30 Jan 2025
Olivier
La puissante Federal Trade Commission américaine exige du géant de l’hébergement web, GoDaddy, qu’il mette en œuvre des mesures de sécurité de base. Cette décision fait suite à une plainte déposée contre l’hébergeur, suite à de nombreuses failles successives de sécurité.
Le jugement de la FTC blâme ainsi GoDaddy pour la représentation mensongère de ses services, au sujet de la sécurité. Il critique également le laxisme et la désorganisation de la sécurité au sein de l’entreprise.
Voyons donc un peu plus en détails les conclusions de la Federal Trade Commission et ce qu’elle exige de GoDaddy.
Comme nous l’avons mentionné, la FTC sanctionne GoDaddy pour le contraindre à régler ses problèmes de sécurité. L’autorité oblige notamment l’hébergeur à offrir le protocole HTTPS et l’authentification multifactorielle, afin sécuriser ses services d’hébergement. Ceux-ci ont subi de nombreuses attaques depuis 2018, sans que DoDaddy agisse sérieusement pour y mettre fin.
La FTC affirme que le marketing de GoDaddy, mettant de l’avant ses pratiques de sécurité, a induit en erreur des millions de clients de ses services d’hébergement web. L’autorité clame que l’entreprise était plutôt “aveugle aux vulnérabilités et menaces dans son environnement d’hébergement“. La FTC pointe du doigt l’incapacité de GoDaddy à mettre en œuvre des outils et des pratiques de sécurité normalisés.
“Des millions d’entreprises, en particulier de petites entreprises, comptent sur les fournisseurs d’hébergement web comme GoDaddy pour sécuriser les sites Web sur lesquels ils et leurs clients comptent. La FTC agit aujourd’hui pour s’assurer que des entreprises comme GoDaddy renforcent leurs systèmes de sécurité afin de protéger les consommateurs du monde entier.“, a déclaré le directeur du Bureau de protection des consommateurs de la FTC, Samuel Levine.
Selon la plainte déposée auprès de la FTC, plusieurs pratiques de GoDaddy en matière de sécurité sont purement et simplement déraisonnables. Elle pointe notamment du doigt l’absence d’authentification multifactorielle (MFA), la gestion des mises à jour logicielles, le manque de journaux des événements liés à la sécurité, la segmentation de son réseau, le manque de contrôle des menaces de sécurité (y compris l’absence de logiciel pouvant détecter activement les menaces), et l’absence de surveillance de l’intégrité des fichiers.
L’entreprise est incapable de répertorier et gérer ses actifs, d’évaluer les risques liés aux services d’hébergement web et de sécuriser les connexions aux services qui donnent accès aux données de ses clients.
En somme, la FTC affirme que GoDaddy est très loin d’offrir un hébergement web sécurisé. D’après l’autorité américaine, l’hébergeur est même loin d’être capable de rapidement mettre en place des mesures correctives. Des années de laxisme et de désorganisation risquent de rendre très complexe et couteuse, la mise à niveau de la sécurité.
La FTC indique qu’entre 2019 et 2022, les failles de sécurité de GoDaddy ont entraîné de nombreuses brèches et fuites de données majeures. À plusieurs reprises, des pirates ont pu accéder aux aux données des clients et de leurs sites web.
Par exemple, en février 2023, le géant de l’hébergement a révélé que des attaquants inconnus avaient volé son code source. Ils auraient ensuite installé des logiciels malveillants sur des serveurs compromis. Ils auraient alors pu violer impunément son environnement d’hébergement partagé cPanel pendant plusieurs années via cette brèche.
GoDaddy a déclaré n’avoir découvert la violation qu’au début de décembre 2022. De nombreux clients auraient alors commencer à se plaindre que leurs sites web étaient utilisés pour rediriger vers des domaines inconnus.
Selon GoDaddy, les importantes brèches de sécurité signalées en novembre 2021 et mars 2020 seraient également liées à ce même piratage.
