Audit de sites Drupal : Tout comprendre en 6 questions

Quels sont les risques encourus par un site Drupal ?

Notre expert : Il existe des outils (botnets) qui scannent le net de manière automatisée à la recherche de vulnérabilités dans les sites. Les attaques les plus courantes consistent à utiliser les failles identifiées pour injecter du code malicieux. Nous parlons alors de cross site scripting (XSS). Il est indispensable de s'en protéger.
Certes, la sécurité est au cœur de Drupal qui est utilisé par des agences gouvernementales très exigeantes. Une équipe de sécurité est même en charge de repérer, corriger et alerter la communauté. Les sites développés en Drupal sont donc bien protégés à condition d'avoir été développés dans les règles de l'art. Dans les cas sensibles il faut même pousser la démarche plus loin et sécuriser toute la chaîne logicielle de manière cohérente et approfondie par un audit de sécurité.

Pourquoi préconisez-vous l'audit d'un site Drupal avant sa mise en production?

Notre expert : Les développeurs ne sont pas des administrateurs et vice versa. Il existe un angle mort pour la sécurité a l'intersection de ces 2 métiers très différents. Les développeurs sont rarement sensibilisés aux aspect sécuritaires, et les administrateurs ne s'occupent généralement que de la partie "serveur". Il y a donc un risque que les 2 mondes ne collaborent pas toujours parfaitement. J'ai le souvenir d'une organisation prestigieuse qui avait mis en ligne un nouveau site. Dès le lendemain il était hacké et les hackeurs s'en vantaient sur twitter!

Tous les sites Drupal doivent être audités ?

Notre expert : La sécurisation d'un site a un coût, qui peut être très lourd si on pousse la logique jusqu'au bout. Il faut donc trouver un bon compromis et un audit permet de déterminer le meilleur gain de sécurité pour le coût le plus faible.

Combien faut-il de temps pour auditer un site ?

Notre expert : Tout dépend de la complexité du site. L'auditeur procède comme un orpailleur, par tamis successifs de taille de plus en plus fine. On peut donc, dans une certaine mesure adapter le temps passé pour effectuer l'audit. Sur la base de notre expérience, nous considérons que le temps moyen d'un audit pour un site est de 3 jours.

Comment se déroule un audit?

Notre expert : Notre démarche d'audit respecte un canevas bien précis. Dans un premier temps l'auditeur va s'assurer qu'il n'y a pas eu de modifications des modules du cœur de Drupal ou de la communauté. Ensuite, il va examiner le code des modules custom et du theming. Les logs sont aussi une bonne source d'information pour repérer les failles. Ensuite il va s'assurer que les droits d'accès et d'administration sont correctement assignés à l'aide d'une "grille" qui permet de ne pas oublier de cas particuliers (vues, blocs, types de contenus, indexation, etc...).

Quelles sont les solutions pour minimiser les risques ?

Notre expert :Respecter les bonnes pratiques est essentiel. Ensuite on peut s'aider de certains modules qui permettent d'aller plus loin dans la sécurisation d'un site. NETAPSYS en a identifié plusieurs selon le contexte. D'une manière générale la démarche consiste à cacher toutes les informations non indispensables pour ne pas donner de prise aux hackers

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Captcha *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.