[Aide] [SÉCURITÉ]Si vous avez des sites sous Drupal alerte rouge

Peko papa.papa.echo at gmail.com
Sun Nov 2 16:55:36 CET 2014


2014-11-02 15:23 GMT+01:00 Ille <tam.ille at free.fr>:
> Plus un système est répandu et utilisé, plus il est sujet à des
> attaques. Affirmation gratuite, mais facilement vérifiable et qui n'a
> pas réellement besoin d'être argumentée je pense.

Disons que cela a besoin d'être argumenté: On ne peut généraliser.
Ce qui compte, c'est la motivation.
Il faut répondre aux questions: Qui attaque et pourquoi? Ensuite, comment?
Il faut donc qu'en face des efforts et moyens qu'un attaquant va
déployer, il existe en regard un gain, même s'il est hypothétique.

Je dois admettre que cela est vrai quand on veut prendre le contrôle
du logiciel+matériel d'un particulier,
sur pc on s'attaque à Windows (wXP, wV, w7, w8) + IE,
et les applis qui tournent dessus.

et maintenant sur smartphone on vise IOS et Android et les
applis qui tournent dessus.

donc factuellement, par destination, ce sont les plus répandus.


Si on vise un Datacenter, on visera plutôt Linux/Unix/wServer
et les applis qui tournent dessus.

> Bref pour, moi, un logiciel a systématiquement 2 failles importantes:
> sa popularité et la complexité de son code.

Juste pour le vocabulaire, la popularité est un facteur à prendre en
compte, pas une "faille" au sens propre du terme.

La complexité?
Non, la difficulté à le comprendre, oui, et divers facteurs entrent en
compte, mais cela peut être parce que le codeur est un goret.


> Vouloir utiliser tel ou tel logiciel parce qu'il est plébiscité par
> tout le monde et qu'il a des millions d'utilisateurs est peut-être une
> erreur; pour plaire à tout le monde, les fonctionnalités sont étendues
> à outrance et le code se complexifie, devenant de plus en plus
> difficile à maintenir. La bonne question à se poser, à mon avis, c'est
> "quel logiciel fait ce dont j'ai besoin, peut-être un peu plus, sans
> faire tout ce dont je n'ai pas besoin?".

C'est ce que j'ai dit, me semble-t-il.


> Cependant, un logiciel disposant d'une grande communauté d'utilisateurs
> et de développeurs se verra plus régulièrement mis à jour, ses failles
> plus rapidement découvertes et révélées, mais aussi plus rapidement
> corrigées, l'aide à l'utilisation sera également plus fournie et plus
> accessible, le changement d'administrateur sera plus aisé, etc. En
> gros, il faut vraiment peser le pour et le contre, un avantage
> présentant souvent un inconvénient que l'on doit surmonter...

C'est aussi ce que j'ai dit.


> L'unicité des systèmes (OS, mais aussi boot, init, kernel, etc) est un
> danger. Parce que si je craque un système, je les craque tous. Avec
> Linux, nous avons la chance d'avoir le choix de chacune des parties
> formant notre environnement de travail; si je craque lilo, je n'atteins
> pas les machines bootant avec grub ou grub2, si je craque systemd, je
> n'ai pas la main sur les machines utilisant sysV ou upstart ou ..., si
> je trouve une faille dans un kernel 3.10, je ne peux pas forcément
> l'exploiter sur un kernel 3.14...
>

En théorie, oui.
Mais est-ce que cela correspond aux attaques réelles?
Avant d'affirmer cela, il faut analyser les cas réels d'intrusion et d'attaque.

Ce qui suit n'engage que moi:

1. De ce que j'ai lu des sinistres informatiques ayant eu un impact
financier et professionnel réel, je crois que les causes principales
étaient :
- complicité/action d'un humain "de l'intérieur" (qui appartient à
l'organisation touchée)
- la négligence/incompétence/inadaptation des actions/inactions face
aux risques (backup inadéquat, administration du système défaillante)


2. Pour ce qui concerne les attaques de particuliers/grand public,
c'est plus vaste.
On a constaté des sinistres par:
- le phishing,
- l'arnaque téléphonique,
- l'arnaque SMS,
- l'arnaque par mélec,
- les sites piégés.
- les mélecs piégés
- des personnes proches.

- et effectivement, les sites de particuliers sur le WEB, via des
failles Wordpress, Drupal, et parfois à cause des extensions (
plug-ins) développées par des tiers, et non à cause du système de
base.


3. Il reste les cas peu documentés, secrets, et complètement flous des
attaques organisées par les Etats/Organisations diverses et variées,
les "espions", polices, justice, ou politiques ou autres de nos
propres pays et ceux des autres. (connus grâce aux lanceurs d'alerte
type Snowden/Wikileaks)

Et là, tout est source de faille _volontaire_ ou involontaire :
- Le matériel (les composants électroniques) et ses micrologiciels (firmware)
- Le SE
- Les fournisseurs d'accès Internet et opérateurs téléphoniques.
- _Tous_ les fournisseurs de services et produits, sur internet (y
compris GAFA (Google, Amazon, Facebook, Apple)) et ailleurs!
La liste est longue...

Je ne mentionne même pas un partenaire de vie jaloux ou le fils du
voisin qui joue à l'espion sur ton WIFI.


C'est pour cela que taper très fort sur un CMS, même s'il était une
passoire, semble inadapté aux vrais enjeux.

Pour conclure, on peut discuter longuement de la théorie de la
sécurité et des probabilités de sinistres/attaques.

Je pense qu'il vaut mieux mettre en oeuvre une politique de sécurité:

1. La Définir:
- Définir ce qu'on veut protéger et les risques associés
- Contre qui/quoi
- A quel coût
2. La réaliser,
3. Vérifier après coup,
4. Et corriger ce qui doit l'être.

--P


More information about the Aide mailing list