Si vous avez reçu un e-mail de ma part vous renvoyant à cette page, c’est parce que votre site web semble utiliser une version en fin de vie de Joomla, le système de gestion de contenu sur lequel votre site est construit. Cette page explique pourquoi cela compte et comment y remédier.

Ce message est-il légitime ?

Oui. Il s’agit d’un avis de bonne foi, selon le principe de la divulgation responsable, émanant d’un chercheur en sécurité indépendant. Je ne vous demande pas d’argent, de mots de passe ni d’accès à votre site, et je n’ai pas tenté de m’y introduire ni d’exploiter quoi que ce soit.

Je n’ai fait que lire un fichier public que votre site web fournit à chaque visiteur, un manifeste de version Joomla, et noter le numéro de version qu’il publie. Il s’agit de la même partie publique de votre site que votre page d’accueil. Rien dans cette vérification ne touche à vos données, à votre zone d’administration ni à aucune partie privée de votre site. Si mon e-mail a nommé une version ou un problème de sécurité précis, cela provient de la lecture de ce seul fichier public, et non d’un quelconque test.

Si vous souhaitez vérifier qui je suis, consultez les coordonnées au bas de cette page et la page À propos.

Pourquoi cela compte

Joomla 3.x a atteint sa fin de vie le 17 août 2023. Les branches antérieures (2.5, 1.5) avaient atteint leur fin de vie des années auparavant. La fin de vie signifie que le projet Joomla ne publie plus du tout de correctifs de sécurité pour cette branche, même pour des vulnérabilités graves et publiquement connues. Les nouvelles failles découvertes après la date de fin de vie ne sont tout simplement jamais corrigées pour votre version.

Les attaquants scrutent activement Internet à la recherche de sites utilisant ces versions non prises en charge, car les vulnérabilités sont bien documentées et faciles à trouver. Parmi les conséquences fréquentes figurent la défiguration du site (vos pages remplacées ou modifiées), l’injection de spam et l’utilisation du site pour héberger du contenu malveillant. Si mon e-mail a cité une CVE précise, cela signifie que la version signalée par votre site entre dans la plage que ce problème est connu pour affecter. Je n’ai pas testé si votre site en particulier est exploitable, seulement qu’il signale une version concernée.

La bonne nouvelle : passer à une version prise en charge comble ces failles, et il existe un chemin de mise à jour bien documenté.

Exemples de vulnérabilités connues

Voici quelques-unes des vulnérabilités publiquement documentées et de haute sévérité qui affectent les branches Joomla 3.x (et antérieures) en fin de vie. Comme ces versions ne sont pas prises en charge, des problèmes comme ceux-ci ne sont jamais corrigés, et les détails techniques sont largement publiés :

  • CVE-2015-8562 : exécution de code à distance sans authentification via injection d’objet PHP, affectant Joomla 1.5.x à 3.4.5. Elle a été activement exploitée dans la nature.
  • CVE-2017-8917 : injection SQL critique (CVSS 9.8) dans Joomla 3.7.0.
  • CVE-2016-8869 : élévation de privilèges critique (CVSS 9.8) via le composant d’inscription des utilisateurs, dans les versions antérieures à 3.6.4.
  • CVE-2016-8870 : création de compte non autorisée même lorsque l’inscription est désactivée, dans les versions antérieures à 3.6.4.
  • CVE-2015-7857 : injection SQL dans le composant d’historique de contenu, affectant Joomla 3.2 à 3.4.4.

Si mon e-mail a cité une CVE précise, il s’agira d’une du même type que celles-ci : un problème publiquement connu dont la plage de versions concernées inclut la version signalée par votre site.

Comment vérifier votre version

Vous n’êtes pas obligé de me croire sur parole quant à la version que vous utilisez.

Depuis le manifeste public (aucune connexion nécessaire) : ouvrez votredomaine.com/administrator/manifests/files/joomla.xml dans un navigateur. La ligne <version> est la version faisant autorité pour le noyau, et il s’agit du même fichier que celui que j’ai lu.

Depuis la zone d’administration (si vous y avez accès) :

  1. Connectez-vous à votre administration Joomla (généralement à l’adresse votredomaine.com/administrator).
  2. Ouvrez Système, puis regardez le panneau Informations système / tableau de bord, qui affiche la version de Joomla.

Si la version majeure est 3, 2.5 ou 1.5, vous êtes sur une branche en fin de vie et vous devriez mettre à jour.

Comment mettre à jour

Les versions majeures actuellement prises en charge sont Joomla 4 et Joomla 5. Effectuez toujours d’abord une sauvegarde (fichiers et base de données) avant d’apporter des modifications ; la plupart des hébergeurs proposent des sauvegardes en un clic, ou vous pouvez utiliser une extension de sauvegarde Joomla.

Le chemin recommandé à partir de Joomla 3 est le suivant :

  1. Mettez d’abord à jour vers le dernier Joomla 3.10.x. La série 3.10 inclut une vérification préalable à la mise à jour intégrée (dans le composant Mise à jour de Joomla) qui signale toutes les extensions ou tous les templates qui ne sont pas encore compatibles avec Joomla 4.
  2. Résolvez les extensions/templates incompatibles qu’elle signale. Mettez-les à jour vers des versions compatibles avec Joomla 4/5, ou trouvez des remplacements.
  3. Effectuez la migration vers Joomla 4, puis poursuivez la mise à jour vers Joomla 5, depuis Composants → Mise à jour de Joomla dans l’administration.
  4. Les liens de téléchargement et la version actuelle sont toujours disponibles sur le projet officiel : https://downloads.joomla.org.
  5. Après la mise à jour, confirmez la nouvelle version en suivant les étapes ci-dessus et vérifiez que votre site se charge et s’édite normalement.

Si votre site est très ancien (Joomla 1.5 ou 2.5), le saut est plus important et il est souvent préférable de le réaliser sous la forme d’une nouvelle installation Joomla 5 avec votre contenu migré. Un professionnel du web peut le faire rapidement.

Profitez-en pour mettre également à jour vos extensions et votre template, car le même principe (« non pris en charge signifie non corrigé ») s’applique à tous.

Je n’ai pas de webmaster / je suis bloqué

Si vous n’êtes pas la personne qui gère le site, veuillez transférer cette page à celle qui s’en charge (votre développeur web, votre agence ou votre hébergeur). Elle reconnaîtra rapidement les étapes ci-dessus.

Si vous gérez le site vous-même et que vous êtes bloqué, je me ferai un plaisir de vous aiguiller dans la bonne direction, sans frais. Contactez-moi à l’aide des coordonnées ci-dessous.

Contact

Evan Harris, chercheur en sécurité

Je contacte les exploitants au sujet de problèmes comme celui-ci uniquement pour les aider à sécuriser leurs sites. Si vous préférez ne plus être contacté, faites-le-moi simplement savoir et je le respecterai.

Références

Sources officielles Joomla

Synthèse de tiers