N’oubliez pas la gestion des versions et des patchs

En lisant cet article, vous vous dites que nous sommes bien loin du datacenter. Mais l’est-on réellement ? Une des faiblesses des infrastructures est le manque de maintenance des piles techniques. C’est-à-dire les serveurs logiciels, les infrastructures logicielles, les OS, etc. 

Vous avez toutes et tous entendus des attaques contre des hôpitaux, usines et magasins. Parfois, la faille est tellement énorme que l’on s’en étonne : Windows XP. Le système n’est plus supporté et aucun patch de sécurité n’est produit depuis plusieurs années. Or, c’est une vulnérabilité potentielle qui s’ouvre. Les failles de XP sont connues et une mauvaise configuration suffit.

Prenons le cas d’un langage web bien connu : PHP que l’on retrouve dans des millions de sites. Les dernières statistiques de w3techs montrent que 30 % des PHP en production sont en version 5.x. Or, cette version n’est plus supportée depuis janvier 2019 ! Les versions 7 représentent 68 %, mais peu à peu, les différentes versions n’auront plus de patchs de sécurité : la 7.3 le sera en décembre prochain et la 7.4 en novembre 2022. Bref, il y a du travail pour migrer et mettre à niveau le serveur !

Les conteneurs et les clusters Kubernetes sont massivement utilisés. Sont-ils pour autant bien sécurisés ? La maintenance des images des conteneurs est un premier élément à ne pas négliger. Trop souvent, des images aux origines douteuses sont déployées ou encore des conteneurs obsolètes. 

Regardez les CVE ouverts pour se convaincre des vulnérabilités connues sur Docker :

https://www.cvedetails.com/vulnerability-list/vendor_id-13534/product_id-28125/Docker-Docker.html

Un exemple d’un hack d’un conteneur montre quelques techniques :

https://snyk.io/blog/hacking-docker-containers-by-exploiting-base-image-vulnerabilities/

Bref, il ne faut pas négliger la maintenance des couches logicielles et mettre en place une politique proactive de versions. Ce travail de veille est indispensable. 

à lire