Re: [EDUC] Un exemple malheureux/Pronote pas de danger ?

[François J. | RosarioSIS <info AT rosariosis.org>]

Bonjour,

Un petit point technique concernant mon expérience WordPress et Ubuntu.

J'ai eu en tant que professionnel la charge de mise à jour trimestrielle d'une dizaine de sites sur WordPress et les thèmes et plugins associés.

Cela est assez fastidieux, mais nécessaire pour garantir la sécurité du site, couplé avec par exemple le plugin WordFence. En quelques années, aucun problème n'a été détecté, bon cela dit aucun site à fort trafic dans le lot.

J'aime bien aussi le plugin WPHide qui permet de bloquer la plupart des attaques en renommant les URL par défaut.

Personnellement, j'utilise un plugin WordPress qui exporte le site en HTML statique, donc aucune faille puisque pas de PHP, et pas besoin de mettre à jour WordPress.

En ce qui concerne Ubuntu, il s'agit tout simplement de la distribution la plus populaire pour serveur. J'avais lu un article comme quoi elle présentait des avantages par rapport à Debian, je crois que c'est le noyau Linux qui n'est pas mis à jour vers une version majeure durant le cycle de la LTS. Et bien évidemment donc la distribution où l'on trouve le plus de documentation.

En terme de stabilité, j'en suis personnellement aussi content que Debian.

Avec les mises à jour de sécurité automatiques (voir http://alterlibriste.free.fr/index.php?post/2016/09/12/Mettre-%C3%A0-jour-sans-s-en-occuper ), plus fail2ban et d'autres mesures de sécurité, une fois mis en place, cela ne demande pas vraiment de maintenance au quotidien.

Je suis loin d'être un pro en sécurité, et c'est vrai que cela m'a pris des années avant d'accumuler un tel savoir. Et malheureusement, la complexité des systèmes fait que le nombre de failles va forcément aller en augmentant, et que les exemples de piratage à grande échelle seront légion.

Après, cela a aussi été dit, la plus grosse faille de sécurité vient de l'utilisateur et de sa boîte email, couplé avec les fonctionnalités de reset de mot de passe.

Personnellement, des solutions comme WordPress et Ubuntu sont des sources d'inspiration.

Malgré leurs problèmes liés à la sécurité, elles restent des solutions abordables par tous (ça s'installe de partout), avec une communauté immense. L'on peut y voir le pouvoir du logiciel libre à l’œuvre.

Et je vous rejoins totalement sur l'importance de l'éducation aux bonnes pratiques.

Et oui, je pense que la décentralisation aide à la sécurité globale. Avoir la main sur toutes les données regroupées sur un seul serveur, avec une seule base de données, un seul mot de passe sera une cible beaucoup plus intéressante pour un pirate qui par définition recherche le maximum de gain avec le minimum de travail.

Cordialement,

François JACQUET
RosarioSIS
School Solutions by rosariosis.com

On 02/08/2022 08.34, w wrote:

Bonjour,

Je pense que le débat dépasse la notion de libre et propriétaire dans
l'outil, mais devient un phénomène de société et de comportement.

Plus de 50% des risques en sécurité informatique relève, non pas de la
technologie que nous utilisons, mais des humains qui utilisent cette
technologie. Une clef usb suffit parfois pour mettre à mal un SI.

La sécurité commence par les bonnes pratiques. Qui lit les CGU et
accepte de vendre son ame au diable ? ou encore, qui va suivre les
bonnes pratiques prodiguées par l'ANSSI ou la CNIL ?

Là encore, suite à une discussion sur des projets de sécurité en monde
universitaire (personnels et étudiants), il n'y a pas de frontière
entre le monde professionnel et le monde privé. Les bonnes pratiques
préconnisées dans le monde professionnel devrait être suivie dans la
sphère privée. En gros, et je pense qu'ici en terme d'éducation je
n'apprends rien à personne, c'est par l'éducation que tient notre
sécurité numérique.


Je ne remets pas non plus en question l'importance de mettre en place
des solutions sécurisés sur "nos" serveurs et nos données. Or souvent,
les choix dans nos institutions ne sont pas formulés par des personnes
compétentes et qui ont consciences des risques et des contraintes des
solutions mises en place. L'exemple de Wordpress est un phénomène
délirant, comme avec Ubuntu d'ailleurs (les CERTs concernant le kernel
d'Ubuntu est bien suppérieur à tous les autres Linux, je ne parle pas
de Microsoft ni Apple ici). Je trouve similaire l'engouement pour
Wordpress et pour Ubuntu.

