De l’importance de mettre à jour son CMS

Pourquoi faut-il mettre à jour le logiciel utilisé pour gérer votre site internet ?

Pour comprendre les raisons de faire une mise à jour, il faut d’abord savoir un peu comment se fabrique le logiciel en question. Nous prendrons l’exemple d’un CMS libre sous licence GPL, comme il en existe beaucoup aujourd’hui - Wordpress, Joomla, Drupal - ou comme SPIP, au hasard.

Ce logiciel libre :

  • est accessible au téléchargement sans restriction
  • peut être amélioré par n’importe qui en aurait les compétences
  • peut être transformé et redistribué à volonté, sous la seule réserve de préserver la même licence GPL

Pour que ceci soit possible, il existe un serveur officiel où est déposé le logiciel. Il y est accessible au téléchargement et aux modifications. Bien entendu les modifications et améliorations se font en accord avec tous les autres contributeurs. Ce n’est pas tout le temps paisible, les choix se discutent en permanence, mais c’est une bonne manière de faire progresser un travail collaboratif, chaque modification devant être argumentée et expliquée...
Suivant leurs connaissances, les contributeurs participent chacun à des niveaux différents : du simple utilisateur faisant des commentaires sur l’ergonomie ou rapportant un problème d’usage jusqu’au développeur qui résout ce problème ou propose une amélioration.

Chaque version du logiciel représente donc une amélioration technique ou ergonomique... mais pas seulement, et des fois pas du tout.

Quand un tel logiciel existe, quel qu’il soit, et internet étant ce qu’il est, il arrive que des personnes pas très bien intentionnées cherchent à abuser de certaines situations : elles cherchent un peu d’espace sur un serveur qui ne leur appartient pas, peut-être pour faire progresser le référencement d’autres sites, elles utilisent un serveur pour envoyer des spams sans être inquiétées elles-mêmes, ou encore elles affichent en première page leur convictions politiques... qui ne sont pas forcément les vôtres, ou bien vous jugez qu’elles n’ont rien à faire là, en tout cas ça dérange.
Ces "hackers" (ou plutôt "script kiddies") cherchent et finissent par trouver des failles dans les CMS et les utilisent tant qu’elles existent. Si des failles existent depuis toujours, peu importe, du moment que personne ne les connaît. C’est lorsqu’une faille est connue qu’elle devient dangereuse. À partir de ce moment-là, lorsqu’une faille est exploitée, il faut plus ou moins longtemps aux contributeurs de ce logiciel pour mettre au point une parade et publier par la même occasion une nouvelle version du logiciel.
Explications :

  • "plus ou moins longtemps" : il faut tout d’abord des utilisateurs pour prévenir du nouveau problème, et une fois le problème identifié, tout dépend de la communauté de développeurs, de leur investissement et de leurs compétences, mais la solution repose essentiellement sur leurs épaules.
  • du coup, certaines versions du CMS peuvent être liées à une ou plusieurs faille de sécurité.

Voici donc une autre raison de faire une mise à jour, qu’on appelle alors mise à jour de sécurité car elle vient combler une faille.

Et même par la suite, longtemps après, un hacker cherchant un bon coup à faire n’a plus qu’à trouver un site utilisant telle version pour laquelle il veut exploiter la faille qu’il connaît bien, et hop ! Il vous faudra faire un brin de ménage si vous voulez vous en défaire...
La quantité de sites non mis à jour représente donc pour ces gens-là un réservoir de solutions exploitables. Ils attendent seulement d’en avoir besoin.


P.S. : on peut se rendre compte aisément du problème en se rendant sur le site de l’Agence Nationale de la Sécurité des Systèmes d’Information : http://www.cert.ssi.gouv.fr/site/
Cette page est également parlante : http://www.cert.ssi.gouv.fr/site/CERTA-2005-INF-003/index.html