JoomlaDay FR

question 650

La team Joomla nous a proposé jeudi dernier une mise à jour de sécurité avec Joomla 3.4.5 corrigeant trois failles dont une sur laquelle je vais revenir dans cet édito.

Je pense que l'on ne peut que plébisciter le travail de la team de sécurité (JSST), reste que pour la sortie de cette nouvelle version il y a des questions à se poser niveau communication et conséquences.

Pour mieux comprendre mes interrogations quant à la stratégie concernant la sortie de cette version :

Le 16 octobre 2015: le JSST nous annonce qu'il faut nous préparer à mettre bientôt nos sites à jour vers Joomla 3.4.5 sans plus nous donner plus d'explications. Voilà une nouveauté que de prévenir d'une prochaine mise à jour de sécurité (en cas de maintenance on le comprend sans problème), en principe on ne communique pas sur ce genre de problème surtout quand on nous annonce que la solution ne sera disponible que 6 jours après!

Le 22 octobre 2015 (vers 16h (14h00 UTC)): Voilà comme promis à l'heure dite la version de Joomla 3.4.5, les patches sont disponibles mais quelques heures après aussi le mode d'emploi pour la principale faille.

Et oui dans l'annonce officielle la team Joomla remercie les auteurs qui ont découvert les failles ce qui est logique, ce qui l'est moins c'est que la plus importante vulnérabilité soit divulguée avec son mode d'emploi si rapidement ne laissant que peu de temps aux utilisateurs de mettre à jour leurs sites.

Par éthique je ne donnerais pas publiquement le lien vers le site en question, déjà beaucoup de sites concernant la sécurité informatique ainsi que certaines communautés Joomla! Européenne ont déjà publié les liens malheureusement.

Heureusement si l'on peut dire et là je mesure mes mots, le principal exploit est quand même difficile à exploiter pour les petits hackeurs mais bon là on ne peut que le souhaiter en restant positif.

A quoi devons-nous nous attendre à l'avenir ?

A noter que le débat est ouvert tant qu'il sera constructif.

A propos de l'auteur
Stéphane Bourderiou
Nom: Stéphane BourderiouSite Web: https://www.aide-joomla.fr
Fondateur et rédacteur en chef - Fondateur du site SFK
Webmaster en perpétuelle recherche
Derniers articles de l'auteur

  • Salut Stéphane,

    Je suis moi aussi surpris de tout le bruit qui a été fait autour de cette mise à jour, an amont comme lors de sa sortie. Ce n'est pas la première fois qu'une faille est découverte sur Joomla (et celle du cookie admin est connue depuis longtemps dixit mon ami Marc Studer) mais il semble que cette fois-ci toute la planète Joomla se soit donnée le mot pour communiquer dessus. C'était impressionnant de voir le nombre de site se dépêchant d'annoncer la sortie de la mise à jour, le nombre de tweet ou de messages sur les autres réseaux sociaux.
    J'espère que nous bénéficierons du même engouement lorsqu'il y aura un événement positif sur la planète Joomla! ;)
    Bonne journée à tous !

  • Pareil j'ai trouvé ça bizarre.. Surtout que j'utilise aesecure pour mes sites ... J'étais déjà protéger
    A mon avis ce serait plus intéressant de faire du buzz autour des futures fonctionnalités de la 3.5
    Cela reste en accord avec le système de message alerte pour la 2.5 et les 3... L'alerte qui fait peur en rouge... Je suis pas fan on fait peur alors que la sécurité de Joomla est plutôt bonne..

  • Bonjour.

    Tout d'abord merci à la JSST de travailler dur à la sécurité de nos sites.

    Concernant le "bruit" moi aussi je ne comprends pas trop. Comme un bon "petit soldat" j'ai relayé l'info la semaine dernière et dès que l'annonce de la mise à disposition a été proposée. "Urgent", "A faire sans délai", etc. Ceci parce que l'info était celle-là et parce que personne n'avait aucune info autre que "grave trou de sécurité".

    L'info aurait pu être encore plus violente "Même des composants tiers pourraient être impacté" à faire peur à tout le monde.

    Ensuite, comme tu l'écris et à juste titre, la publication de la nouvelle version remercie le chercheur qui a trouvé la faille; logique. Moins logique : le mec avait déjà écrit sur son site un très long article où il décrit comment il a trouvé la faille et explique comment l'exploiter. Là, le mec se la joue "dikke nekke" (gros cou, vantard). J'imagine qu'il doit être fier mais il n'aurait pas du menacer la sécurité de sites de milliers de personnes qui n'ont pas réagi dans l'heure à l'annonce.

