CHOC 02

graphisme généraliste
sites internet
programmation SPIP


de l’importance de mettre à jour son CMS

Pourquoi faut-il mettre à jour le logiciel utilisé pour gérer votre site internet ?

Pour comprendre les raisons de faire une mise à jour, il faut d’abord savoir un peu comment se fabrique le logiciel en question. Nous prendrons l’exemple d’un CMS libre sous licence GPL, comme il en existe beaucoup aujourd’hui - Wordpress, Joomla, Drupal - ou comme SPIP, au hasard.

Ce logiciel libre :

  • est accessible au téléchargement sans restriction
  • peut être amélioré par n’importe qui en aurait les compétences
  • peut être transformé et redistribué à volonté, sous la seule réserve de préserver la même licence GPL

Pour que ceci soit possible, il existe un serveur officiel où est déposé le logiciel. Il y est accessible au téléchargement et aux modifications. Bien entendu les modifications et améliorations se font en accord avec tous les autres contributeurs. Ce n’est pas tout le temps paisible, les choix se discutent en permanence, mais c’est une bonne manière de faire progresser un travail collaboratif, chaque modification devant être argumentée et expliquée...
Suivant leurs connaissances, les contributeurs participent chacun à des niveaux différents : du simple utilisateur faisant des commentaires sur l’ergonomie ou rapportant un problème d’usage jusqu’au développeur qui résout ce problème ou propose une amélioration.

Chaque version du logiciel représente donc une amélioration technique ou ergonomique... mais pas seulement, et des fois pas du tout.

Quand un tel logiciel existe, quel qu’il soit, et internet étant ce qu’il est, il arrive que des personnes pas très bien intentionnées cherchent à abuser de certaines situations : elles cherchent un peu d’espace sur un serveur qui ne leur appartient pas, peut-être pour faire progresser le référencement d’autres sites, elles utilisent un serveur pour envoyer des spams sans être inquiétées elles-mêmes, ou encore elles affichent en première page leur convictions politiques... qui ne sont pas forcément les vôtres, ou bien vous jugez qu’elles n’ont rien à faire là, en tout cas ça dérange.
Ces "hackers" (ou plutôt "script kiddies") cherchent et finissent par trouver des failles dans les CMS et les utilisent tant qu’elles existent. Si des failles existent depuis toujours, peu importe, du moment que personne ne les connaît. C’est lorsqu’une faille est connue qu’elle devient dangereuse. À partir de ce moment-là, lorsqu’une faille est exploitée, il faut plus ou moins longtemps aux contributeurs de ce logiciel pour mettre au point une parade et publier par la même occasion une nouvelle version du logiciel.
Explications :

  • "plus ou moins longtemps" : il faut tout d’abord des utilisateurs pour prévenir du nouveau problème, et une fois le problème identifié, tout dépend de la communauté de développeurs, de leur investissement et de leurs compétences, mais la solution repose essentiellement sur leurs épaules.
  • du coup, certaines versions du CMS peuvent être liées à une ou plusieurs faille de sécurité.

Voici donc une autre raison de faire une mise à jour, qu’on appelle alors mise à jour de sécurité car elle vient combler une faille.

Et même par la suite, longtemps après, un hacker cherchant un bon coup à faire n’a plus qu’à trouver un site utilisant telle version pour laquelle il veut exploiter la faille qu’il connaît bien, et hop ! Il vous faudra faire un brin de ménage si vous voulez vous en défaire...
La quantité de sites non mis à jour représente donc pour ces gens-là un réservoir de solutions exploitables. Ils attendent seulement d’en avoir besoin.


