Lettre d'information Mars 2020 - PHP 7.4 disponible sur Debian 10 + rappel sur les bonnes pratiques pour les mises à jour

Bonjour,

Au programme de cette lettre d'information : une mise à jour critique de sécurité pour Prestashop 1.7 (si vous utilisez Prestashop 1.6 - vous n'êtes pas concernés), l'arrivée du support PHP 7.4 et un briefing sur l'encadrement de vos éventuels stagiaires pour nos clients souhaitant en prendre sous leurs responsabilités.

 

1/ Mise à jour critique de sécurité pour Prestashop 1.7 (toujours non compatible PHP 7.3)

Si vous êtes sur Prestashop 1.6 : vous n'êtes pas concernés.

Vous pouvez retrouver la version de votre Prestashop  ici : https://manager.touchweb.fr/application/production.html , ou si votre site est en cours de conception ici : https://manager.touchweb.fr/application/production_creation.html

Si vous êtes sur Prestashop 1.7.X.X (donc toutes les versions de la branche 1.7), vous êtes concernés et nous vous invitons à contacter le développeur ou l'agence qui gère la maintenance de votre Prestashop pour qu'il le mette à jour rapidement.

La version publiée ce-jour (1.7.6.4) corrige cette vulnérabilité sensible qui peut permettre à un tiers de voler vos données clients. Tous nos partenaires de confiance ont été mis au courant 20 minutes après la publication officielle par Prestashop.

Source : https://github.com/PrestaShop/PrestaShop/security/advisories/GHSA-mhfc-6rhg-fxp3

Etant donné que vous risquez d'être nombreux à nous appeler à ce propos, et partant du principe que nous ne pourrons pas vous donner plus d'information que celles données ci-dessus, nous vous invitons à nous appeler qu'en cas de réelle nécessité et après avoir contacté le tiers en charge de la maintenance de votre Prestashop.

Il est important de rappeler que Prestashop 1.7 n'est toujours pas éligible à PHP 7.3 - la nouvelle version PHP disponible sur le nouveau système d'exploitation Debian 10, nous sommes toujours en attente de la publication officielle de la 1.7.7, annoncée comme étant PHP 7.3 ready.

Pour les plus techniques d'entre vous qui souhaitent avoir un suivi à ce propos, nous vous invitons à consulter le projet officiel relatif sur : Prestashop 1.7.7


2/ PHP 7.4 est maintenant disponible sur Debian 10

Comme prévu, PHP 7.4 est maintenant pris en charge sur le dernier système d'exploitation Debian (Buster)

Tous les gabarits de vos serveurs sous réserve qu'il soit à minima sous Debian 10 ont été mis à jour pour éviter des surconsommations inutiles à ce propos. Cela signifie que PHP 7.4 restera en sommeil jusqu'à ce que vous nous le réclamiez. NB : Ioncube arrive dès qu'ils seront prêts (en attente publication de la 10.4)

N'hésitez pas à nous contacter à ce propos si vous souhaitez en bénéficier, le document relatif au cycle de vie a été mis à jour en l'accord : https://www.touchweb.fr/cycle-de-vie - Peu de CMS sont éligibles à date, cependant la plupart des applications Web sur-mesure sous Symfony 5+ et Laravel 6+ pourraient le devenir.

Nous avons par ailleurs le plaisir de vous annoncer que la version 5 de PHPMyAdmin (PHP 7.3 ready) est maintenant pleinement prise en charge sur Buster.

 

3/ Bonne pratique en matière de mise à jour

Nous attirons une nouvelle fois votre attention sur la nécessité de tenir à jour vos sites E-Commerce ainsi que vos applications Web.

Pour nos clients qui suivent nos prérogatives à ce propos, détaillées au point B de cette lettre d'information : https://www.touchweb.fr/lettre-information-18111 - vous avez dû constater que vous n'aviez quasiment jamais de problèmes majeurs. Nous vous félicitons.

Cependant vous êtes encore trop nombreux à ne pas respecter ces bonnes pratiques, et au moins une fois par trimestre, l'un d'entre vous se fait pirater.

Nous avons pleinement conscience que bloquer de l'argent à ce propos n'est pas une mince affaire pour tous, cependant nous attirons votre attention sur le fait qu'un piratage coûte souvent 3 à 5 fois plus cher que le coût d'une mise à jour (sans parler des impondérables comme la dégradation de votre image de marque).

Bien que vos contrats de sauvegarde ainsi que nos process vous sécurisent le plus possible et permettent ainsi d'éviter des catastrophes (dont une perte irrémédiable de données pouvant engendrer une fermeture administrative de la société), pour les quelques uns d'entre vous qui ne respectent pas ces bonnes pratiques, nous vous invitons à prendre la mesure des menaces et risques réels que vous encourez lorsque vous ne respectez pas ces bonnes pratiques sur des durées possiblement tout à fait déraisonnables (plus de 2 à 4 ans sans mise à jour)

Sur le Manager TW, vous pouvez rapidement constater si vous respectez de bonnes pratiques à ce propos en consultant la colonne dénommée CMS des écrans d'hypervision applicatif (menu Application | Production active | Synthèse)

Si vous constatez sur cet écran un point d'exclamation rouge à gauche de la version, cela signifie que vous n'avez appliqué aucune mise à jour depuis au moins deux ans, une mise à jour est donc à planifier au plus tôt.


