Lettre d'information Septembre 2018 - Fin de vie PHP 5.6 / 7.0

Bonjour,

Compte tenu des récents évènements, nous avons pris la décision de ne plus communiquer systématiquement sur la mise à jour de vos serveurs.

L’idée étant de vous éviter de recevoir potentiellement 10 emails par mois dont l’intérêt est relativement discutable. Il y aura donc un email par période de 15 à 60 jours qui compilera l’actualité de la période précédente sous la forme d'une lettre publique d'informations au format PDF.

Compte tenu de l’importance de certaines de ces lettres d’informations (dont celle-ci – point 2.), et au regard du RGPD, nous vous invitons à lire avec attention celles dont l’objet contiendra [IMPORTANT].

Pour le moment, nous refusons de mettre en place un système de tracking pour s’assurer de la bonne lecture de ces lettres. Cependant, compte tenu du RGPD, il n’est pas impossible que nous soyons contraints de le faire dans un proche avenir.


    1. Plus de 1600 interventions sur l’infrastructure depuis Août

C’est un été noir qui se termine pour le secteur Informatique, nous en sommes à la 4° réplique du séisme Spectre / Meltdown, et plus récemment du scandale des puces Intel. Cela a marqué durablement l’esprit des professionnels de notre secteur.

Malgré nos congés, nous avons mis tous en œuvre avec votre hébergeur (OVH) afin de répondre au besoin urgent de mises à jour des infrastructures.

Sept mises à jour critiques de noyau de vos systèmes d’exploitation ont été appliquées manuellement sur l’ensemble de vos serveurs pendant cette période, ainsi que trois mises à jour critiques sécurité pour PHP 5.6, PHP 7.0, et OpenSSH.

    2. Fin de support pour PHP 5.6 et PHP 7.0

Comme vous le savez, il n'est pas question de faire l'autruche ici, en nous positionnant en tant que spécialiste cybersécurité, cela nous impose d’être conscient des difficultés à venir et d’être force de propositions pour les surmonter.

Par souci de transparence, comme d’habitude, nous prenons le temps de vous détailler ce à quoi nous allons tous être confrontés.



      A/ Notions relatives au cycle de vie des applications

La plupart des produits / technologies possède un cycle de vie : on les crée, on les utilise, puis on les abandonne.

Vos applications (Prestashop, Magento, Wordpress, Laravel, Symfony, …) et les technologies dont elles dépendent pour fonctionner ne dérogent pas à cette règle.

Lorsqu’une application ou une technologie est mise en fin de vie, plus aucune mise à jour n’est proposée, ce qui engendre à terme des instabilités et finalement une incapacité à assurer leurs résiliences (irréparable)

Ces cycles de vie sont déterminés par les concepteurs de vos applications ainsi que des concepteurs des technologies qui leurs permettent de fonctionner (dont PHP – le langage de programmation commun à toutes vos applications). Pour information, cet ensemble d’applications et de dépendances s’appelle une zoosphère applicative.

Bien évidemment, ces concepteurs sont à l’écoute des communautés qui utilisent leurs solutions et font leurs possibles pour étendre le plus longtemps possible ces cycles de vie. Raisonnablement, car il faut aussi bien avoir en tête que la quasi-totalité de ces concepteurs sont des bénévoles, vous mettant gratuitement à disposition le fruit de leurs travaux.

Par exemple, le cycle de vie de PHP 5.6, permettant à Prestashop 1.5+ (comprendre : Prestashop en version 1.5 et supérieur), ainsi qu’à Magento 1.9+ de fonctionner a été étendu plusieurs fois, c’est la plus longue période « de vie » d’une version de PHP : 4 ans et demi

.
      B/ Cycle de vie PHP et conséquences


Tout à une fin et l’hiver 2018 marquera la fin d’une période avec la mise en fin de vie définitive de PHP 5.6 … et de PHP 7.0. C’est la première fois dans l’histoire de PHP qu’une mise en fin de vie concerne directement 60 à 75% des applications Web.

Sous pression du RGPD, entré en vigueur fin mai 2018, il n’est plus question d’être laxiste en matière de sécurité de vos données. Tous les professionnels vont donc être contraints de se décharger de toutes responsabilités en cas de piratage si vos applicatifs vous contraignent à rester sur ces technologies dont l’obsolescence arrive à grands pas.

