question 650

La team Joomla nous a proposé jeudi dernier une mise à jour de sécurité avec Joomla 3.4.5 corrigeant trois failles dont une sur laquelle je vais revenir dans cet édito.

Je pense que l'on ne peut que plébisciter le travail de la team de sécurité (JSST), reste que pour la sortie de cette nouvelle version il y a des questions à se poser niveau communication et conséquences.

Pour mieux comprendre mes interrogations quant à la stratégie concernant la sortie de cette version :

Le 16 octobre 2015: le JSST nous annonce qu'il faut nous préparer à mettre bientôt nos sites à jour vers Joomla 3.4.5 sans plus nous donner plus d'explications. Voilà une nouveauté que de prévenir d'une prochaine mise à jour de sécurité (en cas de maintenance on le comprend sans problème), en principe on ne communique pas sur ce genre de problème surtout quand on nous annonce que la solution ne sera disponible que 6 jours après!

Le 22 octobre 2015 (vers 16h (14h00 UTC)): Voilà comme promis à l'heure dite la version de Joomla 3.4.5, les patches sont disponibles mais quelques heures après aussi le mode d'emploi pour la principale faille.

Et oui dans l'annonce officielle la team Joomla remercie les auteurs qui ont découvert les failles ce qui est logique, ce qui l'est moins c'est que la plus importante vulnérabilité soit divulguée avec son mode d'emploi si rapidement ne laissant que peu de temps aux utilisateurs de mettre à jour leurs sites.

Par éthique je ne donnerais pas publiquement le lien vers le site en question, déjà beaucoup de sites concernant la sécurité informatique ainsi que certaines communautés Joomla! Européenne ont déjà publié les liens malheureusement.

Heureusement si l'on peut dire et là je mesure mes mots, le principal exploit est quand même difficile à exploiter pour les petits hackeurs mais bon là on ne peut que le souhaiter en restant positif.

A quoi devons-nous nous attendre à l'avenir ?

A noter que le débat est ouvert tant qu'il sera constructif.

A propos de l'auteur
Stéphane Bourderiou
Nom: Stéphane Bourderiou
Fondateur des sites Aide-joomla.fr et SFK
Derniers articles de l'auteur