    "Menacer la sécurité" : oui mais peut-être pas tant que ça. De ce que j'ai compris de l'article du bonhomme; il faut que l'attaquant puisse 1. connaître le préfixe des tables (le fameux "jos_"), 2. qu'il mène l'attaque alors qu'un admin est connecté et 3. que le site soit peu sécurisé. Cela réduit fameusement la voilure tout ça. Dès lors qu'un site est "un peu" sécurisé; il n'est à ma connaissance pas possible de trouver le préfixe de la base de données.

    Ensuite, si le site est "un peu plus" sécurisé, les attaques de type SQL injection sont bloquées. Là, ok, il faut un outil tiers pour la protection quoique le .htaccess traditionnel de Joomla contient déjà si je ne me trompe un sécurisation basique sur l'injection SQL.

    Reste que cela fait quand même pas mal de conditions à rencontrer pour pouvoir hacker un site.

    Je pense à mon niveau (petit niveau) que la communication aurait dû être "classique", avertir de la mise à jour d'une version de sécurité et inciter les gens à mettre à jour; comme d'habitude.

    Ici, le "bad buzz" a été repris par tout le monde, moi compris, croyant par là participer à l'effort de sécurisation des sites Joomla. Puis, repris par des magazines web, blog, ... Cela commence à faire beaucoup de bruit.

    L'avenir nous dira si cette communication était vraiment nécessaire. J'espère que oui, j'espère que ceux qui ont souhaité ce "gros coup" de com' savaient ce qu'il faisaient et qu'ils ont eu raison de le faire. J'espère que j'ai tord de penser que ce buzz est un bad buzz.

    Communiquer autour de la sécurité est nécessaire, il faut juste trouver le bon ton.

  • Salut Christophe,
    D'abord ton niveau concernant la sécurité Joomla n'est pas "petit" mais EXPERT! Je reconnais bien là ta sympathique modestie ;) Ceci dit, ce qui semble grave d'après ton analyse, et ce que nous ressentons, c'est que l'auteur de cette annonce n'aurait pas du s'y prendre comme il l'a fait. Que vu l'importance de la diffusion de cette annonce Joomla et sa communauté a pu subir des préjudices concernant son image, voir la sécurité des sites Joomla. Je ne maîtrise pas toutes les synergies entre Joomla, OSM, AFUJ, Glip... mais je pense qu’un éclaircissement devrait être fait au plus haut niveau pour le bien de la communauté.

  • Bonjour
    Surpris moi aussi par la communication et l'urgence de celle-ci aux dires de Joomla.org.
    A ce que je suppose, la divulgation de la procédure d'exploitation de la faille était une épée de damoclès qui a été faite à la JSST. En gros pour résumer "dépêchez-vous de publier un patch car on va rendre public la faille", d'où l'horaire de publication qui pour la première fois était connu à l'avance (14h UTC).
    Maintenant était-ce si pertinent de le faire ? AMHA oui car les exploits on commencés deux heures environ après la publication de la procédure... Mais comme l'indique Christophe, elle n'est pas à la portée du 1er venu... et le ton employé n'était peut être pas le bon. En tout cas, pour la 1ère fois, nous avons essayé de contacter le plus de personnes possibles pour leur dire de mettre à jour. Et j'espère que cela aura permis à certains de prendre conscience de la nécessité absolue d'avoir un site à jour et sécurisé.

  • Bonjour à tous,
    Le débat, ou plutôt les explications devraient être menées avec les acteurs principaux de ce qui ressemble un peu à un gag (une galéjade comme on dit chez nous dans le sud) :
    "Attention les gars nous avons détecté de graves failles de sécurité dans vos sites joomla! Mais pour l'instant il n’y a rien à faire (contre les hackers) attendez 6 jours pour dormir en paix".
    Averti vendredi 16 par le post de Jessica Dunbar dans le très privé Glip, nous avons décidé de ne pas publier l'info sur le moment et d'attendre le correctif.
    Nous avons bien entendu multiplié les sauvegardes sur les sites de nos clients.
    Nous avons préféré relayer l'info, comme à notre habitude, lors du communiqué officiel de la team Joomla! C'est à dire le 22 dans l'après-midi. Voir le post.
    Alors première chose, pourquoi cette annonce prématurée? Pour le buz? Cela est étrange, car ce n’est pas au bénéfice de Joomla. Pensez, un CMS dont les failles de sécurité sont largement diffusées pendant presque une semaine sans solutions de protection! Ça fait forcement hérisser les poils du chef de projet web!
    Deuxième chose, quelle doit être notre politique d'information concernant la sécurité?
    Reprenant les principes fondamentaux du logiciel libre, nous lançons les alertes sur assistance.apweb.fr dès que les problèmes sont officiellement reconnus et publiés (notamment par joomlavel) pour que nos clients, mais aussi tous les autres prennent les mesures qui s'imposent (sauvegardes, désactivations, contact auprès de l'éditeur, mise à jour…).
    Troisième point, étant donné que dans ce genre de situation il est nécessaire de réagir au plus vite pour préserver son site, et que l'annonce de failles a pratiquement été annoncée avec une semaine d'avance, cela laisse le temps à certains de s'amuser joyeusement, combien de sites Joomla ! ont été impactés par cette terrible menace?
    De notre côté aucun.
    Ceci dit dans les faits Joomla reste un des CMS les mieux sécurisé au monde, et ceci grâce à l'équipe de bénévoles qui travaille à son développement.
    Pour conclure et concernant cette affaire ne pensez-vous pas que le mieux est de faire remonter le débat auprès des team officiels Joomla concernées?