Imaginez un Wordpress hébergé par un Ubuntu... vous accéder à un
terminal depuis Wordpress (ce n'est pas un tutto, mais un scénario ;-)
) et puis vous utiliser ce petit POC (dernière mise à jour à 7 jours) :
https://github.com/randorisec/CVE-2022-34918-LPE-PoC
Évidement votre Wordpress n'est pas en DMZ avec un firewall externe.
Boum le SI ;-) Ce n'est pas de la parano...

En ce qui concerne les sites Web, n'oubliez pas de vérifier, déjà (ça
ne fait pas tout) la qualité sécurité des sites sur lesquels vous allez
:-)

Question outil pédagogique, à priori ce n'est pas leur souci chez
school.beneylu.com avec la plus mauvaise note (F) :
https://observatory.mozilla.org/analyze/school.beneylu.com 
et pas plus pour l'ENT de Académie de Poitiers avec (F) qui au
demeurant savent faire puisque leur site académique lui est en (B-)
https://observatory.mozilla.org/analyze/ent.ac-poitiers.fr
https://observatory.mozilla.org/analyze/www.ac-poitiers.fr
(ça rame un peu l'observatoire, patience)

des nouvelles rescentent sur les incidents de données ... 

La collecte de données « alarmante » et « excessive » des données
personnelles sur TikTok révélée par une analyse du code source de
l'application : 
https://securite.developpez.com/actu/335081/La-collecte-de-donnees-alarmante-et-excessive-des-donnees-personnelles-sur-TikTok-revelee-par-une-analyse-du-code-source-de-l-application/

Une nouvelle attaque peut révéler l'identité des utilisateurs anonymes
sur tous les principaux navigateurs
https://securite.developpez.com/actu/335036/Une-nouvelle-attaque-peut-reveler-l-identite-des-utilisateurs-anonymes-sur-tous-les-principaux-navigateurs-sans-que-l-utilisateur-ne-detecte-le-piratage/


et pour ceux qui veulent s'amuser :-) 
https://www.youtube.com/playlist?list=PLmfJypsykTLV3lIDTiu_t3jVqhoksVe6D
et des informations comme celle-ci, j'en suis toutes les semaines.


Si chaque citoyen veille à ce qu'il fait/utilise sur le Web, et avec
les outils numériques en général, cela deviendra pas infaillible pour
autant, mais plus difficule de manipuler et surtout d'atteindre la
violation des données. Pour cela, il faut former et éduquer !

C'est comme Tesla, plus besoin d'avoir le permi, c'est la voiture qui
fait tout ;-)
https://www.developpez.com/actu/335075/Le-tribunal-de-Munich-ordonne-a-Tesla-de-rembourser-un-client-suite-a-ses-problemes-avec-Autopilot-apres-avoir-constate-des-lacunes-en-matiere-de-securite-dans-la-technologie-du-constructeur-auto/

même plus besoin d'avocat,
https://intelligence-artificielle.developpez.com/actu/335064/En-remplacant-les-avocats-humains-par-l-IA-le-systeme-judiciaire-chinois-aurait-economise-45-Mds-en-frais-entre-2019-et-2021-soit-la-moitie-du-total-des-honoraires-des-avocats-en-Chine-en-2021/

Elle n'est pas belle la vie numérique !

W.





Convernant l'engouement societale des solutions à succes

Le lundi 01 août 2022 à 13:58 +0200, Stéphane Moulinet a écrit :
> Le lundi 01 août 2022 à 11:42 +0200, Vincent-Xavier JUMEL a écrit :
> > La question qu'il faudrait se poser est de savoir, d'un point de
> > vue
> > sécuritaire, s'il vaut mieux un système assez robuste gérant les
> > données de
> > millions d'élèves, ou n systèmes gérant uniquement les données des
> > élèves
> > locaux (plus petites bases).
> >         
> Si les n systèmes locaux sont construits exactement sur le même
> moule,
> l'apport en sécurité ne parait pas évident et ce n'est pas une
> histoire
> de logiciel libre ou pas. Juste un exemple pour illustrer mon propos,
> les millions de sites Wordpress (en licence GPL) qui se font pirater
> de
> façon automatisée dès qu'une nouvelle faille apparaît. La
> décentralisation peut avoir des avantages, mais l'apport en sécurité
> est conditionné aux compétences des administrateurs locaux.
>
> Librement,
>
> --
> Pour vous désinscrire de cette liste :
> https://listes.april.org/wws/sigrequest/educ
>
> Pour connaître la configuration de la liste, gérer votre abonnement à
> la liste educ et vos informations personnelles :
> https://listes.april.org/wws/info/educ
>
>
>