TMA et sécurité sur nos CMS Drupal 7 et 8

Vous êtes ici

L'agence WebSenso gère plus de 200 sites web sous Drupal, donc quand une faille de sécurité majeure est annoncée, notre équipe doit être réactive pour garantir une continuité de services à nos clients dans le cadre de leur contrat de maintenance et d'hébergement. 

Le 21/03/2018, la Security Team du CMS Drupal a annoncé le déploiement d'une version corrective pour le mercredi 28 mars 2018 18h UTC, soit 1 semaine après. Détaillé sous le nom de code PSA-2018-001, le niveau du risque est évalué à 21 sur 25, dont 3 points manquants car aucune attaque n'est encore connue... Bref, le niveau est élevé et rappel malheureusement la faille de novembre 2014 surnommée Drupalgeddon qui avait touché plusieurs de nos sites Web… 

EDIT du 13 avril 2018 : le niveau de risque est ré-évalué à 25 / 25, les attaques ont commencé : https://www.drupal.org/psa-2018-002

Malgré les sauvegardes, les audits quotidiens, notre politique de sécurité interne, nos outils de déploiement de patch et de version d’évolution… nous avons mobilisé notre équipe technique pour déployer ce correctif au plus tôt.

Audit préalable

La majorité de nos Drupal sont sous la version 7, plusieurs Drupal 8 et encore 1 Drupal 6 perdu dans les méandres d’un projet obsolète qui ne veut pas mourir 😇. Pas de chance, l’annonce PSA-2018-001, concerne 6, 7 et 8 toutes versions confondues.

Mise à jour préalable

Après avoir vérifié que tous nos Drupal 7 étaient sur la 7.56 (la dernière en date du 27 mars 2018), nous avons choisi de planifier la monté de version des Drupal 8 vers la dernière 8.5 dès l’annonce. Ainsi, on limite les risques à la veille d’une mise à jour de sécurité critique.

La journée du Mercredi 28 mars 2018

  • 17h : Lancement manuel d’une sauvegarde de nos serveurs, en plus des sauvegardes journalières. On n’en fait jamais assez. 😈
  • 18h : On comprend le sens de 18h UTC…c’est donc 21h à Chorges ⚠
  • 21h : Page Twitter #drupal ouvert…  On attends la sortie du correctif
  • 21h15 : Les versions 7.58 et 8.5.1 sont disponibles. On déploie ces mises à jour de sécurité du cœur de Drupal sur nos serveurs gérés par l’agence WebSenso et les serveurs tiers où nous avons un contrat de TMA.
  • 21h45 : On fait les malins sur Facebook et Twitter pour annoncer qu’on a terminé 😎

Conclusion

Ce genre d’opération est fréquent pour notre équipe,  quasiment tous les mois, mais avec un risque plus limité (version non critique, évolutions sur un module, un thème). Pour cette version SA-CORE-2018-002, nous avons pris plus de précaution car Drupalgeddon de 2014 résonne encore dans nos têtes.

La sécurité informatique est un ensemble de règles, de précautions à tous les niveaux et nous ne sommes pas à l’abri d’attaque dès demain. On empêchera peut-être pas la NSA ou des hackers Russes à entrer sur nos serveurs, mais tentons de se protéger au maximum des attaques automatisées qui pourrait stopper l’activité de nos clients.  Voir l’article : Imaginez une semaine SANS votre boutique en ligne ?

Plus d’information

ps : on propose des contrats de maintenance et d'hébergement pour votre Drupal si jamais. Idem pour d'autres agences web en sous-traitances.