Lettre d'information Janvier 2024 - Bilan 2022-2023 + Mise à jour majeure des protocoles de sécurité



La mise en forme des lettres d'information au format Web (donc la page que vous êtes en train de consulter) est perfectible.

Cela vient du fait que la mise en forme est adaptée pour un export PDF (donc à télécharger - lien ci-dessus) pour des raisons légales.


Bonjour,

A nos clients à qui nous ne l'avons pas encore souhaité de vive voix : nous vous présentons nos meilleurs vœux pour cette année 2024, de bonheur, de réussite et surtout de santé.

Pour la suite, nous vous prions de considérer que parler de cyber-sécurité est un exercice particulièrement compliqué, autant d'un point de vue politique que d'un point de vue commercial, la suite se veut aussi factuelle que possible. Nous vous prions également de nous donner une autorité à énoncer d'éventuelles contre-vérités à ce que vous avez pu entendre.


A/ Bilan 2022-2023 - Arrivée de réseaux criminels professionnels sur le E-Commerce

Comme vous l'aurez compris par l'absence de lettre d'informations depuis presque 2 ans, l'actualité est rythmée depuis Juillet 2022. La guerre en Ukraine et maintenant au Moyen orient a engendré une élévation sans précédent de la menace sur l'Internet.

Avant 2022, les attaques étaient souvent "ciblées" contre une plateforme E-Commerce précise, dorénavant les attaques sont industrialisées et permettent d'auto-compromettre des centaines à milliers de sites E-Commerce, tout écosystème confondu. Voici deux attaques devenues communes : 

1. Attaque à l'IBAN frauduleux 

Ce type d'attaque constitue un challenge pour ceux d'entre vous qui refusent toujours de mettre sous restriction les accès à leurs backoffices.

Nous vous encourageons à nous réclamer une mise sous restriction IP de votre backoffice si ce n'est pas déjà fait - pilotable via le Manager TW.

L'attaquant ayant préalablement réussi à compromettre un login / mot de passe d'un backoffice OU ayant réussi via une autre attaque à créer un compte administrateur (injection SQL), il modifie l'IBAN dans le backoffice temporairement, de 2 à 6 heures par jour.

Sur ces intervalles journaliers, la clientèle du marchand concerné, adepte du paiement par virement bancaire, fait des virements sur un IBAN frauduleux.

Les marchands concernés mettent entre 2 jours et 2 semaines pour s'en rendre compte, ce qui les met dans une position particulièrement inconfortable quand ils réalisent ce qu'il vient de se passer vis à vis de leur clientèle. Souvent, il est indispensable commercialement que le marchand rembourse ses clients ou expédie "gratuitement" sa marchandise.

2. Attaque par Webskimmers - vol massif de cartes bleues : 

Ces attaques sont les plus dangereuses pour la réputation des entreprises avec un vrai risque de déstabilisation.

Les pirates modifient en profondeur les fichiers de votre E-Commerce pour pouvoir insérer un collecteur frauduleux de cartes bleues dans le tunnel d'achat.

Les pirates les manufacturent de telle manière à ce que les marchands concernés ne puissent pas les voir s'ils sont connectés à leurs backoffices, et leurs clientèles ne les voient qu'une seule fois sur deux - la 2° fois, c'est bien le moyen de paiement officiel qui est affiché. Les marchands concernés ont donc toujours des commandes comme à l'accoutumée.

Voici à quoi cela ressemble dans les tunnels d'achat : 

Cerise sur le gâteau, tous ceux qui se prennent ce piratage intègrent des listes noires officielles chez ces réseaux criminels et sont systématiquement harcelés même après avoir corrigé ce qui devait l'être.

Les concernés mettent de 2 semaines à 1 mois et demi pour s'en rendre compte et doivent ensuite contacter tous leurs clients pour leur demander de faire opposition à leurs cartes bleues, ce qui peut avoir un effet cataclysmique sur leurs chiffres d'affaires. Et pour finir, si la réparation post piratage n'est pas effectuée par un (vrai) professionnel de la cybersécurité, les marchands concernés se refont pirater de manière chronique.