Dans les 4 prochains mois, vous devriez donc tous passer sous PHP 7.1 (fin de vie : décembre 2019) ou si possible sous PHP 7.2 (fin de vie : novembre 2020)


      C/ Evolution des infrastructures et du Manager TW


Une évolution arrive prochainement sur le Manager TW afin de vous permettre de savoir si la version native de votre application est compatible avec l’une et/ou l’autre version. Attention : il nous est impossible d’anticiper la compatibilité complète de votre zoosphère applicative, elle est unique pour chacun de nos clients.

Pour nos clients ayant des applicatifs les paralysant sous PHP 5.6 (Prestashop 1.5, Magento 1.9 et les développements sur mesure datant d’avant 2014), comme nous l’avons déjà vu ensemble au téléphone, il n’existe aucune solution hormis une refonte complète, à envisager au plus tôt.

Le cas échéant, cela sera uniquement une affaire de chance (et certains d’entre vous ont réellement une bonne étoile, nous avons toujours un système sous PHP 5.4 qui fait de la résistance, envers et contre tous depuis bientôt 7 ans !)

Pour nos clients éligibles, nous allons vous proposer courant octobre 2018 de passer graduellement vos préproductions, puis vos productions sous PHP 7.1 ou PHP 7.2.


Voici comment cela va se passer :  

- Le système d’exploitation que nous utilisons, réputé pour sa stabilité exceptionnelle, ne propose très malheureusement pas PHP 7.1 et supérieur. L’arrivée native du support est prévue pour Q3 2019 avec sa version 10 : Buster. Cela va nous contraindre à utiliser directement le dépôt d’Ondrej Sury et à déphaser complétement la branche PHP des dépôts officiels Debian. Le niveau de risque relatif à des instabilités systémiques est jugés très faible mais n’est pas inexistant. Tous les serveurs seront impactés par cette évolution, progressivement, durant les prochains mois (aucun effet de bord à prévoir, la version PHP sera préservée pendant cette phase)

Si vous êtes d’accord, nous mettrons ensuite à jour la version PHP de votre préproduction (pour la 7.1 ou la 7.2, les 2 pourront être testées) – Ces interventions sont incluses dans votre contrat d’infogérance.

- Votre zoosphère applicative sera entièrement à revalider sur votre préproduction avant l’application en production. Rassurezvous, cela sera nettement moins lourd que le passage de PHP 5.6 à PHP 7.0. Il ne s’agit après tout que d’une mise à jour « mineure »

- Une fois la solution validée, votre production sera mise à jour– les éventuels ajustements entrepris en préproduction devront être retrocompatibles avec la version PHP en cours d’utilisation afin de s’éviter une mise en ligne inutilement compliquée.


     /D Stabilisation du cycle de vie à 3 ans et avenir de PHP

Vous n’avez aucune inquiétude à vous faire sur l’avenir du langage PHP. C’est le langage le plus utilisé au monde pour propulser des applications Web.

La « crise » PHP 6 étant maintenant loin derrière nous, le cycle de vie des futures versions de PHP se stabilise autour de 3 ans (incluant un support sécurité étendu d’un an systématiquement).

Ce goulot d’étranglement n’était jamais arrivé dans l’histoire de PHP, et nous pouvons raisonnablement affirmer que cela n’arrivera plus avant fort longtemps. Tout comme c’est la première fois depuis des années qu’il y a une décohérence majeure de support entre le projet Debian et le projet PHP (qui sera neutralisée avec la sortie de Buster, l’été prochain)

    3. Renforcement de la lutte anti-spam


Les récentes attaques chinoises sur les formulaires de contact des Prestashop ont été mises sous contrôle via une évolution du contrôleur de trafic.

N’hésitez pas à nous transférer les emails récurrents qui sont envoyés à travers vos applications afin que nous fassions évoluer nos règles (évidemment pas ceux que vous recevez de tiers … et sur lesquels on ne sait malheureusement rien faire)

 

 

Nous sommes toujours à votre disposition au 09 70 44 42 84 si vous avez besoin d'informations complémentaires.

L'équipe TW - Infogérance serveur dédié OVH

 

Sources officielles : 

Cycle de vie PHP : http://php.net/supported-versions.php

Support PHP pour Stretch (Debian 9) : https://packages.debian.org/stretch/php

Support PHP pour Buster (Debian 10) : https://packages.debian.org/buster/php