P.S. : on peut se rendre compte aisément du problème en se rendant sur le site de l’Agence Nationale de la Sécurité des Systèmes d’Information : http://www.cert.ssi.gouv.fr/site/
Cette page est également parlante : http://www.cert.ssi.gouv.fr/site/CERTA-2005-INF-003/index.html

À l’usage des nouveaux propriétaires et des utilisateurs de sites web dynamiques, aux rédacteurs chevronnés ou qui le seront bientôt, qu’ils publient de manière frénétique ou sporadique mais sans trop savoir ce qu’ils font... voici quelques explications élémentaires sur le fonctionnement de leur outil, pour peut-être comprendre ce que vous raconte votre webmaster préféré ou votre hébergeur adoré, ou bien simplement pour savoir ce qu’on fait, c’est déjà pas rien.
À vrai dire vous pouvez très bien vous en passer et continuer à mettre à jour vos sites web... à lire seulement si ça vous tente !

> choc02 > notions et réflexions

libre ? > de l’informatique libre ? <

Mozilla accepte d’être le tuteur fiscal et légal de Thunderbird

vendredi 12 mai 2017

Pour ce qui concerne son indépendance opérationnelle, il faut entendre par là, la séparation des éléments comme le site web en cours de migration vers thunderbird.net, avec également un hébergement séparé. Les infrastructures devront être également trouvées pour répondre aux besoins des 25 millions d’utilisateurs du client de messagerie. L’équipe de Thunderbird devra également travailler de manière autonome pour assurer les fonctionnalités du client comme les add-ons et bien d’autres choses.

Voir en ligne : sur developpez.com

Facebook n’est pas un réseau social, c’est un scanner qui nous numérise

mercredi 22 février 2017

Facebook veut nous faire croire qu’il s’agit d’un parc de loisirs alors qu’il s’agit d’un centre commercial.

Ce n’est pas le rôle d’une entreprise de « développer l’infrastructure sociale d’une communauté » comme Mark veut le faire. L’infrastructure sociale doit faire partie des biens communs, et non pas appartenir aux entreprises monopolistiques géantes comme Facebook. La raison pour laquelle nous nous retrouvons dans un tel bazar avec une surveillance omniprésente, des bulles de filtres et des informations mensongères (de la propagande) c’est que, précisément, la sphère publique a été totalement détruite par un oligopole d’infrastructures privées qui se présente comme un espace public.

Voir en ligne : sur framablog.org

Open Bar : Après 10 ans de mutisme, la Défense annonce l’existence d’un « bilan risques-opportunités »

mercredi 1er février 2017

Au mois de décembre 2016, deux parlementaires ont demandé par voie de question écrite au ministre de la Défense de faire œuvre de transparence sur l’ « Open Bar » souscrit auprès de Microsoft. Le 26 janvier 2016, première réponse à la question de la Sénatrice Joëlle Garriaud-Maylam. On apprend ainsi, après des années d’un grand mutisme, qu’il existerait une base rationnelle justifiant le choix de l’ « Open Bar » : un « bilan risques-opportunités » dont l’April a demandé communication au ministère, au titre de la loi « CADA » .

Voir en ligne : sur le site de l’APRIL

Si on laissait tomber Facebook ?

lundi 23 janvier 2017

Avec ces derniers changements de confidentialité le 30 janvier 2015, j’ai peur.

Facebook a toujours été légèrement pire que toutes les autres entreprises technologiques avec une gestion louche de la confidentialité ; mais maintenant, on est passé à un autre niveau. Quitter Facebook n’est plus simplement nécessaire pour vous protéger vous-même, c’est devenu aussi nécessaire pour protéger vos amis et votre famille.

Voir en ligne : sur framablog.org

EduNathon toujours sceptique sur le partenariat Microsoft / Éducation nationale

lundi 23 janvier 2017

Contacté par cette même source, Maître Jean-Baptiste Soufron, avocat défendant les intérêts d’EduNathon sur ce dossier pointe du doigt le fait « que les expérimentations se font donc sous la responsabilité des directeurs d’établissement, ou directement de Microsoft. Et tout nous porte à croire que personne n’a demandé l’autorisation aux parents ».

Voir en ligne : sur vousnousils.fr

0 | 5 | 10 | 15 | 20 | 25 | 30 | 35 | 40 | ... | 155

mentions - Plan du site - SPIP -