Escalade

Écran de connexion sur un iPhone 6+

Ça fait quelques semaines déjà qu’on reçoit des avis de vulnérabilité à propos des versions successives de Dotclear, avis qui commencent invariablement par : « Si vous êtes connecté en tant que super-administrateur ou administrateur… »

J’en ai parlé à plusieurs reprises ici, mais j’avoue que je commence à saturer !

D’une part, avant même de régler la potentielle faille de sécu en ajoutant des contrôles ici ou là, parce que dès qu’on « ouvre » une possibilité, on « ouvre » (potentiellement) en même temps une faille de sécurité, il faudrait d’abord se pencher sur le moyen qui a permis d’atteindre cette faille.

D’autre part, j’ai beau finir par avoir quelques compétences côté développement, je ne suis pas non plus omniscient, surtout côté sécurité.

Il y a aussi, bien évidemment, l’effet d’aubaine de tous ces « chercheurs » de faille, qui s’appuyant sur un modèle (j’ai l’accès admin ou super-admin[1]), partent à la recherche d’une potentielle faille pas encore exploitée ; et les mails et les tickets s’accumulent, les uns après les autres.

Il y a bien sûr plusieurs réponses possibles à apporter à ce phénomène :

  1. Les ignorer complètement et être suffisamment confiant dans la robustesse (question sécurité) du contrôle d’accès à nos administrations de blog. Il est clair que je ne me range pas dans cette catégorie, pourtant très confortable.
  2. Les ignorer complètement et se dire que le problème se situe ailleurs, par exemple entre la chaise et le clavier, sachant comment certains gèrent (ou ne gèrent pas) leur(s) mot(s) de passe. Pas non plus ma tasse de thé.
  3. Chercher à répondre à chacune des failles, une par une, en renforçant ici le contrôle des extensions — mais sans aller jusqu’à contrôler le contenu, trop gourmand en ressource — voire en détournant les potentielles effets des codes PHP dans un honeypot (ce que je fais avec le chargement des plugins et des thèmes), etc. C’est l’option que j’avais adopté jusqu’ici, en me disant qu’on finirait bien par avoir tout bouché ; l’état de ma boîte mail me démontre le contraire !
  4. Renforcer la protection et la sécurité vis-à-vis de l’accès à l’administration. C’est une voie que j’aimerais privilégier à l’avenir, mais ça va pas se faire en deux minutes et en attendant il va falloir « gérer » les attentes de ces rapporteurs qui semblent tous plus impatients les uns que les autres de publier leur avis de faille de sécurité.

Quoi qu’il en soit ça ne suffira pas non plus, parce qu’à partir du moment où vous avez un accès administrateur légitime sur une installation, vous avez potentiellement le pouvoir de foutre un peu/beaucoup le dawa ; mais ça je ne pense pas que ce soit encore du ressort de Dotclear.

Et pour tout vous dire, ça tombe un peu mal en ce moment, où j’ai un peu plus de travail que d’habitude au taf’, avec du coup moins de temps pour réfléchir et explorer des solutions un peu plus élégantes et robustes (oAuth2, …).

Et pour tout vous dire, ça tombe un peu mal en ce moment, où je suis un peu seul à développer Dotclear, avec du coup moins d’échanges et de soutiens pour …

Des fois, je me dis, fatigué, qu’on devrait peut-être fermer la boutique, solution radicale pour mettre fin à toutes ces failles de sécurité, n’est-ce pas ? Parce que je surveille du coin de l’œil ce qu’ils développent côté Wordpress et que Dotclear commence à être sérieusement largué question fonctionnalités et design.

Ça me fatigue toutes ces histoires, parce que je préfèrerais plutôt avancer sur des trucs plus fun, comme une administration un peu plus « responsive », plus facile à utiliser quotidiennement, et il y a encore pas mal à faire de ce côté…

Du coup je vais retourner coder un peu !

Note

[1] Et là on part dans des techniques d’intrusion par brute-force ou via de l’ingénierie sociale pour obtenir le fameux sésame.

Ajouter un commentaire

Comments can be formatted using the Markdown Extra syntax.

Ajouter un rétrolien

URL de rétrolien : https://open-time.net/trackback/13167

Haut de page