Cela fait déjà un certain temps que nous proposons dans le Control Panel des One-Click Apps permettant d’installer facilement d’un simple clic des applications Web telles que Typo3, Joomla!, WordPress, etc. pour un site Internet.

La version la plus récente de l’application choisie est installée systématiquement. Cela a l’air simple… Mais rassurez-vous: c’est effectivement le cas ! Il y a malgré tout un risque dont on n’est pas toujours conscient.

Defigurations et autres abus
Des erreurs mineures et plus importantes se glissent malheureusement toujours dans de telles applications. Elles sont rectifiées de temps en temps par des développeurs compétents et la version corrigée est publiée dans une nouvelle publication. De telles erreurs s’avèrent souvent être de graves failles de sécurité. Il est par exemple possible de modifier le contenu d’un site Internet, voire de trier les données privées. Des sites Internet sont souvent défigurés de cette manière avec un contenu étranger à des fins politiques ou simplement «pour s’amuser». Les pirates informatiques peuvent ainsi «se revendiquer» et se vanter dans certains milieux du nombre de sites qu’ils ont piratés et défigurés.

Malheureusement, ils n’en restent souvent pas à de telles «défigurations» mais utilisent aussi abusivement les sites piratés à d’autres fins, notamment pour gagner de l’argent ! Bien entendu, cela n’est pas légal mais constitue au contraire une escroquerie et un abus. Dans un article sur le Support Center, nous avons rédigé davantage de détails concernant les abus.

De nombreuses failles de sécurité
Bien que les développeurs de telles applications soient maintenant particulièrement sensibilisés au problème et s’efforcent d’éliminer ou d’éviter de telles erreurs en amont, des failles de sécurité sont néanmoins identifiées toutes les quelques semaines dans les applications Web les plus connues. Une simple recherche de heise Security répertorie ainsi au cours des 2 dernières années 29 occurrences rien que pour le système très répandu de gestion de contenu Typo3 et même 51 occurrences pour la célèbre application de blog WordPress.

Les mises à jour regulieres des apps augmentent la sécurité

Les mises à jour doivent être effectuees des que possible
Par expérience, je recommande d’effectuer des mises à jour dès que possible de manière à ce que l’application soit toujours à jour et afin de garantir aussi une protection contre les attaques au niveau des failles de sécurité déjà connues. Il peut parfois aussi s’avérer que des modifications majeures soient effectuées dans les différentes publications. Lorsqu’on a effectué toutes les mises à jour, de telles modifications importantes entre les différentes publications ne représentent cependant généralement aucun problème. Bien entendu, en tant que développeur, il me paraît évident qu’avec certaines applications, il est impossible de mettre à jour tout de suite la version la plus récente, par ex. parce que des adaptations personnelles ont été effectuées au niveau du code source de l’application ou que le site Internet est tout simplement trop important pour que la version entraîne une éventuelle suspension.

Les failles de sécurité très critiques s’avérant toutefois fréquentes, il est néanmoins conseillé d’effectuer la mise à jour dès que possible, faute de quoi dans la plupart des cas, les données personnelles sur le serveur Web risquent d’être utilisées abusivement.

Que fait le fournisseur?
Etant donné que nous proposons systématiquement la version la plus actuelle pour les mises à jour par le biais de notre Control Panel, l’application peut être mise à jour d’un simple clic (cela doit toutefois aussi être le cas en principe pour les applications installées par vous-même dans le menu de l’application). Nous envoyons également des e-mails d’information aux clients qui ont installé une de nos applications pour laquelle une mise à jour est disponible. Cet e-mail ne doit représenter aucune contrainte en ce qui concerne la mise à jour, mais plutôt sensibiliser le client au fait qu’il est important que les installations soient toujours à jour.

Notre infrastructure étant extrêmement sécurisée, elle n’a encore heureusement fait l’objet d’aucune attaque ni d’aucun emploi abusif à ce jour. Les données concernées sont ainsi le plus souvent « seulement » celles du compte d’hébergement Web personnel. Comme si cela n’était pas suffisant pour la personne concernée, les comptes piratés sont généralement utilisés pour l’envoi de spams. Dès ce moment au plus tard, nous sommes alors contraints de verrouiller le compte d’hébergement Web. La mise en œuvre de dispositifs de sécurité spéciaux tels que Mod_Security nous permet cependant d’empêcher d’emblée un grand nombre de cas critiques.

En fin de compte, chacun est cependant responsable de l’actualité de ses applications installées et doit décider seul s’il souhaite encourir ou non un risque de piratage.

Les mises à jour regulieres des apps augmentent la sécurité

Elias Wittwer

Eilas Wittwer est responsable du développement et principal interlocuteur lorsqu’il s’agit de nouvelles fonctionnalités pour le Control Panel chez Hostpoint. Il ayant grandi entouré d’ordinateurs, il se décrit comme un «Digital Native». Aujourd’hui, il ne peut quasiment plus se passer d’outils de communication mobile. Son plus vieil ordinateur, un Wang Writer, servait seulement d’éditeur de texte et de tableur. Ses premiers pas dans le développement de logiciels consistaient à programmer des jeux simples en BASIC. Pendant les premières années d’Internet, il créait ensuite des sites Internet en HTML rudimentaire, qu’il remplissait avec de nombreuses images.

0