Les responsables de la "Chemiserie Djen-Djen" appelés à proposer un modèle standardisé de tabliers d'écoliers    69e session de la Commission de la condition de la femme des Nations Unies: l'Algérie encourage les femmes dans la recherche et l'innovation    Conseil de sécurité: le groupe A3+ appelle les parties au conflit au Soudan à instaurer un cessez-le-feu à l'occasion du Ramadhan    Rekhroukh reçoit des députés de l'APN des wilayas d'Adrar et Bordj Badji Mokhtar    Oran: ouverture de la 17e édition des "Dourouss Mohammadia"    Le président de la République félicite le président de la Commission de l'UA à l'occasion de sa prise de fonctions    Le président de la République félicite Haddadi à l'occasion de son investiture et de sa prise de fonctions en tant que vice-présidente de la Commission de l'UA    Célébration à Alger de la Journée nationale des personnes aux besoins spécifiques    Accidents de la route en zones urbaines : 751 morts et plus de 22.000 blessés en 2024    Association des Confédérations africaines des Sports Olympiques : "la réunion d'Alger marque un tournant pour le sport olympique africain"    Nécessité de développer les compétences vocales pour former des récitants et des muezzins avec une empreinte algérienne    Renouvellement par moitié des membres du Conseil de la nation: la Cour constitutionnelle entame l'annonce les résultats définitifs    Renouvellement par moitié des membres du Conseil de la nation: la Cour constitutionnelle annonce les résultats définitifs ce jeudi    AADL 3: bon déroulement de l'opération d'activation des comptes et de téléchargement des dossiers via la plateforme numérique    Ghaza: le bilan de l'agression sioniste s'alourdit à 48.524 martyrs et 111.955 blessés    Coupe d'Algérie: le CRB bat l'USC (4-2) et rejoint le MO Bejaia en quarts    Le 6e Festival de la chanson andalouse de jeunesse s'ouvre à Alger    Vingt-cinq joueurs pour affronter l'Ouganda et l'Algérie    Une 20e journée bien chaude...    Mondial 2026 : l'arbitre algérien Gamouh dirigera Burundi-Seychelles    Encadrement des étudiants porteurs de projets d'entrepreunariat    Suspension de l'aide militaire pour l'Ukraine    Une union syndicale française appelle à un rassemblement contre la circulaire Retailleau    Renforcement des effectifs de police après la rupture du jeûne    Promotion de l'artisanat traditionnel et des métiers    Les vieux marchés, lieux de prédilection des ''nostalgiques'' pendant le Ramadhan    Les colons profanent la Mosquée Al-Aqsa    Lancement des stylos à insuline produits localement avant la fin du Ramadhan    Réunion des agriculteurs à Relizane Sensibiliser et informer sur la régularisation des terres agricoles    Des artisans tunisiens font perdurer la tradition    La cheffe d'orchestre Zahia Ziouani anime une rencontre à Sarcelles    Palais de la Culture Moufdi-Zakaria Présentation à Alger de la pièce de théâtre «Le Fil rouge»    Coupe d'Algérie: l'USMA écarte le RCK (1-0) et donne rendez-vous au CRT    La Défense nationale plébiscite l'Algérie au rang des nations victorieuses    Kessar Abdelkader du parti RND, élu sénateur    Le scrutin se déroule dans de bonnes conditions dans les wilayas du Centre        L'Algérie happée par le maelström malien    Un jour ou l'autre.    En Algérie, la Cour constitutionnelle double, sans convaincre, le nombre de votants à la présidentielle    Algérie : l'inquiétant fossé entre le régime et la population    Tunisie. Une élection sans opposition pour Kaïs Saïed    BOUSBAA بوصبع : VICTIME OU COUPABLE ?    Des casernes au parlement : Naviguer les difficiles chemins de la gouvernance civile en Algérie    Les larmes de Imane    Algérie assoiffée : Une nation riche en pétrole, perdue dans le désert de ses priorités    Prise de Position : Solidarité avec l'entraîneur Belmadi malgré l'échec    Suite à la rumeur faisant état de 5 décès pour manque d'oxygène: L'EHU dément et installe une cellule de crise    







Merci d'avoir signalé!
Cette image sera automatiquement bloquée après qu'elle soit signalée par plusieurs personnes.