Un mode opératoire professionnel qui met sous pression toute la "supply chain" : marchands, développeurs, concepteurs de modules, infogérances et hébergeurs.

Au delà de la finalité (vol massif de cartes bleues / détournements de fonds sur IBAN frauduleux) qui les caractérise comme étant des criminels, le statut de "professionnel" a été obtenu à cause d'un mode opératoire méticuleux ayant déclenché un effet domino sur les écosystèmes E-Commerce.

A chaque piratage d'un site E-Commerce, ces réseaux criminels investissent de l'argent en missionnant des spécialistes en audit sécurité pour débusquer d'autres points d'intrusion exploitables sur d'autres composants partagés (modules/plugins achetés sur des places de marché) pour pouvoir pirater d'autres sites E-Commerce.

Chaque mois, de nouveaux sites E-Commerce se font pirater, les audits sécurité permettent de découvrir toujours plus de points d'intrusion ce qui engendre le piratage de toujours plus de sites E-Commerce. C'est une spirale qui n'ira qu'en s'aggravant si toute la supply chain ne se mobilise pas.

A qui la faute en cas de piratage ?

Est-ce la faute du marchand qui pour des raisons d'économie d'échelle ou par manque de temps a refusé de tenir à jour sa solution ?

Est-ce la faute du développeur qui a installé un module sans réaliser d'audit sécurité ? Si le client ne l'avait pas explicitement missionné pour cela, est ce que cela peut constituer une négligence grave sur une obligation de conseils ou un devoir de vigilance ?

Est-ce la faute du concepteur de modules qui a mis sur le marché un produit à risque pouvant être facilement détourné par des réseaux mafieux ? Tout en sachant que 99% des modules ont des licences qui stipulent qu'ils sont fournis en l'état et sans aucune garantie ?

Est-ce la faute de l'infogérance qui n'a pas été capable de définir dans le respect de l'état de l'art un plan d'atténuation des risques résistant à des cyber-attaques ?

Est-ce la faute de l'hébergeur qui a autorisé des tiers à utiliser à son insu son réseau informatique pour commettre une cyber-attaque ?

Comme à chaque fois qu'il n'y a aucun responsable précisément identifiable :

Tout le monde est responsable.


B/ Réponse sur incident de TouchWeb depuis Juillet 2022 - 1 200 000€ d'investissement.

Au regard de la gravité des attaques pouvant avoir un impact funeste sur les projets, de l'accélération de leurs fréquences et de leur envergure toujours "globale" au lieu d'être "ciblée sur un dossier précis", nous avons décidé d'investir environ 1,2 millions d'euros pour mettre en sécurité notre clientèle.

Cela représente presque 10 000 heures de travaux abattus depuis 2022.

1. Un audit sécurité a été déclenché sur toute l'infrastructure en Août 2022 sur l'ensemble des sites E-Commerce de nos clients.

C'est un secret de polichinelle que de nombreux marchands mettent à jour avec une rigueur discutable leurs solutions, pour diverses raisons, qui n'est pas aussi souvent qu'on le pense une recherche d'économie, souvent il s'agit juste d'un manque de bande passante.

Les statistiques disponibles à ce sujet sur le Manager TW sont assez éloquentes (menu Global - Application - Statistiques) - et sont relativement semblables à celles de nos confrères.

Ajouter à cela que plus les sites E-commerce génèrent de cash, plus les marchands sont frileux sur les mises à jour par peur de "casser la machine".

TouchWeb étant positionné sur le marché des TPE tranche haute (plus d'un million par an) et des PME, le parc que nous gérons est obsolète à gravement obsolète à plus de 60%.

Nous avons offert à chacun d'entre vous, entre Aout 2022 et Mars 2023 un audit sécurité qui vous aurait coûté s'il avait été réalisé par des professionnels de la cybersécurité entre 5 000 et 25 000€ par site E-Commerce.

C'est par la suite devenu la norme sur les acquisitions, tous les projets entrants font l'objet d'un audit sécurité offert.

