DrupalCon Barcelona : Il est venu, il a partagé son expérience et il a audité la sécurité des modules Drupal, rien que ça !
Outre son histoire hors du commun, Theódór Ragnar Gíslason s’est lancé le défi de tester la sécurité des modules Drupal. Retour sur cette conférence plus que passionnante.
Qui est Theódór Ragnar Gíslason ?
Après un grave accident à 14 ans, Theódór s’occupe en “piratant pour s’amuser”. À ses 16 ans, il se fait arrêter et décide de s’orienter vers une pratique éthique. Cette transformation fait de lui un modèle pour comprendre comment la curiosité technique peut être mise au service de cause plus grande.
« Je voulais avoir un impact positif avec mon travail. Du moins, c'était mon espoir. »
Réel expert cyber, de par ses compétences techniques et son expérience, Theódór Ragnar Gíslason est aujourd’hui à la tête de Defend Iceland. Son entreprise contribue activement à la sécurisation des infrastructures islandaises.
Lors de la DrupalCon Barcelona de septembre 2024, Theódór Ragnar Gíslason a animé une conférence passionnante qui traite d’un sujet plus que primordial dans l’ère actuelle où les attaques et vulnérabilités se multiplient : la cybersécurité.
Une conférence marquée par l'audit des modules Drupal et la mise en avant des défis de la sécurité open-source
Dans une optique de contribution à son échelle d’expert cyber, Theódór a audité la sécurité des modules Drupal. Il a ainsi partagé ses résultats et a mis en lumière qu’il y avait une forte distinction entre les modules couverts par la Security Team Drupal et ceux qui ne le sont pas.
Selon lui : “80 % des modules signalés pour des vulnérabilités potentielles ne sont pas couverts par la politique de conseil en sécurité de Drupal.”
Il a salué les efforts de la Security Team Drupal pour la faible quantité de vulnérabilité détectée dans les modules sous leur protection. Ce qui démontre l’efficacité du processus de gouvernance communautaire dans le cadre des logiciels open-source. Bravo à la communauté Drupal !
« Nous n'avons pu identifier aucun problème facile à exploiter dans les modules supportés. On ne peut pas en dire autant de WordPress. »
En contrastant Drupal et WordPress, Theódór Ragnar Gíslason souligne deux points essentiels pour la communauté open-source en général :
- L’importance d’une gouvernance centralisée pour la sécurité, comme c’est le cas chez Drupal.
- La responsabilité de la sécurité qui incombe entièrement aux créateurs de modules.
La cybersécurité et l’éthique doivent être au cœur de l'innovation technologique
Maîtriser la technologie et ses risques
Il est essentiel de maîtriser les technologies que nous développons pour limiter les risques d’exploitations malveillantes. Le créateur est responsable de sa création et des impacts qu’elle peut avoir.
Des technologies mal sécurisées peuvent avoir de graves conséquences et impliquer des groupes vulnérables comme les enfants. Ce fut le cas pour une montre connectée pour enfant avec GPS et microphone intégré. Theódór Ragnar Gíslason a trouvé des vulnérabilités très graves dans cette technologie qui permettait de suivre tous les enfants portant cette montre et d’interagir avec eux.
Rester humble face à la complexité des systèmes
Même si des efforts colossaux de sécurité sont déployés, il est crucial d’accepter qu’il existera toujours des failles. Rien ni personne ne peut assurer l’invulnérabilité d’un produit ou service à 100 %.
Conclusion
Lors de cette conférence, Theódór Ragnar Gíslason a réussi à mettre en lumière l'importance de la sécuriser non seulement dans le cœur des systèmes, mais aussi dans les outils satellites, comme les modules. Son travail montre et rappelle aux professionnels de la cybersécurité et aux développeurs qu’il est essentiel d’adopter une approche proactive et collaborative pour sécuriser les outils qu'ils créent.
Je conclurai sur l’éthique, en rappelant que c’est un enjeu fondamental pour construire un internet plus sûr, même s’il est parfois nécessaire de trouver des compromis économiques et stratégiques.
de votre projet