Le défaut de mise à jour des CMS met en danger les sites web
Selon la firme américaine SUCURI
Publié dans Liberté le 04 - 06 - 2016

Sur plus d'un milliard de sites web sur Internet, plus d'un tiers ont été conçus et alimentés par quatre "Content Management Systems" (CMS – Systèmes de gestion de contenu) : WordPress, Joomla!, Drupal et Magento. Le défaut de mise à jour des CMS est souvent la cause des failles, selon une récente étude de la firme américaine Sucuri.
Dans un rapport consacré aux "tendances de piratage des sites web", au premier trimestre 2016, la société Sucuri Security estime que les trois plateformes "Content Management Systems" (CMS – Systèmes de gestion de contenu) les plus touchées sont WordPress, Joomla! et Magento. "Mais cela ne veut pas dire que ces plateformes sont plus ou moins sûres que d'autres", explique l'étude.
Sucuri Security estime que sur plus d'un milliard de sites web actuellement en ligne, plus d'un tiers ont été conçus et alimentés par quatre CMS, à savoir WordPress, Joomla !, Drupal et Magento.
Le CMS WordPress détient plus de 60% de parts de marché, mais représente 75% des sites Web infectés (contre 14% pour Joomla!). "Cette explosion et domination de WordPress est facilitée par l'adoption mondiale des utilisateurs d'une plate-forme très extensible, concentrée sur les utilisateurs finaux", affirme l'étude. Le document explique aussi que d'autres CMS ont "connu une croissance dans plusieurs marchés de niche". Il s'agit de Magento dans le domaine du commerce en ligne, et Drupal très utilisé par les grandes entreprises et les organismes fédéraux. Cependant, une large adoption d'un CMS n'est pas sans dangers. Elle pose des "défis sérieux à l'Internet dans son ensemble", car elle introduit un grand afflux de webmasters et de fournisseurs de services non qualifiés responsables pour le déploiement et l'administration de ces sites.
"Cette évaluation est amplifiée dans notre analyse, ce qui montre que sur plus de 11 000 sites web infectés analysés, 75% d'entre eux étaient sur la plateforme WordPress et plus de 50% de ces sites ont été mis à jour. Comparez cela à d'autres plateformes similaires qui ont placé moins l'accent sur la compatibilité, comme Joomla! et Drupal, le pourcentage de logiciels non mis-à-jour était supérieur à 80%", lit-on dans le document. Selon l'étude, "Google rapporte, en mars 2016, que plus de 50 millions d'nternautes web ont été accueillis avec l'avertissement que des sites Web visités ont soit tenté de voler des informations privées soit d'installer des logiciels malveillants". Un an plus tôt, "ce nombre était 17 millions". Actuellement, Google met sur la blacklist près de 20 000 sites par semaine pour les logiciels malveillants et quelque 50 000 par semaine pour phishing.
"Ces chiffres ne reflètent que les infections qui ont un effet négatif immédiat sur le visiteur, et ne comprennent pas les sites web infectés par le spam SEO et d'autres tactiques non détectées par ces entreprises", explique Sucuri Security.
Composants vulnérables et défaut de mise à jour
En dehors des statistiques d'infection par CMS, l'étude estime que "dans tous les cas, quelle que soit la plateforme, la principale cause de l'infection pourrait être attribuée à l'exploitation des vulnérabilités logicielles dans les modules d'extension (plugins, ndlr) de la plateforme, et non pas son noyau".
Les principales sources de vulnérabilité dans WordPress sont les plugins "RevSlider" et "GravityForms" et le script "TimThumb". Pour Magento, c'est le plugin "ShopLift Supee 5344", patché en 2015, la vulnérabilité "Remote Code Execution - RCE" ou encore "Stored Crosssite Scripting" (XSS).
"Mais La vulnérabilité de Shoplift est la plus grave" connue concernant Magento. L'étude de Sucuri Security insiste sur l'aspect "mise à jour" des plateformes CMS. À ce titre, sur plus de 11 000 sites infectés répertoriés, WordPress avait un taux appréciable de 56% de plugins non mis à jour, mais bien loin des plateformes Joomla! (84%), Magento (96%), et Drupal (81%).
Sur les 11 000 sites analysés, 4900 contenaient des backdoors (portes dérobées) pouvant surveiller l'utilisateur ou lui injecter des virus, indique le rapport.
Le défi de la mise à jour "provient principalement de trois sources", estime l'étude qui cite les "déploiements hautement personnalisés", des "problèmes avec la compatibilité ascendante", et le "manque de personnel disponible pour aider dans la migration". Les propriétaires de sites "sont incapables de suivre les menaces émergentes", de plus, "les conseils qu'ils reçoivent de ‘rester à jour' ou ‘simplement mettre à jour' ne sont pas suffisants", explique-t-on.
En conclusion, l'étude estime que s'il y a quelque chose à retenir c'est que "le logiciel vulnérable est un gros problème" et que l'argument selon lequel les "propriétaires de sites doivent simplement mettre à jour, ne va pas être suffisant". Car la plupart de ces sites "ne sont qu'une pièce dans un environnement complexe". Les propriétaires des sites ne doivent pas "se concentrer" seulement sur les aspects de sécurité de WordPress, Joomla!, Magento ou Drupal, mais plutôt sur toutes les plateformes dans le même environnement pour "éviter des problèmes comme la contamination inter-site". Ce qui reste "très compliqué" par les "différents déploiements et options de configuration" possibles, ainsi que le "manque général de connaissances par le propriétaire des sites Web". L'étude conclut en regrettant que "la diffusion des connaissances et de l'éducation ne soit pas aussi rapide que son adoption par les utilisateurs".
A. Z.


Cliquez ici pour lire l'article depuis sa source.