La volumétrie de vulnérabilités de gravité élevée (accessible uniquement par un administrateur sur un backoffice) découverte étant trop importante (plusieurs milliers), il a été décidé de les ignorer.

Néanmoins, toutes les vulnérabilités détectées de gravité critique ainsi que toutes les fuites de données ont été traitées chirurgicalement, cela représente à date un peu plus de 400 modules pour plusieurs milliers de fichiers qui ont été corrigés par nos soins sur la clientèle - en toute transparence avec nos clients et/ou leurs développeurs.

Quelques statistiques : 

98% des projets que nous avions en gestion souffraient d'au moins 5 vulnérabilités critiques non connues et pour 30%, plus de 20 vulnérabilités critiques non connues ont été identifiées.

95% des projets entrants sur de nouveaux clients depuis 1 an souffraient d'au moins 10 vulnérabilités critiques de sécurité débloquant un vol massif de cartes bleues.

2. Production de masse de notes de sécurité (CVE) relayées au niveau mondial

Il était évidemment impensable de faire preuve d'égoïsme et de garder pour nous nos découvertes, tout comme il était exclu de revendre cela sur le Darknet plusieurs millions d'euros. Cela n'avait également aucun sens d'un point de vue business au regard de la menace systémique que représente l'arrivée de réseaux criminels professionnels sur les écosystèmes à moyen terme.

Nous avons donc coorganisé avec l'association française Friends of Presta et le concours de 202 E-Commerce une réponse mondiale qui s'est traduite par la publication en masse de notes de sécurité (CVE).

Pour éviter un effondrement des écosystèmes, il était essentiel de temporiser intelligemment les publications pour que les écosystèmes s'adaptent en douceur à ce changement profond de paradigme.

Sur 2023, plus de 100 CVEs ont été réalisées, dont plus de 70% de la part des spécialistes en cybersécurité de TouchWeb. Entre 100 et 200 sont attendues pour 2024.

Tout écosystème confondu, nous assistons encore à des records en matière de vulnérabilités déclarées.

Source : https://cve.icu/CVEAll.html

3. Evolution majeure de la surveillance de vos sites E-Commerce

Auditer c'est bien, mais il n'est pas possible avec un mode de fonctionnement au forfait d'auditer chaque jour chaque dossier à chaque modification par un tiers.

De plus, si nous avions déjà une batterie d'outils dédiée à la détection de piratage / virus / malware en tout genre, ils n'étaient pas conçus pour anticiper réellement le risque, uniquement pour faciliter les détections et les remédiations (réparation post piratage).

Nous avons donc investi massivement dans de nouveaux automates pour débusquer de manière industrielle le plus possible de biais de conception constitutifs de vulnérabilités pouvant potentiellement être exploitées et ayant été découverts pendant les audits sécurité de vos applicatifs.

Pour les plus techniques d'entre vous : nous avons produits des dizaines de regex sur la base des patterns PHP constitutifs de vulnérabilités que nous avons POC sur un large scope de CWE, qui vont de triviales 22/89/434 (path traversal / injection SQL / uploader PHP) à de velues 200/359 (fuite de données), tout en passant par des épineuses 918/502 (SSRF / Deserialisation)

Chaque semaine, cela déclenche des audits sécurité sur vos dossiers et ponctuellement, cela lève des vulnérabilités.

4. Création d'outils de contre-espionnage de réseau criminel - écoute active des signaux faibles

Pour des raisons de confidentialité, il n'est pas possible de vous détailler avec soin ce qui a été fait sur ce sujet.

La quasi-totalité des cyber-attaques est triphasée : 

Phase 1 : elle consiste en un appel innocent sur un fichier statique - généralement une image, une feuille de style ou un fichier javascript qui permet à un pirate de confirmer l'existence d'un module / plugin sur le site E-Commerce

Phase 2 : elle consiste à un appel avec charge inoffensive - le pirate sait que vous avez le module / plugin qu'il cherche, il veut savoir s'il souffre de la vulnérabilité critique de sécurité qu'il cherche

Phase 3 : le pirate passe à l'attaque, le pirate sait que vous avez le module / plugin qu'il cherche dans la version qui a la vulnérabilité critique qu'il veut exploiter et passe donc à l'action

Sans rentrer dans les détails, nous avons déconstruit finement le mode opératoire d'une dizaine de réseaux criminels professionnels pour identifier de manière proactive en amont P2 (comprendre : à la phase 1) ce qu'ils cherchent.

