Blog

Retour sur la dernière faille de sécurité majeure drupal (SA-CORE-2019-003)

slybud
28/02/2019
Retour d'expérience sur la dernière faille de sécurité du core Drupal et comment nous avons géré cela sur les sites que nous maintenons en TMA chez Axess Open Web Services
Drupal Security Alert

Vous l'avez sans doute remarqué, cela fait maintenant deux ans que les failles de sécurité majeures se multiplient sur le core de notre CMS/CMS favori (Drupal pour ceux.elles qui se seraient vraiment perdu.e.s et seraient arrivé.e.s sur ce billet de blog en tapant "croisement cochon d'inde licorne"). Deux manières de voir les choses :

  • Drupal est un CMS peu fiable et les failles de sécurité sont légion, c'est peu rassurant
  • Drupal, en tant que logiciel (libre ou non), est un ensemble de lignes de code exposé comme les autres et il faut souligner la maturité de cette outil dans la gestion de sa politique de sécurité avec une équipe dédiée à la sécurité et des process clairs.

Devinez quel point de vue nous avons adopté à AOWS ? ;-)

Il m'a semblé intéressant de vous raconter comment se passe une mise à jour de sécurité critiques pour les sites dont nous assurons la TMA (plusieurs dizaines, la plupart très sensibles), et quels process nous avons mis en place au fur et à mesure des années pour gérer sans encombre ces événements.

Pour résumer :

  • Nos architectes et chefs de projet techniques suivent de près les publications de la security team et les annonces de sécurité
  • Une faille de sécurité majeure, telle que celle du 20/02/2019, est annoncée quelques jours auparavant par la security team drupal
  • A ce moment, l'annonce est analysée par nos architectes techniques afin d'évaluer au mieux les risques
  • En parallèle, notre directeur d'activité recense les membres de l'équipe qui pourront être présents le jour J, à l'heure dite, sur la base du volontariat/en fonction des contraintes de chacun
  • La liste des sites que nous maintenons est vérifiée en amont et les mises à jour sont réparties entre les forces qui seront présentes le jour J
  • Les clients sont prévenus (Mail et/ou interface de tickets Redmine) de la future mise à jour, et éventuellement leurs hébergeurs si nous ne pouvons pas déployer nous même
  • Les pizzas et autres nourritures à forte teneur en calories techniques sont commandées
  • L'équipe attend fébrilement la sortie de la faille et du/des patch(es)
  • Ces éléments sont analysés par nos architectes techniques dés leur sortie
  • Un plan est établi en fonction des typologies de sites impactés et des priorités et les mises à jour + déploiement commencent
  • La check-list est vérifiée
  • Tout le monde peut reprendre une activité normale et dormir sur ses deux oreilles

Je ne vous ai pas parlé ici de la coopération renforcée avec les administrateurs systèmes qui dans certains cas nous permettent de court-circuiter pas mal d'étapes pour tous les sites hébergés par nos soins, en concoctant un script magique qui recherche toutes les instances drupal sur un serveur et les patche ensuite dans la foulée. Tout cela est déployé en un clic avec notre système d'orchestration Saltstack : c'est le pouvoir et la magie noire du DevOps !!

Si vous souhaitez nous confier votre projet de Site Internet et/ou de TMA drupal pour bénéficier de tous ces process, n'hésitez pas à nous contacter !

 

Axess Groupe poursuit son développement avec la reprise de OWS / OWNS

slybud
07/09/2018
Axess Groupe, Entreprise du Numérique (EDN) expert dans la transformation digitale orienté métier annonce la reprise de Open Web Solutions (OWS) - acteur de référence du développement et de l’hébergement de sites internet sous le système de gestion de contenu Open Source Drupal.
Logo Axess Groupe

Axess Groupe, Entreprise du Numérique (EDN) expert dans la transformation digitale orienté métier annonce la reprise de Open Web Solutions (OWS) - acteur de référence du développement et de l’hébergement de sites internet sous le système de gestion de contenu Open Source Drupal.

En effet, dès juillet 2018, OWS et sa filiale Open Web Network Solution (OWNS), en charge de l’activité Hébergement, intègrent Axess Groupe, le fournisseur de services, de solutions logicielles et d’infrastructures pour les systèmes d’information et de communication des entreprises et des administrations. Acteur du numérique, Axess Groupe est une référence sur plusieurs marchés verticaux tels que : la santé au travail, l’éducation, la dématérialisation, les centres de formation, le PLM ou encore la distribution automobile.

