Drupal
13/07/2016

Comment s’assurer de la sécurité des modules contribués Drupal ?

Drupal Security Update
L'annonce publiée hier sur le site drupal.org - https://www.drupal.org/psa-2016-001 - va mobiliser les agences comme la nôtre. En cas de faille critique, il est indispensable de réagir vite, et de s'organiser en conséquences. Et gare à ceux qui négligent ces mises à jour, ou qui ne disposent pas de contrat de TMA préventive...

L'exemple de l'annonce du 12 juillet 2016

L'annonce publiée hier sur le site drupal.org - https://www.drupal.org/psa-2016-001 - va mobiliser les agences comme la nôtre. En cas de faille critique, il est indispensable de réagir vite, et de s'organiser en conséquences. Et gare à ceux qui négligent ces mises à jour, ou qui ne disposent pas de contrat de TMA préventive... Tout le monde se souvient de Drupalgeddon... Et de sa survivance malgré les alertes

Ne pas mettre à jour, c'est risquer une intervention en urgence bien plus coûteuse.

Ne pas mettre à jour, c'est risquer sa réputation, sa notoriété et entamer la confiance que vous inspirez à vos partenaires - Panama Papers : des versions vulnérables de WordPress et Drupal auraient-elles contribué à la plus grande fuite de données de l'histoire ?

Drupal propose un niveau de sécurité élevé à condition que les bonnes pratiques en matière de sécurité soient respectées. Cependant, toute intervention sur votre site peut introduire de nouveaux risques, il est nécessaire alors d’être réactif face aux failles de sécurité existantes. Comment être sûr de la sécurité des modules contribués que vous utilisez ? Voici quelques conseils pour vous assurer de la sécurité des modules.

Vérifier la version du module

Sur Drupal.org, les modules sont classés par version dont chacune est représentée par une couleur. Cette classification est très utile, puisqu’il est très facile de regarder le statut de la version d’un module :

  • En vert : Versions de modules recommandées ;
  • En Jaune : Versions de modules non recommandées ;
  • En rouge : Versions de modules qui ne sont plus supportées par la communauté.

Pour plus de sécurité, il est vivement recommander de choisir les versions de modules recommandées. Cependant, dans certains cas, les modules ne sont pas encore disponibles du fait qu’ils sont en cours de développement et n’apparaissent donc pas comme des versions recommandées. Soyez donc vigilant concernant le statut de la version d’un module.

Eviter les modules obsolètes ou non supportés

Un module n’est plus supporté pour plusieurs raisons : soit parce qu’un autre module plus récent répond aux mêmes fonctionnalités, soit parce qu’il a été remplacé par un module plus efficace, soit parce que les fonctionnalités de ce module ont été intégrées au cœur de Drupal. En effet, il faut garder un œil sur le statut d’un module tel que « maintenance minimale » ou « en recherche d’un contributeur », puisque il y a de grandes chances que le module ne soit plus stable. En général, les modules non maintenus par la communauté sont à éviter puisque le code n’est pas sécurisé et risque de vulnérabiliser le site web.

Analyser les questions traitées concernant un module

Soyez attentif aux questions et problèmes traités concernant un module. Drupal.org offre à la communauté, la possibilité d’ouvrir des questions concernant un bug ou un problème sur le fonctionnement d’un module. Les contributeurs sont libres de répondre à ces bugs, de les corriger et de donner des conseils pour rectifier le comportement d’un module. La liste des problèmes posés par la communauté est un bon indicateur pour savoir si un module est stable. Il est recommandé d’analyser les problèmes liés à la sécurité surtout ceux dont le niveau de criticité est élevé. Rappelons tout de même, que l’équipe de sécurité Drupal et de nombreux contributeurs travaillent activement sur la sécurité des modules.

Se tenir informé des actualités Drupal

Le meilleur moyen d’éviter d’utiliser des modules qui ne sont plus maintenus ou qui présentent des failles de sécurité est de rester informer des actualités partagées par Drupal.org concernant les problèmes de sécurité liés au core de Drupal ou aux modules contribués. En effet, chaque mercredi, l’équipe de sécurité de Drupal publie des conseils en matière de sécurité sur Drupal.org, il vous suffit de choisir un outil de communication pour recevoir les nouveautés instantanément. Par exemple, nous utilisons l’outil Slack comme veille technologique. Grâce à ces informations, nous sommes toujours au courant des modules qui ne sont plus supportés, des modules qui présentent des failles de sécurité, ou des modules qui sont portés en Drupal 8 !