Cela nous permet d'auditer proactivement les modules / plugins qui sont scannés et, dans 98% des cas de patcher par nos soins la vulnérabilité critique constatée ou dans 2% des cas, vous inviter à mettre à jour le module / plugin bien en amont des P3 (phase d'attaque) voire des P2 (phase de confirmation).

Grâce à cette mécanique sensible, et pour nos clients ayant suivi nos prérogatives, aucun de leurs dossiers n'a subi de piratage sur la période malgré des cyber-attaques toujours plus fréquentes.

Le seul client qui s'est fait pirater cette année avait été mis au courant plus d'un mois à l'avance que le plugin concerné était scanné et avait été invité à faire corriger son défaut critique de design sans délai.

Pour les plus techniques d'entre vous : il s'agissait d'une 639 (IDOR) en l'occurence, celle de woodmart qui permettait de devenir super administrateur de Wordpress à cause d'un défaut grave de design permettant à n'importe qui de se connecter sur n'importe quel compte. Étant donné que Wordpress ne fait aucune distinction logique "ferme" entre les clients et les admins, cela facilite grandement les vols d'accès sur les backoffices si une 639 est présente. De manière générale, les IDOR ne peuvent pas être traitées par firewall applicatif la quasi totalité du temps étant donné que c'est un ennemi de l'intérieur - tant que l'on ne connait pas avec exactitude le paramètre détourné, il n'est pas possible de le mettre sous restriction WAF, son contenu étant toujours inoffensif en l'état.

5. Evolution majeure de notre firewall applicatif (WAF) - dorénavant stressé par l'une des meilleures sociétés de cybersécurité au monde

Auditer, publier, surveiller .. et si l'on pouvait neutraliser en amont le plus de vecteurs d'attaque possible ?

Grâce à l'un de nos grands comptes qui nous a mis le pied à l'étrier en Février 2023 sur le test d'intrusion applicatif Qualys WAS, proposé par la société mondialement reconnue Qualys Inc, nos mécaniques de cyberdéfense applicative ont été durement challengées.

Ce test d'intrusion applicatif est l'un des plus complets au monde, il couvre un large périmètre de menace pour l'applicatif (site E-Commerce).

Après plusieurs milliers d'heures de travaux, nous avons le plaisir de vous annoncer que plus de 80% des charges sont dorénavant bloquées nativement - là où la quasi totalité de nos confrères sur le marché des TPE travaillent sur un taux de blocage oscillant entre 5 et 20%, pour ceux qui ne sont pas à 0%.

Pour nos clients les plus techniques : vous êtes vacciné, au mieux qu'il est raisonnablement possible de faire sans que nous finissions tous en dépression, contre le Top 10 OWASP via notre WAF. À notre connaissance et avec notre pricing, nous sommes les seuls en France à le faire sur les écosystèmes CMS E-Commerce à une échelle INFRA.

Nous avons par ailleurs également le plaisir de vous informer que vous venons d'offrir dans nos contrats HA/PME et supérieurs ce test d'intrusion applicatif. Nos clients concernés seront prochainement contactés à ce sujet.

6. Création de formations pour vos développeurs - offertes aux adhérents de l'association Friends of Presta

Compte tenu de la volumétrie de vulnérabilités critiques de sécurité découvertes, il est apparu essentiel de former le plus possible de tiers à la cyber-sécurité.

Comme tous les autres secteurs d'activité, les professionnels du développement sur site E-commerce n'échappent pas à l'effet Dunning Kruger : 

Ce changement de paradigme en matière de menace doit obligatoirement entrainer une remise en question des compétences de chacun.

Nous avons constaté avec effroi qu'une volumétrie beaucoup trop élevée d'ultracrépidarianiste se permettait de parler de cyber sécurité, les mêmes n'ayant jamais publié une seule note de sécurité de leur existence et se permettant des envolées lyriques péremptoires et absurdes en la matière.