  • Bonjour,

    Nous faisons face à un phénomène d'accélération de la réactivité des hackers suite à la publication d'une version de Joomla résolvant une faille de sécurité. Sur l'avant dernière faille de sécurité, les hackers ont attaqué 4h après la publication de la version Joomla réparant cette faille. Lors de cette dernière version 3.4.5 de sécurité ce temps est descendu à 108 minutes.

    A la vue de ce phénomène et à la criticité de la faille de sécurité, il a été décidé par l'équipe officielle de sécurité de Joomla (JSST) la stratégie que vous avez pu observer : suite à la remontée de la faille à l'équipe de sécurité, quelques jours ont été utilisés pour résoudre la faille au niveau du code et communiquer sur la date de publication de la version incluant la résolution de la faille.

    @Apweb, dans 90% des cas ce n'est pas au moment ou la faille de sécurité est découverte que le risque est présent, puisque dans 90% des cas la faille est remontée directement à l'équipe Joomla sans être publiée auparavant. Dans ces 90% de cas, le risque réside essentiellement après la publication de la version résolvant la faille (puisque de fait cela publie la faille en tant que telle) si le secret est bien conservé durant ce laps de temps.

    L'objectif de la stratégie de communication était de prévenir chacun en amont (période sans risque si secret bien gardé) afin qu'un maximum de responsable de sites web sous Joomla puisse anticiper la mise à jour au plus près de la publication de la nouvelle version.

    Est ce que l'objectif a été atteint ?
    Il est encore trop tot pour en être sure même si mon ressenti est plutôt positif.
    A titre personnel, je n'avais jamais vu autant de mises à jours dans mes relations au sein de la communauté Joomla. A titre professionnel, nous avons mis à jour l'intégralité de nos sites sous Joomla 3 en moins de 3 heures après la publication. C'est une première !

    Critique
    Ma critique personnelle qui rejoint celle de Nicolas est la "peur" par l'urgence qui a été insufflée. Je trouve la stratégie bonne en tant que telle.
    Et cette dernière critique peut être nuancée par le fait que pour atteindre l'objectif qui était de mettre à jour le plus vite possible un maximum de sites web, la peur a peut être contribué à la bonne réaction. Cette peur urgente était pleinement assumée par la plupart des personnes responsable de cette stratégie avec qui j'ai pu m'entretenir.

    Le sujet est passionnant et je vous souhaite une agréable soirée.

    Cordialement.
    Sébastien.

  • Bonsoir à tous,

    je vous remercie déjà pour la qualité de vos interventions ;)

    Je reviens sur ton intervention Sébastien, effectivement les attaques ont débuté plus rapidement mais c'est aussi l'effet de la pré-annonce.
    Si cet épisode a permis à plus d'utilisateurs de prendre conscience de la sécurité de leurs sites, c'est un bien et ce n'est pas moi qui ira dire le contraire.
    C'est vrai qu'il va falloir attendre le retour des instance pour voir si l'impact est si positif qu'il était souhaité.

    Il est sur que ce sont surtout les professionnels qui ont contribué aux mises à jours rapidement, je suis plus dubitatif sur les utilisateurs lambda mias là je ne pense pas que cela est quantifiable. Nous sommes tous bien conscient du bien fondé de la sécurité pour notre CMS, mais nous le voyons de notre niveau et cela n'est peut-être voir sans doute pas le cas de tous.

    Un point qui n'a pas été cité dans vos commentaires c'est aussi le rôle des hébergeurs qui se ont apporté leur aide en musclant leurs solutions de firewall pour contrer les possibles attaques sur leurs serveurs le temps des mises à jours.

    Je ne sais pas si avez eu le temps de voir ce qui a été publié sur les médias informatique et sécurité mais la part belle n'est pas faite à Joomla mais aux experts qui ont mis en avant les failles, je ne parle même pas des commentaires sur Joomla qui sont plus que négatif et là je ne pense pas que la communication avait bien mesuré aussi cet impact : La crédibilité de notre CMS.

    Bonne soirée à tous

Ajouter un commentaire