Joomla! prends soin de votre sécurité !

Web
Affichages : 92
Joomla! prends soin de notre sécurité !

Un site Web propulsé par un CMS (système de gestion de contenu) contient tous les ingrédients d’un cauchemar de sécurité informatique; il est accessible au public, fonctionne sur des machines puissantes avec une excellente connectivité et le système sous-jacent est utilisé d'innombrables fois dans le monde entier, ce qui en fait une cible de choix pour les pirates.

L’équipe Joomla Security Strike (JSST) s’efforce de faire en sorte que ce cauchemar ne devienne pas une réalité pour les utilisateurs de Joomla!

Comme toutes les autres équipes du projet Joomla!, l'équipe de sécurité de Joomla (JSST) est entièrement composée de volontaires répartis dans le monde entier. Cette répartition géographique est importante dans notre cas, car le secteur de la sécurité est souvent critique - le fait d’avoir des membres provenant de différents fuseaux horaires est un grand avantage car cela permet à l’équipe d’être «en service» 24 heures sur 24, 7 jours sur 7.

: : :  Le travail de l’équipe peut être divisé en 4 sous-tâches différentes

La surveillance
Les membres de l'équipe gèrent des dizaines de sites étroitement supervisés pour prendre conscience des nouveaux scénarios d'attaque aussi rapidement que possible. Heureusement, ces sondes sont rarement nécessaires, car 99% de tous les problèmes de sécurité sont communiqués confidentiellement à l'équipe, ce qui nous amène à la tâche suivante.

La gestion des problèmes
Lorsqu'un nouveau problème de sécurité est signalé, le rapport doit être reconnu avant toute autre chose. Une fois cela fait, l’équipe commence à plonger dans les détails pour vérifier le problème et déterminer son degré de dangerosité. La dernière partie est extrêmement importante, car les rapports ne sont souvent que «la partie visible de l'iceberg» et la cause sous-jacente est différente. Je peux dire avec fierté que JSST fait un travail fantastique ici, en s'assurant que les problèmes sont correctement corrigés.

La correction de problème
Une fois le problème de base identifié, un correctif doit être développé et testé. Le grand défi consiste à tester autant de scénarios que possible avec une très petite équipe et à ne pas avoir la possibilité de recevoir des commentaires de tiers (développeurs d’extensions, par exemple).

L'audits proactifs
Avant que les nouvelles fonctionnalités soient fusionnées dans le noyau, JSST effectue des vérifications automatisées et manuelles sur le nouveau code inclus dans cette fonctionnalité. C’est un excellent moyen de résoudre les problèmes avant même qu’ils ne surviennent.

: : :  La communication est la clé

Outre la partie technique, le travail de la JSST concerne essentiellement la communication continue avec divers partenaires.

Le premier groupe de partenaires est constitué de chercheurs en sécurité.
Ils recherchent constamment des problèmes inconnus dans le cœur de Joomla!, simulent des attaques et signalent des menaces au projet. Heureusement, c'est devenu un standard de l’industrie de faire ces rapports en privé pour donner au fournisseur (donc dans ce cas, nous) suffisamment de temps pour résoudre le problème et publier une version sécurisée. Ce processus, appelé divulgation responsable, fonctionne remarquablement bien et je ne peux pas remercier assez nos journalistes pour leur soutien professionnel. En échange de ces rapports, les chercheurs attendent normalement de la "visibilité" (fournie en donnant des crédits dans les annonces de sécurité) et, surtout, ils attendent une certaine appréciation et une communication personnalisée. C’est une évidence, mais étonnamment, ce n’est pas le cas dans de nombreux projets open source ou non et c’est pourquoi Joomla! reçoit souvent des retours positifs pour sa communication avec les chercheurs.

Le deuxième groupe de partenaires a changé la donne pour le JSST au cours des deux dernières années : les hébergeurs !
Dans le monde Joomla!, nous voyons souvent de nombreux sites piratés après des versions critiques, car les propriétaires de sites Joomla! ne mettent pas à jour leurs installations à temps - la partie intéressante est la suivante, car pour des attaques vraiment critiques plus de 10 heures avant le début des premières attaques automatisées. Pour contourner ces utilisateurs lents à faire leur mise à jour, l'équipe Security fournit non seulement le correctif mais également des instructions sur la manière de filtrer les attaques potentielles à l'aide de mesures à prendre côté serveur. Ces informations sont envoyées à de nombreux hébergeurs Web, sociétés de sécurité et fournisseurs de CDN du monde entier au même moment que la publication, pour permettre à ces entreprises de protéger des millions d’utilisateurs en ajoutant simplement une règle de filtrage en un seul clic.

Enfin, l’équipe doit également communiquer avec la communauté Joomla!. Nous avons besoin de contacter l'équipe de maintenance du CMS pour coordonner les mises à jour de sécurité, nous travaillons avec l'équipe marketing pour nous assurer que les informations importantes parviennent aux utilisateurs et nous éduquons les utilisateurs sensibilisation à l'importance des mesures de sécurité appropriées.

: : :  Joomla! prend la sécurité au sérieux: !

La JSST a une énorme responsabilité. Notre travail consiste à protéger des millions de sites Web contre les attaques, tout en tenant compte des nouveaux scénarios de menaces qui apparaissent constamment. Je peux dire avec fierté que l'équipe prend cette responsabilité très au sérieux et fait un excellent travail en prenant non seulement un rôle passif et en résolvant les problèmes signalés, mais aussi en rendant le CMS plus sécurisé. Avec nos audits manuels et automatisés, les améliorations de la surveillance et de la sécurité architecturale pour les nouvelles versions majeures, nous nous efforçons de résoudre les problèmes avant leur apparition.

Nous évitons que vos cauchemars de sécurité ne deviennent réalité !

David Jardin, chef d'équipe JSST

Sources de l’article : Alerte rouge, protection - Le travail de l'équipe de sécurité de Joomla!

 

Ajouter un Commentaire