Pour remettre les pendules à l'heure aux quelques concernés qui sont dans leur ascension de la montagne de l'ignorance et qui sont de fait dangereux, ainsi qu'aider tous ceux qui en ont besoin, nous avons décidé de créer des formations.

Elles sont à destination de développeurs PHP confirmés à seniors et sont offertes un Jeudi sur 2 aux adhérents de Friends of Presta.

Elles sont également offertes aux développeurs du réseau TW et aux développeurs de nos clients sur les forfaits HA/L3 et supérieurs.

Nous encourageons vos développeurs PHP à nous contacter à ce sujet, ils peuvent trouver un extrait de nos formations ici.


C/ La MFA devient obligatoire sur le Manager TW à compter du 01/02/2024

Cela fait plusieurs mois que le ton s'est durci à ce sujet sur le Manager TW pour vous inciter à vous astreindre à vous intéresser aux facteurs multiples d'authentification via Google Authenticator (TOTP) ou Yubikey (OTP) sous pression des recommandations de la CNIL et de l'ANSSI.

Plus de 85% d'entre vous ont d'ores et déjà fait le nécessaire à ce sujet et nous vous en remercions.

Nous vous informons qu'à compter du 01/02/2024, tous les comptes souffrant d'une négligence à ce sujet seront automatiquement fermés par tâche planifiée journalière ce qui sera susceptible de paralyser votre société si vous avez besoin d'éditer vos listes blanches / régénérer votre préproduction / récupérer des accès FTP / etc.

Nous partons du principe que vous êtes dorénavant tous bien au fait de ce que c'est, de comment cela fonctionne, et il n'y a plus aucune excuse à ne pas le mettre en œuvre à part une négligence inacceptable vu le contexte.

Nous vous informons également que la CNIL et l'ANSSI vous recommandent vivement la mise en œuvre de ce type de protection sur les authentifications sur vos backoffices.

A défaut, nous vous encourageons à nous réclamer une mise sous restriction par adresse IP de votre backoffice - pilotable via le Manager TW.


D/ Les restrictions par adresse IP deviennent la norme sur les accès FTP / SSH / PMA à partir du 15/02/2024

Compte tenu de la volumétrie non négligeable de nos clients qui cèdent des accès FTP / PHPMyAdmin sur les places de marché dans le cadre d'intervention de maintenance de développeurs de modules, sans nous avertir et donc sans changer les mots de passe après l'intervention, nous vous informons que tous les accès SSH / FTP / PMA seront sous restriction par adresse IP "par défaut" à compter du 15/02/2024 - pilotable via le Manager TW.

Vous avez 1 mois et demi pour régulariser votre liste blanche et y ajouter tous les éventuels tiers nécessaires.

Ce cadre étant posé : nous ne nous opposerons pas à un retrait de ces restrictions si vous en faites la demande en ayant bien en tête que vous prendrez l'entière responsabilité des effets délétères relatifs sur la sécurité de votre projet.

À vos éventuels - et rares - intervenants susceptibles de s'insurger contre ces restrictions : il est inacceptable dans un contexte professionnel de refuser de souscrire à un VPN sur IP dédiée coûtant généralement moins de 15€ HT / mois. C'est dorénavant jugé comme étant une pingrerie abusive. Les intervenants concernés doivent être considérés incompatibles par nature avec des systèmes qui traitent des données bancaires.


E/ Démarrage des pénalités financières pour obsolescence des serveurs sous Debian 10

Comme prévu, le cycle de vie du système d'exploitation Debian en version 10 (nom de code Buster) touche à sa fin et des pénalités financières sont dorénavant appliquées. Pour savoir si vous êtes concernés, il vous suffit d'aller sur le Manager TW : menu Infrastructure puis Serveurs et enfin consulter la colonne de droite.