4/ Période de stage - Mieux vaut prévenir que guérir

Si la tendance se confirme sur cette 4° année, vous devriez être environ 25% à réfléchir à prendre en stagiaire et environ 15% à le faire réellement.

Si vous souhaitez encadrer un junior (donc un profil justifiant de moins de 5 000 heures de développement), il est primordial que vous le sensibilisiez aux conséquences que peuvent avoir ces actions sur votre site E-Commerce.

Il n'est pas rare de croiser des juniors enthousiastes, n'ayant pas encore pris la mesure des défauts inhérents à leur humanité, incluant leur non-omniscience, justifiant expressément la mise en place de protocole de tests.

Il est important que la préproduction leurs soit présenter comme un environnement sécuritaire permettant de les protéger autant que de protéger votre site E-Commerce.

Deux incidents majeurs évitables, générés par des stagiaires, ont eu lieu l'année dernière à cause d'actions non testées qui auraient pu être évitées en exploitant la préproduction.

Nous vous encourageons également à leur transmettre l'aide : https://www.touchweb.fr/aide - Si vous bénéficiez d'une infrastructure haute disponibilité (double production répliquée), dorénavant la sauvegarde des bases de données passent toutes les 30 minutes sur le serveur secondaire de production.

 

5/ Apple décide d'imposer des surfacturations de 40% sur les certificats SSL (HTTPS)

Pour des raisons obscures (du fait d'un non-sens technique), Apple a décidé unilatéralement d'imposer des durées de vie d'un an maximum sur les certificats SSL, ayant pour conséquence d'augmenter les prix des certificats SSL de 30% à 50% (du fait de la neutralisation des remises relatives lors d'une souscription de deux ans).

Bien que nous ayons bon espoir que cette décision inintelligible soit remise en question avant son entrée en application en septembre prochain du fait de son intérêt inexistant si ce n'est d'augmenter le chiffre d'affaire des sociétés émettrices des certificats SSL et de contribuer à comprimer encore plus les marges des sociétés d'infogérance comme la nôtre, contraintes à offrir les interventions de maintenance relatives aux rotations.

Dans l'éventualité improbable où Apple persiste à imposer sa volonté à ce propos aux professionnels, il est prévu d'arrêter définitivement de prendre pour deux ans les certificats SSL courant Mai - Aucun impact sur les certificats en cours de validité. Cela signifie que les prochains renouvellements sur les certificats WILDCARD coûteront 70€  / an au lieu de 100€ / 2 ans.

Pour les plus techniques d'entre vous, l'argument avancé est de contraindre les tiers à des rotations plus fréquentes pour limiter l'exposition sur la durée des certificats compromis, sauf qu'aucune mécanique n'empêche à date qui que se soit de recycler les CSR et la clé privé associée en cas de compromission.


Un changement de certificat plus fréquent n'y changera donc rien, autrement dit à part globalement contrarier tous les professionnels du secteur, l'intérêt côté sécurité est faible à inexistant.

C'est la 2° décision inintelligible d'un GAFA depuis un an. La première étant la suppression des barres vertes propres aux certificats SSL type EV, qui avait occulté le débat sur les attaques par homographie (et le fait que les certificats SSL EV pouvaient constituer un rempart à cela) au profit d'un argumentaire mono-centré autour des garanties financières octroyées considérées globalement semblables.

Nous restons en veille à ce propos quoi qu'il se passe - aucune inquiétude à avoir à votre niveau.

 

6/ Arrivée probable d'un reporting trimestriel sur les utilisateurs ayant des pouvoirs d'administrateur

Nous avons constaté depuis quelques années que peu de clients prenaient le temps de tenir un registre à jour des utilisateurs pouvant accéder à leurs sites et serveurs, majoritairement par manque de temps.

Ce registre peut devenir de plus en plus complexe à tenir à jour au fur et à mesure de la démultiplication des sites Internet en gestion, démultipliant possiblement les serveurs et leurs accès relatifs par SSH et/ou FTPES.

Nous réfléchissons actuellement à la mise en place d'un rapport trimestriel (à débattre - cela sera sans doute configurable entre mensuel et semestriel) compilant tous les utilisateurs pouvant être assimilés à des administrateurs déclarés sur vos sites Internet (une notion qui sera sans doute à ajuster en fonction des sites)

Cela pourrait grandement faciliter la vie de certains d'entre vous sur la tenue d'un tel registre et ainsi faciliter son administration.

En plus de cela, on pourrait aussi détecter pro-activement des accès de prestataires en liste noire (historique d'actes malveillants généralement). Comme vous le savez, il est impossible en France de communiquer à ce propos sans s'exposer à des plaintes pour diffamation, c'est pour cette raison qu'il n'existe aucune liste noire publique.

Pour des raisons pratiques, il sera nécessaire que ces informations soient remontées à l'hyperviseur, cela signifie que les nom/prénoms/emails déclarés alimenteront un écran spécifique du Manager TW, ce qui permettra à l'hyperviseur de générer ces rapports puis de vous les soumettre.

Si vous ne souhaitez pas que ces informations remontent à l'hyperviseur (nom / prénom / email des profils type administrateur), nous vous invitons à manifester formellement votre refus à ce propos.

----------------------

Nous vous souhaitons une excellente fin de semaine.

L'équipe TW - Votre spécialiste en infogérance serveur dédié OVH