62% des sites Internet utiliseront bientôt une version de PHP non sécurisée

La branche PHP 5.x, très répandue sur les sites web à travers le monde, ne recevra plus de mises à jour de sécurité à la fin de l’année 2018. Dès le début de l’année prochaine, 62% des sites Internet (qui tournent grâce à une version de PHP 5.x) utiliseront ainsi une version dépassée et non sécurisée.

Environ 78,9% des sites Internet utilisent PHP

Selon les statistiques de W3Techs, à l’heure actuelle environ 78,9% des sites Internet utilisent PHP. Le 31 décembre prochain, il n’y aura plus de mises à jour de sécurité pour PHP 5.6.x. Ce qui marquera la fin du support pour la branche 5.x de PHP et exposera ainsi des centaines de millions de sites à de graves failles de sécurité. Scott Arciszewski, chief development officer chez Paragon Initiative Enterprise, a ainsi affirmé qu’il s’agissait d’un « gros problème pour l’écosystème PHP ». II va même plus loin en affirmant qu’ « il est probable que toute faille majeure exploitable en masse dans PHP 5.6 affecterait également les versions plus récentes de PHP. PHP 7.2 recevra un correctif de l’équipe, gratuitement et dans les meilleurs délais. PHP 5.6 n’en obtiendra un que si vous payez pour le support continu de votre fournisseur de système d’exploitation ».

Au printemps 2017, la version 5.6 de PHP était déjà la plus utilisée

Après que PHP 5.6 soit devenue la version de PHP la plus utilisée au printemps 2017, les responsables du langage informatique ont compris qu’il serait désastreux de ne pas continuer à fournir des mises à jour de sécurité. Ils ont donc décidé de repousser la date de fin de vie de la version à fin 2018. Depuis, plusieurs développeurs et chercheurs en sécurité ont mis en garde contre l’effet « bombe à retardement PHP ». Il n’y a pas eu d’effort concerté de l’écosystème pour amener les utilisateurs à basculer vers la nouvelle version PHP 7.x, mais certains CMS ont modifié leurs configurations minimales et alerté leurs utilisateurs, afin qu’ils utilisent des environnements d’hébergement plus modernes. Parmi les 3 plus utilisés (WordPress, Joomla et Drupal), seul Drupal a fait l’effort d’ajuster sa configuration minimale à PHP 7, mais ce changement ne sera véritablement actif qu’en mars 2019 (à noter que la version 7.0.x de PHP est en fin de vie depuis le 3 décembre 2017). Joomla et WordPress quant à eux, ont des configurations minimales qui demandent respectivement les versions 5.3 et 5.2 de PHP.

Le flot de demandes d’assistance, principal motif de réticence de la part des CMS et hébergeurs Web dans la mise à niveau de versions PHP

Utilisé par plus d’un quart des sites Web dans le monde, WordPress changerait probablement l’opinion de beaucoup de gens sur la nécessité d’utiliser des versions plus modernes de PHP, si le CMS modifiait ses exigences minimales en prenant uniquement en compte la branche PHP 7.x. Sean Murphy, directeur de Threat Intelligence chez Defiant (la société à l’origine du plugin de sécurité WordFence pour WordPress), a ainsi déclaré que « les versions de PHP qui devraient être prises en charge [par WordPress] constituent un débat important depuis un certain temps ». Selon lui, l’un des plus grands défis de la mise à niveau de versions PHP sur un grand nombre de sites est le flot de demandes d’assistance qui en résulte, raison pour laquelle de nombreux projets de CMS et fournisseurs d’hébergement Web sont réticents à le faire. Au moment d’évoquer une possible faille de sécurité de la branche 5.x de PHP, Murphy affirme que « une vulnérabilité de PHP serait en effet très mauvaise, mais il n’y en a pas eu à ma connaissance dans l’histoire récente ». Plus qu’à espérer que les hackers n’arrivent pas à trouver de faille après la fin de l’année…

Source : ZDNet