Pour éviter ces pénalités qui doublent le prix de votre contrat d'infogérance tous les 6 mois, nous vous proposons comme à l'accoutumée de vous offrir la mise à jour du système d'exploitation vers Debian 12 qui va nous accompagner jusqu'en 2028 en l'accord avec son cycle de vie relatif

Comme d'habitude, la mise à jour sera biphasée, nous mettrons à jour votre préproduction pour que vous puissiez constater que tout fonctionne ou à défaut, que votre développeur procède aux quelques ajustements mineurs nécessaires et enfin, nous planifierons la mise à jour de vos productions.

OVH devrait proposer dans un avenir assez proche de nouvelles gammes de serveurs première vie, nous vous en ferons profiter en même temps que la mise à jour.


F/ PHP 8.3 est maintenant disponible sur Buster et Bullseye (Debian 10 et Debian 11)

La version PHP 8.3 est dorénavant disponible sur tous les serveurs du staging 3/6 (bêta testeur niveau 1 et niveau 2), elle sera débloquée sous 2 semaines sur le staging 4/6, puis progressivement sur février à tous les stagings supérieurs.

Par ailleurs, nous vous informons également que les applications systèmes PHP en version 8.0 et inférieures permettant au langage de programmation PHP - avec la syntaxe des versions 8.0 et inférieures - de fonctionner, ont atteint la fin de leurs cycles de vie : il n'y aura donc plus jamais de mise à jour (incluant des mises à jour de sécurité).

Si vous utilisez PHP en version 8.0 ou antérieure, nous vous invitons à contacter votre développeur pour qu'il fasse évoluer votre application métier pour qu'elle soit éligible à PHP 8.1 à minima puis à nous solliciter pour la mise à disposition.


G/ Nouveaux contrats et mise à jour des niveaux de service

Certains d'entre vous le savent déjà, cela fait 2 ans que nous travaillons à une refonte de notre framework légal avec notre cabinet d'avocat, le cabinet Haas à Paris.

Nous espérons faire partir en production ces nouveaux contrats d'ici quelques semaines, ils incluent notre nouvelle grille tarifaire qui nous suivra sur l'encours 2024-2025.

Tous les anciens contrats seront cassés de l'initiative de TouchWeb à vos échéances annuelles.

1. Pour tous nos clients étant sur des forfaits dont le prix mensuel est inférieur à 500€ HT / mois (forfaits HA/L2 et inférieurs) : 

Notre doctrine ne change pas, nous avons toujours offert et continuerons de vous offrir les évolutions que l'on créée pour nos grands comptes.

Maintenant nous espérons que vous entendrez que les évolutions majeures de service depuis 2 ans ont engendré un travail à perte sur vos dossiers qu'il n'est plus possible d'assumer en l'état de nos engagements.

Ainsi nous vous informons que pour éviter les doubles peines (travail à perte et pénalité) nous supprimons toutes nos garanties d'intervention / réparation sous pénalités qui passent en garantie "meilleure effort" (on répare au mieux sans pression financière) du lundi au vendredi de 9h à 17h.

Pour les rares d'entre vous qui risquent de grincer des dents - ce que nous comprenons, nous vous invitons à considérer qu'avec le niveau de sécurité que l'on vous offre à ce prix, vous ne trouverez nul par ailleurs un service sous pénalité financière - au mieux vous aurez une garantie d'intervention mais sans pénalité, autrement dit un service "meilleur effort" non assumé formellement.

Nous vous informons également que tous les forfaits inférieurs à 250€ HT / mois passent BETA-TESTEUR NIVEAU 1 et tous ceux à moins de 500€ HT / mois passent BETA-TESTEUR NIVEAU 2 pour compenser le travail à perte.

Nous sommes en train de supprimer un staging pour simplifier nos process, grâce à cet ajustement, nous n'aurons plus que 5 stagings en clientèle contre 6 actuellement.

Nous vous informons également que toutes les demandes de support doivent être filtrées par votre développeur qui gère votre support de niveau 1 et que la hotline téléphonique est fermée sur ces niveaux de service.

