Lettre d'information Octobre 2019 - Fin de vie PHP 7.1 - Recherche bêta-testeur Debian 10

Bonjour,

Dans cette lettre d'information, nous allons faire un point sur la mise en fin de vie de PHP 7.1, les évolutions des mécaniques de cyberdéfense, le report de l'obligation de mise en oeuvre de 3D Secure VERSION DEUX et la sortie de Debian 10 !

1/ Arrivée du nouveau système d'exploitation Debian 10 (nom de code : Buster) - nous recherchons des bêta-testeurs (remise commerciale de -50% pour deux ans)

Comme vous le savez, pour garantir un service professionnel et stable, il est nécessaire d'avoir un excellent recul. Pour la vente de logiciel, cela passe obligatoirement par des campagnes de bêta-tests.

C'est à dire des phases de tests engendrant des dysfonctionnements plus ou moins sévères, nécessaires à l'obtention d'un logiciel stable et professionnel (dans le cas présent : serveur ET site stables)

Nous sommes cependant confrontés à un problème qui n'est jamais arrivé dans notre histoire, aucun de nos clients sous Prestashop n'est éligible à date et en l'état à Debian 10 (PHP 7.3).

Bien que nous soyons confiants sur les capacités des bénévoles s'occupant du projet Prestashop à rapidement se mettre en conformité à ce propos, cela freine le déploiement de Buster sur l'infrastructure.

Nous recherchons donc des bêta-testeurs (deux pour être précis) sur Debian 10.

Compte tenu des possibles instabilités chroniques et des problèmes engendrés par ces campagnes de bêta-tests, cela n'est pas adapté à tous les types de projets ET profils.

Il est de ces choses que l'on préfère ignorer pour se préserver d'angoisse inutile, exactement comme vous savez que les gardiens de la paix sont là pour vous protéger, qu'ils font leur travail, sans nécessairement avoir envie de savoir précisément par exemple qu'ils ont arrêtés un multi-récidiviste habitant deux étages en dessous de votre appartement.

Mais si d'aventure vous vous sentez l'âme d'un explorateur sans peur, voici une présentation du programme : https://www.touchweb.fr/infogerance-prestashop/pilote?key=42


2/ Fin de vie de PHP 7.1 - Mise en place de PHP 7.2 conseillée

Si vous ne l'avez pas déjà fait, nous vous conseillons de mettre en place PHP 7.2 au plus tôt en l'accord avec ce planning : https://www.touchweb.fr/cycle-de-vie

Le cas échéant, comme prévu, dès que le gestionnaire PHP pour Debian, M. Sury aura supprimé définitivement PHP 7.1 (ce qui peut arriver à tout moment à compter du 1° décembre 2019), nous rétrograderons la version PHP pour la version 7.0 (support natif pour Debian 9 jusqu'à sa fin de vie à l'été 2022)

Si vous êtes susceptibles de subir ce scenario de rétro-gradation de la version PHP exploitée par votre site Internet, nous vous invitons à faire le nécessaire pour rendre l'ensemble rétro-compatible PHP 7.0 sans délai.

En ayant bien en tête que si vous travaillez avec l'un de nos partenaires de confiance, cela ne posera aucun souci, ils sont tous parfaitement au fait de cela depuis des mois.

Si vous n'avez pas lu la lettre d'information de Novembre 2018 à ce propos, nous vous invitons à lire le point B/ avec attention : https://www.touchweb.fr/lettre-information-18111

Pour ce qui est des éventuels emails de vos hébergeurs/registrars historiques (avant votre arrivée chez nous) vous informant d'une obligation de mise en conformité PHP 7.3 - vous n'êtes pas concernés sur les sites Internet que nous supervisons.

Vous avez la chance d'être sur des serveurs / instances dédiés qui bénéficient d'un support à long terme des versions PHP natives. PHP 7.0 sera donc préservé durant tout le cycle de vie de Debian 9. Bien que nous vous conseillons de mettre à jour, cela n'est pas une "obligation" et nous ne casserons pas vos services si vous ne respectez pas ce conseil comme cela va malheureusement arriver à tous les professionnels qui hébergent leurs sites sur des hébergements mutualisés.

 

3/ DSP2 : Report de l'obligation de mise en place de 3D Secure VERSION DEUX

Il semblerait qu'une grâce de deux ans ait été octroyée à tous les professionnels du E-Commerce pour se mettre en conformité avec la version DEUX de 3D Secure, censée devenir obligatoire le premier semestre 2020.

Nous vous invitons à contacter vos banques respectives pour en avoir l'assurance.


4/ Mise en place d'un réseau d'attaque d'infrastructure pour contrôler l'efficacité des systèmes de cyber-défense

Avant-propos : Pour la suite de ce texte, il est important de contextualiser les informations ci-dessous - nous sommes une société d'Infogérance E-Commerce, travaillant majoritairement sur le marché des TPE- nous ne sommes pas une société de maintenance informatique supervisant des parcs d'ordinateurs dans les locaux de nos clients. Nous ne gérons donc pas le même type de cyber-menace que ces sociétés. Il est donc probable que vous entendiez des discours différents de confrères exerçant sur un secteur d'activité qui peut sembler identique mais qui ne l'est pas du tout d'un point de vue technique.