En novembre 2021, les données de 1,2 million de clients WordPress gérés avaient été compromises. Les attaquants avaient alors piraté l’environnement d’hébergement de GoDaddy en utilisant un mot de passe compromis. Ils avaient ensuite obtenu des adresses e-mail, des mots de passe d’administrateur WordPress, des identifiants FTP et de base de données. Ils s’étaient même emparé des clés privées SSL de certains clients.
En mars 2020, GoDaddy avait déjà informé 28 000 clients que des pirates avaient utilisé leurs identifiants Les malfaiteurs auraient profiter de ces comptes se connecter via SSH en octobre 2019.
Si l’on se fie à ce qu’affirme GoDaddy, son équipe aurait donc résolu en 2023, ce problème qui daterait (au plus tard) d’octobre 2019. Ses serveurs et les données de ses clients ont ainsi été vulnérables pendant plus de 3 ans! Tout ça, sans que GoDaddy remarque quoi que ce soit, ou agisse pour sécuriser son système. La FTC est donc loin d’exagérer, quand elle parle de laxisme au niveau de la sécurité.
Dans son projet de règlement, la FTC exige que GoDaddy mette en place un programme solide pour assurer la sécurité des données. Elle interdit aussi à l’entreprise de tromper ses clients sur ses mesures de protection de la sécurité.
L’ordonnance précise aussi que GoDaddy doit embaucher un évaluateur tiers indépendant. Celui-ci devra désormais effectuer des examens de son programme de sécurité des données, deux fois par an.
La société est également tenue d’ajouter l’authentification multifactorielle obligatoire pour tous les clients et employés. Cette mesure doit aussi être mise en place pour le personnel des partenaires tiers liés « à tout outil ou actif de soutien du service d’hébergement, y compris la connexion à toute base de données ». La mesure précise: “au moins une méthode qui n’exige pas que le client fournisse un numéro de téléphone, par exemple en intégrant des applications d’authentification ou en permettant l’utilisation d’une clé de sécurité.”
En somme, GoDaddy doit agir immédiatement pour renforcer ses mesures de sécurité, et embaucher des experts pour s’assure que son système est à la hauteur.
La plainte auprès de la FTC et le jugement qui en découle ont exposées de nombreuses failles au sein des services de l’hébergeur américain. Plusieurs informations démontrant un haut niveau de laxisme et de désorganisation ont ainsi été rendues publiques. Les plus choquantes ont même été confirmées par l’autorité américaine.
Par exemple, en septembre 2020, GoDaddy opérait un total de plus de 450 000 serveurs. Parmi ceux-ci, son système de sécurité ne surveillait qu’environ 15 000 appareils en temps réel. Cela représente 1 serveur sur 30!
Malgré cette absence quasi-totale de surveillance, GoDaddy se vantait tout de même de la sécurité de ses services. Il assurait à ses clients que leurs données étaient monitorées et protégées en tout temps.
La FTC a exposé les nombreuses failles de sécurité dont souffrent les services de l’hébergeur. Elle a également dénoncé le marketing de GoDaddy, parsemé de nombreuses affirmations mensongères. Le jugement vise d’ailleurs à contraindre l’hébergeur à corriger ces deux aspects.
GoDaddy est un véritable géant de l’hébergement, et l’un des acteurs les plus connus de l’industrie. L’entreprise investit une véritable fortune en marketing et en promotion, ce qui lui permet d’attirer un flot constant de nouveaux clients.
Le jugement de la FTC risque toutefois de mettre à mal l’image de GoDaddy. L’hébergeur est blâmé sans retenue pour son laxisme en matière de sécurité, ainsi que pour la représentation trompeuse et mensongère de ses efforts à ce niveau.
La FTC espère ainsi contraindre l’entreprise basée en Arizona, à ajuster ses pratiques à la législation américaine. GoDaddy pourrait d’ailleurs se voir imposer des amendes très importantes si elle échouait à se conformer aux exigences du jugement.
Nous espérons que cet article vous a plus et vous a éclairé sur les lacunes de sécurité de GoDaddy. Si c’est le cas, nous vous invitons à consulter nos autres articles et comparatifs de notre blog. Vous y trouverez les informations les plus récentes sur l’industrie l’hébergement et sur la création de sites web.