SA-CORE-2019-003 : Retour sur la dernière faille de sécurité majeure Drupal

Que penser des failles de sécurité Drupal ?

Vous l'avez sans doute remarqué, cela fait maintenant deux ans que les failles de sécurité majeures se multiplient sur le core de notre CMS/CMS favori (Drupal pour ceux.elles qui se seraient vraiment perdu.e.s et seraient arrivé.e.s sur ce billet de blog en tapant "croisement cochon d'inde licorne"). Deux manières de voir les choses :

• Drupal est un CMS peu fiable et les failles de sécurité sont légion, c'est peu rassurant
• Drupal, en tant que logiciel (libre ou non), est un ensemble de lignes de code exposé comme les autres et il faut souligner la maturité de cette outil dans la gestion de sa politique de sécurité avec une équipe dédiée à la sécurité et des process clairs.

Devinez quel point de vue nous avons adopté chez Axess ?

Failles de sécurité : comment Axess s'y prépare ?

Il m'a semblé intéressant de vous raconter comment se passe une mise à jour de sécurité critiques pour les sites dont nous assurons la TMA (plusieurs dizaines, la plupart très sensibles), et quels process nous avons mis en place au fur et à mesure des années pour gérer sans encombre ces événements.

Pour résumer :

• Nos architectes et chefs de projet techniques suivent de près les publications de la security team et les annonces de sécurité
• Une faille de sécurité majeure, telle que celle du 20/02/2019, est annoncée quelques jours auparavant par la security team drupal
• A ce moment, l'annonce est analysée par nos architectes techniques afin d'évaluer au mieux les risques
• En parallèle, notre directeur d'activité recense les membres de l'équipe qui pourront être présents le jour J, à l'heure dite, sur la base du volontariat/en fonction des contraintes de chacun
• La liste des sites que nous maintenons est vérifiée en amont et les mises à jour sont réparties entre les forces qui seront présentes le jour J
• Les clients sont prévenus (Mail et/ou interface de tickets Redmine) de la future mise à jour, et éventuellement leurs hébergeurs si nous ne pouvons pas déployer nous même
• Les pizzas et autres nourritures à forte teneur en calories techniques sont commandées
• L'équipe attend fébrilement la sortie de la faille et du/des patch(es)
• Ces éléments sont analysés par nos architectes techniques dés leur sortie
• Un plan est établi en fonction des typologies de sites impactés et des priorités et les mises à jour + déploiement commencent
• La check-list est vérifiée
• Tout le monde peut reprendre une activité normale et dormir sur ses deux oreilles

Je ne vous ai pas parlé ici de la coopération renforcée avec les administrateurs systèmes qui dans certains cas nous permettent de court-circuiter pas mal d'étapes pour tous les sites hébergés par nos soins, en concoctant un script magique qui recherche toutes les instances drupal sur un serveur et les patche ensuite dans la foulée. Tout cela est déployé en un clic avec notre système d'orchestration Saltstack : c'est le pouvoir et la magie noire du DevOps !!

Si vous souhaitez nous confier votre projet de Site Internet et/ou de TMA drupal pour bénéficier de tous ces process, n'hésitez pas à nous contacter !