Open Time

Depuis quelques temps, plusieurs mois, voire plusieurs années, l’essentiel des failles de sécurité qu’on me rapporte au sujet de Dotclear commencent toutes par :

• Si vous avez accès à l’administration …
• Et si en plus vous avez les droits de …
• Et si vous faites telle chose …
• Alors il est possible de …

Vous voyez où je veux en venir ?

Il y a en une, récurrente, qui concerne ce qu’on peut déposer côté gestionnaire de média, que ce soit directement ou via une archive compressée et décompressée sur place ensuite, et qui, si on est mal-intentionné, peut potentiellement poser des problèmes sérieux, comme par exemple permettre l’exécution d’un script PHP ou Javascript, …

La liste est longue des choses qu’on peut faire dès lors qu’on a un accès et les droits qui permettent de tout casser.

Alors oui, c’est probablement et potentiellement gênant sur une ferme de blog, dès lors que des espaces sont partagés, comme le répertoire de média. Mais franchement, qui irait organiser sa ferme comme ça ? Ou plutôt, s’il le fait, alors il faut qu’il prenne ses responsabilités et sache que c’est dangereux.

Maintenant on a, à chaque fois et jusqu’à maintenant, ajouté des mécanismes de protection, mais je pense qu’il faut aussi savoir où mettre le curseur entre ce que peut (et doit) faire une application qui sert des données sur le web et ce que doit (et peut) faire l’utilisateur qui se trouve entre la chaise et le clavier.

Je me souviens qu’il y a longtemps on trouvait beaucoup de routes avait possibilité de dépasser dès lors qu’on estimait — parfois à tort mais c’est un autre débat — qu’on était en mesure de le faire. Depuis, il y en a de moins en moins et de plus en plus on contraint le conducteur en ne prévoyant que des zones de dépassement ultra-sécurisées ce qui, du coup, lui enlève toute responsabilité.

Je trouve dommage d’infantiliser les usagers d’une application web plutôt que de leur expliquer les risques et de faire en sorte qu’ils en prenne le contrôle en toute connaissance de cause. Libre à eux, ensuite, de faire ou de laisser faire des choses répréhensibles (au regard de la loi ou de l’éthique), c’est leur liberté et ce n’est certainement pas à nous de les contraindre. De toute façon c’est une erreur de croire qu’on peut absolument tout verrouiller et contrôler.

Pour résumer, oui on implémente et on continuera d’implémenter les mécanismes qui sécurisent l’application, comme le système CSP ; mécanismes qui le plus souvent s’appuient sur les protections que mettent en œuvre les navigateurs.

Oui on continuera à faire attention à ne pas mettre en péril les données gérées par l’application, que ce soit dans la base de données ou ailleurs.

Oui on continuera à informer et expliquer ce qu’on met en place dans ce domaine.

Mais non, on ne s’épuisera pas à tenter d’empêcher un quidam ayant l’envie et les droits idoines de faire des conneries dans le gestionnaire de média ou autre. C’est de toute façon un tonneau des Danaïdes que de vouloir s’occuper de ça de manière exhaustive.

J’irai même jusqu’à dire que si une personne arrive à faire ça chez vous parce que vous lui avez donné la possibilité de le faire, c’est alors de votre pleine et entière responsabilité et en aucun cas celle de Dotclear.

Maintenant, que l’essentiel des failles de sécurité (si on peut appeler ça comme ça) ne concerne que ce genre de vulnérabilités, ça veut tout même dire que Dotclear est plutôt pas mal sécurisé, non ? Et c’est bien le plus important.