La fausse faille Drupal
lun, 10/09/2012 - 10:57
Le 5 septembre dernier, le Canard Enchaîné s'est fendu d'un long article faisant état de "trous béants" de sécurité dans de nombreux sites du gouvernement français. Ces sites sont sous le gestionnaire de contenu Drupal, et il en a été déduit à tort que celui-ci présentait une faille majeure de sécurité.
Faille majeure, car effet la "faille" telle que détectée, permettait à n'importe qui l'exploitant de publier ce qu'il voulait sur tout site gouvernemental vulnérable. Le Canard a parlé "d'incompétence et de négligence". Sur ce dernier point l'hebdomadaire satirique a raison.
Que tous les webmasters qui utilisent Drupal au quotidien se rassurent, pas de faille critique dans leur CMS favori. Le problème est simplement que le mot de passe des sites vulnérables pour accéder au compte administrateur était ... password ! Ce qui va à l'encontre de toutes les bonnes pratiques en matière de sécurité. Et à ce niveau, on peut bien parler de négligence et d'incompétence en effet.
Pour l'occasion, rappelons qu'il existe des modules Drupal pour protéger les sites contre les tentatives de crackage de mots de passe en force brute :-)