« Avec la forte croissance de nos activités sur les derniers exercices, nous étions à la recherche d’un partenaire qui nous permette d’accélérer notre développement, sur nos compétences et marchés historiques, mais aussi sur des activités de services complémentaires. La stratégie et les valeurs d’Axess Groupe nous ont permis d’envisager avec enthousiasme la construction commune de ce nouveau projet » indique, Sylvain Moreau, OWS.

Avec cette acquisition, Axess Groupe poursuit le déploiement de son plan stratégique 2023, renforce son Pôle Services à valeur ajoutée et consolide sa présence en Ile-de-France. Axess Groupe compte dorénavant 235 collaborateurs pour un chiffre d‘affaires en 2018 de 22 millions d’euros.

« L’objectif de cette opération est d’accompagner nos clients dans leurs projets de transformation digitale à travers des prestations globales : logiciels métiers, infrastructures numériques et cloud, développement web, ingénierie logicielle, formation, conseil etc… L’activité d’hébergement de OWNS va aussi nous permettre de développer de fortes synergies entre nos clients actuels et ceux de OWS. Nous nous réjouissons d’accueillir les nouvelles équipes au sein de notre Groupe et je suis totalement convaincu que ce rapprochement sera bénéfique pour tous les clients qui nous rejoignent. », déclare Gilles Tréhiou, Président d’Axess Groupe.

 

A propos de Axess Groupe :

Axess Groupe est une Entreprise Du Numérique (EDN) créée en 2003 et spécialisée dans la transformation digitale des entreprises. Axess est organisé en 3 pôles : Services à valeur ajoutée (Ingénierie logicielle, Web, Conseil pour la transformation Digitale, Formation), Edition logicielle (Santé au Travail, PLM, Education, Formation, Dématérialisation), Gestionnaire d’infrastructure numérique et Hébergeur Cloud Computing. Le Groupe compte 250 collaborateurs pour un chiffre d‘affaires de plus de 23M€ en 2018 avec une présence nationale à travers 7 agences, le siège social étant basé à Valence. (Drôme)

Pour en savoir plus : www.axess.fr

Bilan #Drupalgeddon

slybud
29/06/2018
Sécurité : Retour sur les épisodes #DrupalGeddon 2018 @OWS et @OWNS
Photo de l'équipe OWS au travail le soir du DrupalGeddon2

Autant 2015, 2016, 2017 ont été des années relativement "normales" en termes de failles de sécurité sur notre CMS préféré (le dernier épisode hautement critique datant d'octobre 2014 : faille Sql injection connue sous le nom de "Drupalgeddon"), autant 2018 aura démarré déjà bien fort en nous proposant 2 failles hautement critiques dans le core drupal, toutes version confondues (8, 7 et même Drupal 6, car oui, il existe encore des Drupal6/Pressflow en production, ne faites pas les innocents).

Je profite de ce billet de blog pour féliciter toutes les équipes OWS et OWNS pour leur implication, leur préparation et leur professionnalisme au cours de ces deux événements. Pour rappel, la publication de ce genre de failles nécessite des réactions dans l'heure afin de garantir la sécurité des sites de nos clients et la non compromission de leurs systèmes d'information.

Petit rappel du (bon) déroulement des opérations , n'hésites pas à nous contacter si vous souhaitez en savoir plus ou voir comment nous pourrions vous aider à mettre ces process en place. Pour les clients disposant d'un contrat de TMA chez OWS, cela s'est passé de la manière suivante :

  • Veille technologique hebdomadaire de nos architectes techniques et lead développeurs, ayant permis de prendre connaissance une semaine avant de la SA et de la fenêtre de release des patches
  • Mobilisation des équipes pour réserver du temps de travail sur ce créneau inhabituel (20h-22h pour le premier épisode) et vérifier la disponibilité de chacun
  • Vérification de l'état de toutes les instances (preprod et prod) des drupal maintenus
  • Déploiement éventuel des développements/mises à jour en attente ou création des branches git adéquates
  • Vérification de l'intégration continue pour tous ces projets
  • Recensement des hébergeurs tiers et prise de contact pour les prévenir des déploiements nécessaires sur le créneau visé
  • Répartition des clients sur tous les membres de l'équipe disponible (à la fois pour l'application des patches, mais aussi pour les déploiements/l'intégration continue et la recette technique après déploiement)
  • Alerte de tous les clients de l'opération à venir
  • Attente du jour J et de l'heure H

En parallèle, les administrateurs systèmes de notre filiale Open Web Network Solutions ont mis en place les actions suivantes :

