[Aide] [SÉCURITÉ]Si vous avez des sites sous Drupal alerte rouge

Ille tam.ille at free.fr
Sun Nov 2 15:23:23 CET 2014


Plus un système est répandu et utilisé, plus il est sujet à des
attaques. Affirmation gratuite, mais facilement vérifiable et qui n'a
pas réellement besoin d'être argumentée je pense.
Un logiciel dont le code source est fermé dépend pour ses corrections
de failles et pour l'amélioration des fonctionnalités de sa seule
équipe de développeurs. Les utilisateurs peuvent au mieux faire
remonter des idées, des souhaits. L'avantage de ce système, c'est que
les failles de sécurité (ne parlons pas des bugs et erreurs mineures)
sont peut-être plus difficile à trouver.
Un logiciel dont le code source est ouvert et bien écrit se verra
analysé par beaucoup de monde, des gens qui vont chercher les failles
pour les exploiter, mais aussi des gens qui cherchent à faire
progresser le code et vont découvrir les-dites failles. Bref, les
corrections peuvent être apportées très rapidement.
Un logiciel dont le code source est ouvert et mal écrit, obscur ou mal
documenté, se verra analysé par beaucoup moins de monde, notamment par
moins de programmeurs désireux de faire progresser le code.

Bref pour, moi, un logiciel a systématiquement 2 failles importantes:
sa popularité et la complexité de son code.
Vouloir utiliser tel ou tel logiciel parce qu'il est plébiscité par
tout le monde et qu'il a des millions d'utilisateurs est peut-être une
erreur; pour plaire à tout le monde, les fonctionnalités sont étendues
à outrance et le code se complexifie, devenant de plus en plus
difficile à maintenir. La bonne question à se poser, à mon avis, c'est
"quel logiciel fait ce dont j'ai besoin, peut-être un peu plus, sans
faire tout ce dont je n'ai pas besoin?".

Cependant, un logiciel disposant d'une grande communauté d'utilisateurs
et de développeurs se verra plus régulièrement mis à jour, ses failles
plus rapidement découvertes et révélées, mais aussi plus rapidement
corrigées, l'aide à l'utilisation sera également plus fournie et plus
accessible, le changement d'administrateur sera plus aisé, etc. En
gros, il faut vraiment peser le pour et le contre, un avantage
présentant souvent un inconvénient que l'on doit surmonter...

L'unicité des systèmes (OS, mais aussi boot, init, kernel, etc) est un
danger. Parce que si je craque un système, je les craque tous. Avec
Linux, nous avons la chance d'avoir le choix de chacune des parties
formant notre environnement de travail; si je craque lilo, je n'atteins
pas les machines bootant avec grub ou grub2, si je craque systemd, je
n'ai pas la main sur les machines utilisant sysV ou upstart ou ..., si
je trouve une faille dans un kernel 3.10, je ne peux pas forcément
l'exploiter sur un kernel 3.14...

Ille

PS: Aïe, pas taper, ce n'est que mon point de vue...


More information about the Aide mailing list