Les risques "cyber" ne cessent de s'accroitre et chaque jour nous adaptons nos protocoles de sécurité aux nouvelles menaces.

Bien que l'état Français commence à prendre la mesure des préjudices subis, et s'essaie à rentrer dans une dynamique de sensibilisation ou le cas échéant d'aide aux victimes, nous restons exposés à ces risques sur le marché des TPE/PME du fait des budgets (souvent) limités.

Comme nous vous le rappelons sur cette page : https://www.touchweb.fr/infogerance-serveur-ovh/infogerance-serveur-debian, le législateur est souvent impuissant sur Internet du fait de l'impossibilité quasi systématique d'identifier précisément un tiers.

La quasi-totalité des attaques engendrant des préjudices (DDOS ou des tests de pénétration réussis - pentest) étant entreprise depuis des zones difficilement d'atteinte pour la législation française comme la Chine, le Panama, etc.

Globalement, très (trop) peu de professionnels s'essaient à entreprendre des recours en justice à l'issue improbable contre des tiers non identifiables à l'autre bout de la planète au regard des coûts parfois importants que cela peut engendrer sans aucune assurance du retour sur investissement.

Cela contraint tous les opérateurs/superviseurs de service (dont nous faisons partis) à se substituer aux législateurs et à prendre des décisions tel que "bannir une personne - ou tout du moins son adresse sur l'Internet", ce qui en droit équivaut à une injonction d'éloignement. Bien que cet état de fait contrarie absolument tous les professionnels du secteur, nous sommes contraints de nous y plier pour protéger les projets.

Dans la continuité de toutes les évolutions déjà entreprises en matière de cyber-sécurité, nous avons donc le plaisir de vous annoncer que la flotte de serveurs TW s'occupant de piloter vos infrastructures s'est récemment enrichie d'un réseau de serveurs d'attaque réparti dans le monde entier.

Cela nous permet d'entreprendre des tentatives d'intrusion régulièrement (contrôlées et SANS DANGER) sur vos serveurs pour contrôler que les mécaniques de cyber-défense fonctionnent correctement ou le cas échéant, d'engendrer des alertes pour qu'un technicien intervienne sans délai.

Couplé aux nouvelles mécaniques de détection de centre de données corrompus engendrant des bannissements permanents sur l'ensemble de l'infrastructure, cela nous permet d'aller toujours plus loin pour vous garantir une stabilité qui se veut perfectible.


5/ Mise à disposition d'une nouvelle routine permettant encore de réduire la taille de vos systèmes

Suite à la récupération d'un projet ayant observé de mauvaises pratiques en matière de proportions d'images ayant fortement augmenté le poids du site Internet (plus de 30Go pour moins de 2 000 produits), nous avons enrichi nos outils pour détecter puis auto-redimensionner ces visuels ayant des proportions inadaptées à un format Web (résolution supérieure à full HD - généralement 4K/8K).

Si certains secteurs d'activité bien particuliers peuvent nécessiter des visuels de plus de 2 millions de pixels (luxe / arts), de manière générale et en l'état de la résolution moyenne des écrans d'ordinateurs en 2019 et ce jusqu'en 2022, cela est considéré inapproprié en plus d'engendrer des surcoûts notoires et inutiles sur les contrats SAUVEGARDE. Un format full HD étant largement suffisant.

Comme d'habitude dans le cadre des évolutions du superviseur, cette nouveauté vous est proposée gratuitement et vous pouvez donc nous réclamer quand vous le souhaitez un audit de votre système pour savoir si des gains peuvent être obtenus.

 

6/ Mise en place de bride par pays sur vos sites Internet : nous vous invitons à la prudence

Certains d'entre vous pour des raisons diverses et variées sont susceptibles d'interdire via le backoffice de leurs sites Internet certains pays (tiers malveillant, incapacité de livraison, conflit avec la législation locale, etc.).

Nous vous invitons à la prudence dans cette démarche, surtout si vous bannissez des pays occidentaux (tel que les USA) qui sont susceptibles d'héberger des sites Internet de vos fournisseurs / partenaires engendrant par effet domino un arrêt ou une dégradation de service de votre site Internet.

Tous les acteurs avec lesquels vous êtes susceptibles de travailler ne sont pas nécessairement en adéquation avec des problématiques de souveraineté numérique (souvent par manque d'intérêt), et sont donc susceptibles de travailler avec des sociétés outre-Atlantique (GAFA).

Dans ce contexte, quand vous décidez de bannir un pays pouvant héberger un acteur numérique d'envergure, nous vous invitons à la vigilance sur vos dépendances (retour bancaire, export des produits/commandes/stocks, etc.).

 

Nous vous souhaitons un excellent week-end

L'équipe TW - Votre spécialiste en infogérance OVH