Sécurité

L'équipe de sécurité Drupal a annoncé hier mardi 12 juillet la publication ce jour d'un bulletin de sécurité hautement critique, PSA-2016-001, concernant plusieurs modules contribués. Les attaques potentielles sont attendues dans les heures qui suivront la publication de ce bulletin de sécurité. Tous les sites Drupal ne seront pas affectés. Selon qu'ils utiliseront ou pas les modules contribués mentionnés dans ce bulletin de sécurité. Soyez prêt à mettre à jour vos modules.

Le mercredi 15 octobre 2014, la Drupal Security team a publié un avis de sécurité critique, sous la référence SA-CORE-2014-005 (CVE-2014-3704), concernant une vulnérabilité hautement critique permettant à un attaquant anonyme de compromettre n'importe quel site Drupal 7 par une attaque de type injection SQL. Faisons un petit retour sur la chronologie de l'évènement pour le mettre en perspective et essayer d'en dégager quelques enseignements.

Dans le domaine de la sécurité, la réputation de Drupal n'est plus à faire. Interrogé sur les raisons de cette réputation, il est souvent indiqué que Drupal est sécurisé by design, c'est à dire depuis sa conception même. Autrement dit, dès le départ, Drupal a été conçu avec la notion toujours présente à l'esprit que le système doit être sûr et sécurisé. Regardons en détail comment Drupal, grâce à ses interfaces de programmations (API) si elles sont utilisées correctement, prend en compte chacune des failles de sécurité les plus importantes. Ces éléments de réponse proviennent du rapport publié régulièrement sur drupalsecurityreport.org.