Sécurité

  méfiance sur Internet

L’espace Internet etant "ouvert à tous les visiteurs" doit impérativement être sécurisé ; et c’est une préoccupation constante de l’equipe de SPIP depuis ses débuts.

Les risques sont les memes pour toutes les présences informatisées reliées au Net : voir votre site "défacé", pollué, avec les risques d’images correspondants, voir diffusées les coordonnées de vos utilisateurs recencés, et pour des Intranet voir publiées des informations que vous préféreriez garder en interne.

De nombreuses attentions y sont portées en SPIP [1], à commencer par un suivi prioritaire d’urgence des mises à jour en cas de découverte d’une faille de sécurité, et la possibilité d’ajouter immédiatement un écran de sécurité.

Article publié le 2 mars 2012, et actualisé en février 2019

   
 
 
 
 
 
 
 
 
Attention, cette page est encore en
  décideurs
 

La première sécurisation porte sur la gestion et l’enregistrement des mots de passe nécessaires aux auteurs : bien sûr, ceux-ci sont enregistrés de façon haschée et salée, ce qui signifie [2] que le mot de passe n’est pas géré en clair (texte dactylographié), mais encodé par une fonction (MD5 et maintenant SHA), avec en plus l’apport d’un grain de sel aléatoire, qui interdit le décodage direct.
Par ailleurs, SPIP propose un système de récupération de son accès privé par l’intermédiaire du mail déclaré à chaque auteur, ce qui reporte la sensibilité d’accès sur ce dernier.

Parmi les failles de sécurité courantes sur le Web, la défiguration est l’une des plus visibles en termes de communication et de buzz, et mise en évidence par le CERTA [3].

En plus de mises-à-jour du core fréquentes [4], SPIP dispose désormais d’un programme "ecran de securité" pour protéger des failles XSS ; vous trouverez même un plugin CiSEC pour limiter les risques en cas de tentatives répétitives d’intrusion !

Un assez bon gage de sécurité de ce CMS, souvent choisi par des experts, peut s’en déduire quand on s’aperçoit qu’un nombre important de sites de sécurité sont sous SPIP : spyworld-actu.com/..

Mais assez souvent, on constatera une attaque indirecte, c’est-à-dire que ce n’est pas le site lui-même qui est compromis, mais une machine cliente, souvent celle utilisée pour des mises-à-jour, qui se fait voler les accès FTP : voir Des cas..... résolus ! PHP5.


Merci de nous signaler les coquilles, imprécisions ou erreurs qui figureraient dans cette page.

[1SPIP est remarquablement placé dans le suivi des failles tenus à jour par le CERTA.

[2Voir pour une explication d’actualité, la mésaventure de LinkedIn expliquée par l’Inria.

[3Le CERTA est le service gouvernemental expertise sur les attaques informatiques : il centralise et relaie les avertissements de sécurité critiques : vous pouvez y retrouver récapitulations de failles signalées par produits, à l’exemple de SPIP...Comparez !
A titre d’exemple, début 2017, les principaux CMS "tournent" tous à plus de cinquante avis de vulnérabilités, pour seulement une vingtaine concernant SPIP (et l’écran de sécurité protège aussi les plugins, au contraire des autres CMS !

[4Dès qu’une faille est signalée, les "devs" de la "Team" proposent des corrections, ainsi trois releases depuis SPIP 3 en moins de 3 mois...

[5SPIP est remarquablement placé dans le suivi des failles tenus à jour par le CERTA.


Liens A2A visibles seulement pour les inscrits.
Liens visibles seulement pour les inscrits.
   

Article publié le 2 mars 2012, et actualisé en février 2019 décideurs .

Répondre à cet article