2. Pour tous nos clients étant sur des forfaits dont le prix mensuel est supérieur à 500€ HT / mois et inférieur à 1 000€ HT / mois (forfait HA/L3) : 

Nous espérons que vous comprendrez que notre engagement sur vos audits sécurité et la gestion chronique d'acouphènes sur vos dossiers à cause des blocages à ajuster n'est pas compatible avec une plage aussi étendue sous astreinte avec un engagement aussi fort sur les interventions.

Nous vous informons donc que nos garanties d'intervention ainsi que de réparation ont été mises à jour, elles passent de 9h à 17h du lundi au dimanche sous 4h au lieu de 7h à 21h sous 2h. L'application des pénalités reste inchangée.

3. Pour tous nos clients étant sur des forfaits dont le prix mensuel est inférieur à 1 000€ HT / mois (forfait HA/L3 et inférieurs) : 

Nos nouvelles mécaniques de cyber-défense, proportionnées au niveau actuel de menace ainsi qu'à l'obsolescence plus ou moins sévère de vos applicatifs sont particulièrement engageantes et il est impossible de conserver en l'état la volumétrie d'applications autorisées.

Nous vous informons donc que la volumétrie d'applications autorisées par forfait a été divisée par deux.

Nos forfaits low cost (STARTER PCA / HA/L1) passent à une seule application autorisée au lieu de 2 historiquement, notre forfait HA/L2 passe à 2 applications autorisées au lieu de 4, et pour finir, notre forfait HA/L3 passe à 4 applications autorisées au lieu de 8.

Veuillez noter également que les contextes multi boutiques ne sont plus autorisés de manière illimitée, chaque lot de 5 multi boutiques consomme une application autorisée.

Comme à l'accoutumé, les dépassements de quota engendreront une augmentation du prix de votre forfait au prorata du prix de vos serveurs de production et de la volumétrie excédentaire d'applications en gestion.

4. Pour tous nos clients : 

Hors cas particulier de quelques clients qui vont subir une augmentation de leurs prix à cause d'un dépassement de quotas d'applications autorisées, pour tous les autres : nos prix restent inchangés sur l'encours.

Nous vous informons qu'il va devenir obligatoire dans nos nouveaux contrats de définir un référent technique ayant des compétences de niveau senior en développement PHP.

Si vous n'êtes pas déjà entouré par un professionnel du développement E-Commerce, nous pouvons faire des mises en relation.

A ceux d'entre vous qui refuseront ce mode de fonctionnement, ce que nous comprenons, nous vous informons qu'il est exclu que TouchWeb continue d'être responsabilisé en défaut de conseils à cause d'une carence de compétences dans votre équipe et nous serons au regret de vous inviter à contacter un confrère pour une passation de projet.

TouchWeb n'a jamais vendu et ne vendra jamais de support de niveau junior, nos interlocuteurs privilégiés restent des techniciens de métier. Nos nouveaux contrats l'actent formellement.


H/ Notre engagement dans l'OpenSource PHP

Comme vous l'aurez compris, l'OpenSource a plus que jamais besoin de cerveaux pour fiabiliser ses écosystèmes.

Nous renouvelons notre engagement à ce sujet et continuerons quoi qu'il en coûte de soutenir vos et nos écosystèmes.

Pour vos développeurs : il est essentiel que tout le monde joue collectif avec les challenges qui nous attendent en matière de cyber-sécurité.

Il est probable que la situation continue de s'aggraver vu le climat international.

L'égoïsme et l'individualisme causeront la mort de nos écosystèmes. Nous devons tous rester soudés et solidaires.

Nous continuerons de vous tendre la main, de vous former, de vous aider ainsi que de vous partager autant de data que possible pour vous protéger.

Nous attendons en retour plus de responsabilité sur les analyses des modules / plugins que vous installez.

Une formation arrive prochainement sur le scoring CVSS - il est vital pour nos écosystèmes que le plus de développeurs la suivent et la comprennent parfaitement.

Trop de vulnérabilités critiques sont encore enterrées à cause de carences graves en matière de compétences sur le scoring CVSS - cela doit cesser, l'avenir de nos écosystèmes OpenSource en dépend.

Nous comptons sur vous - votre écosystème compte sur vous.

Très bonne année à tous

L'équipe TW