait retourner aucun résultat.
• Auditez les comptes utilisateurs dans votre CMS et votre base de données — supprimez tout compte que vous ne reconnaissez pas.
• Vérifiez vos logs d'accès serveur pour identifier des patterns suspects : requêtes POST vers des fichiers inhabituels, accès depuis des IPs géographiquement incohérentes, pics de trafic à des heures inhabituelles.
• Soumettez une demande de réexamen à Google une fois le nettoyage effectué, si votre site était listé dans Google Safe Browsing.

La prévention coûte infiniment moins que la réponse à incident

Une compromission non détectée pendant trois mois peut coûter : la suppression de votre domaine des index Google, la blacklist de votre IP chez les principaux fournisseurs email, la perte de confiance de vos clients si leurs données ont été exposées, et potentiellement des obligations légales de notification si vous traitez des données personnelles (RGPD, article 33).

La mise en place de protections préventives — mises à jour automatiques, monitoring des fichiers, alertes d'anomalies de trafic, authentification forte — est une affaire de quelques heures. L'absence de ces protections peut transformer une vulnérabilité corrigée en 48h en une crise de plusieurs semaines.

Savoir si votre site est propre aujourd'hui est la première étape. Le découvrir après coup est la plus coûteuse.