Saviez-vous qu’une simple configuration oubliée peut transformer votre serveur en vitrine ouverte sur vos fichiers sensibles ? La page d’Index of (ou encore le Directory Indexing ou Directory Browsing ou Directory Listing), souvent activé par défaut, permet à n’importe quel visiteur d’accéder à l’arborescence de vos répertoires web.
Cette faille silencieuse, encore trop fréquente sur les sites professionnels comme personnels, ouvre la voie à des fuites de données, à des intrusions ou au vol de propriété intellectuelle.
C’est quoi exactement la faille Index of ?
Lorsque vous tapez une URL comme https://monsite.com/dossier/ et que le serveur affiche une liste brute des fichiers et sous-dossiers qu’il contient, vous êtes face à ce qu’on appelle un index de répertoire.
Cela peut ressembler à ceci (Exemple d’un directory browsing dans un site WordPress victime de la faille index of):
Ce comportement est souvent activé par défaut sur certains hébergements (notamment Apache ou Nginx), et peut exposer vos fichiers sensibles (backups, scripts, accès à une base de données, …) aux visiteurs — ou pire : aux robots malveillants.
Pourquoi c’est un vrai problème de sécurité ?
Vous vous demandez peut-être : Quel est le risque si ces fichiers sont visibles ?
Voici quelques exemples concrets de conséquences :
- Des fichiers de configuration du site web ou de la plateforme web comme config.php dans le CMS WordPress ou .env dans le framework Laravel peuvent être exploités pour accéder à vos informations d’accès aux API ou à la base de données
- Des archives ZIP contenant du code source ou des bases de données exposées aux concurrents ou aux cybercriminels
- Des fichiers .bak, .old, .sql laissés après une mise à jour, souvent exploitables pour injecter du code malveillant
- Des images ou documents internes (factures, documents RH,…) accessibles sans authentification
- L’exploration automatisée de ces dossiers par des robots d’indexation ou des scripts malveillants
Comment savoir si votre site est vulnérable ?
Pour savoir si vous êtes victime de la faille Directory Browsing, posez-vous ces 3 questions simples :
- Quand vous accédez à une URL de type https://votresite.com/dossier/, voyez-vous une liste de fichiers ?
- Avez-vous des dossiers de stockage ou d’upload accessibles publiquement depuis le web ?
- Avez-vous vérifié les permissions par défaut de vos répertoires chez votre hébergeur ?
Vous avez un doute sur votre configuration ?
Comment protéger votre site contre le Directory Indexing ?
1. Désactiver l’indexation depuis votre espace d’hébergement
Plusieurs hébergeurs comme O2switch proposent des outils pour désactiver le Directory Listing sur un dossier donné tel que le dossier www ou public_html.
2. Désactiver l’indexation dans le fichier .htaccess (Apache)
Ajoutez cette ligne en haut du fichier .htaccess :
Options -Indexes
Cela désactivera l’affichage des fichiers pour tous les répertoires sans index.html.
3. Créer un fichier index.html vide dans les dossiers sensibles
Cela force le navigateur à afficher une page blanche plutôt qu’une liste de fichiers.
<Directory "/var/www/html/backups"> Order allow,deny Deny from all </Directory>
5. Limiter les permissions côté serveur
Assurez-vous que les dossiers ne sont pas configurés en chmod 777. Utilisez des permissions minimales nécessaires (755 pour dossiers, 644 pour fichiers).