  • Mobilisation des équipes pour réserver du temps de travail sur ce créneau inhabituel (20h-22h pour le premier épisode) et vérifier la disponibilité de chacun
  • Préparation d'un script d'orchestration permettant de
    • recenser automatiquement toutes les instances drupal d'un serveur
    • recenser les fichiers concernés par le patch de sécurité
    • appliquer automatiquement le patch de sécurité à ce fichier
    • sortir un rapport détaillé pour les éventuelles actions manuelles à mener pour de rares cas
  • Tests de ce script sur des infras de dev
  • Prévenir les clients (hors TMA OWS

Résultat : à l'heure H du jour J, dans une ambiance détendue et d'équipe, avec de la restauration livrée dans les locaux pour ceux qui étaient sur place à l'agence, il nous a fallu 2 heures pour mettre à jour et sécuriser des centaines d'instance drupal et aller se coucher apaisés :) . Aucun site n'a d'ailleurs été compromis grâce à ces actions

Donc encore bravo et merci à toute l'équipe et aux process/méthodes éprouvées pour la TMA et linfogérance Drupal.

Pour références/aller plus loin :

 

 

 

Une star est née

slybud
05/06/2018
Il est enfin là, le nouveau ows.fr, on n'y croyait plus !
Copie d'écran de la page d'accueil du nouveau site ows.fr

Ca commence comme une mauvaise blague "Ce sont les coordonniers les plus mal chaussés", d'abord répétée par le commercial en rendez-vous clientèle, puis par toute l'équipe dans les événements Drupal, et puis ça ressurgit dans les repas de famille le dimanche, et même tata déguisée en Orelsan (à moins que ça ne soit le contraire) vous vanne sur votre site Internet vintage.

Certes, l'ancienne version (allez voir sur archive.org si j'y suis) ne nous a pas empêchés de travailler sur des projets formidables avec des clients qu'on adore, mais un moment il faut avouer qu'en termes d'image c'est un peu light. On a donc retroussé nos manches et entamé il y a bientôt un an cette refonte dont vous voyez le résultat aujourd'hui, en mode sprint pour les développements, projet pour la conception.

Alors un grand merci à :

  • Eli pour l'UX et la conception fonctionnelle et un peu d'intégration :)
  • Les copains de Merci Bien pour la charte
  • Toute l'équipe OWS pour chaque petite pierre à l'édifice !

Et on espère qu'il n'est pas déjà démodé !

Un nouveau site Open Web Solutions

slybud
15/06/2013
"Les cordonniers sont les plus mal chaussés". Partant de ce vieil adage, nous nous devions de ne pas faillir à cette règle et de continuer avec notre site en Drupal 2.0 encore pendant de longues années.
Capture ecran site ows.fr

"Les cordonniers sont les plus mal chaussés". Partant de ce vieil adage, nous nous devions de ne pas faillir à cette règle et de continuer avec notre site en Drupal 2.0 encore pendant de longues années.

Cependant, devant les cris d'horreur poussés pas nos collègues graphistes (et néanmoins amis), ayant peur de commencer à figurer dans un quelconque top 10 des sites les plus ringards à la Topito, nous avons retroussé nos manches (enfin nous avons mis du temps pour bien retrousser) et réalisé la merveille que vous avez sous les yeux en Drupal 7. Bravo à toute l'équipe, c'est à dire nous :)

Alors, pour faire bref, quoi de neuf :

  • Un nouveau design qui mériterait un award !
  • Une navigation simplifiée
  • Encore et toujours plus de drupal
  • Des billets de blog (plus à jour que les anciens on l'espère)
  • Un design full responsive !

Comme on dit à Portland : "Enjoy" !

Développement drupal sous vim : liste des fonctions drupal 6

piotre
19/03/2009
Comment ajouter l'autocomplétion des fonctions de Drupal 6 à vim

Après quelques projets drupal 6 développés sous l'éditeur vim, je me suis aperçu qu'une autocompletion incluant les fonctions core drupal 6 serait bien utile.

J'ai trouvé le dictionnaire des fonctions core drupal 5 pour vim ici : http://www.vim.org/scripts/script.php?script_id=1675, mais pas le dictionnaire des fonctions core drupal 6.

J'ai donc générer à l'aide d'un script la liste de l'ensemble des fonctions core drupal 6, tout en respectant la syntaxe des dictionnaires vim : drupal_6_core_functions.dict

Ensuite j'ai :

Et hop le tour est joué !