Le 17 août dernier, pour le 16^e anniversaire de la naissance de Joomla!, son équipe de développement a publié la - longtemps attendue - version 4 ! Cette sortie s'est accompagnée, comme prévu, de la publication de la dernière version 3, portant la référence 3.10. Comme il ne s'agit pas d'un événement ordinaire, il nous a semblé utile de faire un point sur la question.

FLoC, Federated Learning of Cohorts en anglais, est une nouvelle technologie développée par Google dans un projet de rendre le Web plus privé. Comme la présence dans la même phrase des termes Google et Web privé s'apparente à un oxymore, il convient de creuser un peu la question et de se méfier de l'entreprise américaine. Sous la pression du RGPD et des diverses directives concernant les cookies et traceurs, Google cherche à remplacer le suivi des utilisateurs via les cookies tiers par d'autres moyens. L'un de ceux-ci consiste à utiliser l'historique de navigation du navigateur, Chrome essentiellement, pour connaître les intérêts et comportements sur le Web de son utilisateur. Ces données sont transmises à Google qui les incorpore à des cohortes, c'est-à-dire des populations de sujets qui répondent à une définition donnée et qui sont suivis dans le temps. Google assure que le nombre (minimum 1000) de sujets dans la cohorte suffit à assurer l'anonymat des individus.

Depuis quelque temps déjà, les développeurs de Joomla!, en plus de résoudre des failles de sécurité dans le CMS lui-même, font des recommandations de "durcissements" pour améliorer la sécurité des sites. Cela a commencé avec la version 3.9.3 qui incluait, dans le fichier htaccess.txt, une instruction pour désactiver la fonctionnalité de détection de type MIME dans les navigateurs Web, ce qu'on appelle le "sniffing". Avec la version 3.9.21 qui sort aujourd'hui, ils vont un peu plus loin avec la protection des fichiers SVG par une Content Security Policy (CSP). Voyons cela un peu plus en détail.

Même si la sécurité sur Internet est un état d'esprit à avoir en permanence, les bonnes résolutions qui accompagnent généralement le début d'année sont une bonne occasion de refaire un point sur la question et de mettre en place des - nouvelles - procédures de sécurité efficaces et pérennes.

Nous vous proposons donc une liste de 7 bonnes résolutions à prendre pour assurer votre tranquillité d'esprit cette année, du moins en ce qui concerne votre site Internet.

1. Mon nom de domaine, je sécuriserai
2. A jour mon site je garderai
3. Au grand nettoyage je procéderai
4. Mon site je protégerai
5. Mes accès je verrouillerai
6. Des sauvegardes je ferai
7. Le RGPD je respecterai

Voyons tout cela dans le détail.

A l'occasion du mois de la cybersécurité, le site Sucuri a publié un article (en anglais) donnant 10 conseils pour renforcer la sécurité des sites Web. Une occasion pour nous de rappeler que, même sans extension supplémentaire, notre CMS préféré - Joomla! - est armé pour la sécurité (n'en déplaise à ses détracteurs).

Petit tour d'horizon en suivant les 10 points de l'article, un rappel des bases de sécurité étant toujours utile.

Nous le savons tous, une sauvegarde régulière et automatique du site est indispensable. Heureusement, pour Joomla! (ainsi que pour WordPress), il existe un composant parfait pour cette tâche : Akeeba Backup.

Néanmoins, la plupart du temps, cette extension est utilisée avec sa configuration de base, c'est-à-dire avec les sauvegardes enregistrées au même endroit que le site lui-même. Ce sera obligatoirement le cas si vous utilisez la version gratuite du composant mais cela arrive aussi avec la version Pro qui offre pourtant la possibilité d'avoir une sauvegarde externe sur un serveur de type "cloud" : Amazon S3, Dropbox, Google Drive, OVH Object Storage, ...

Pourquoi cette fonction est-elle importante ? Si votre site et ses sauvegardes se trouvent sur le même serveur et que celui-ci devient inaccessible (panne, destruction, ...), vous ne pourrez rien restaurer. C'est pourquoi une politique de sauvegarde digne de ce nom implique la séparation des supports entre les originaux et leurs sauvegardes.

Pour les clients dont nous assurons l'hébergement, nous effectuons une sauvegarde journalière des fichiers et de la base de données sur un serveur distant Amazon S3. C'est une solution à la fois fiable et économique.

Si vous êtes intéressé par cette option, nous pouvons la configurer pour vous. Pour cela vous devez disposer de la version Pro de Akeeba Backup et posséder un compte Amazon AWS. Si vous n'avez pas encore de compte, vous aurez besoin d'une adresse email et d'une carte de crédit en cours de validité pour l'ouvrir.

Je suis un professionnel de l'Internet. A ce titre, je visite beaucoup de sites pour me tenir au courant des nouvelles tendances de design, pour des recherches sur des produits ou pour prospecter de nouveaux clients. C'est en me livrant à cette dernière activité que je suis tombé sur le site d'un commerçant de mon département. Et j'ai tout de suite pu constater que son site était victime d'un piratage : dès que vous arrivez sur le site, vous êtes redirigé vers un autre domaine avec une extension .tk. Cette extension concerne les domaines situés aux îles Tokelau, un archipel de l'Océan Indien sous souveraineté de la Nouvelle-Zélande ! Pas grand-chose à voir avec mon commerçant nîmois.

Il s'agit d'un cas classique de hameçonnage (peut-être plus connu sous le nom de phishing) : sur la page vers laquelle vous êtes redirigé, un message vous indique que votre ordinateur est infecté et que vous devez appeler d'urgence un numéro de téléphone pour le débloquer ou cliquer sur un gros bouton vert portant le label "Retour vers la sécurité".

Inutile de vous dire que quand vous rencontrez ce genre de message, il ne faut surtout pas cliquer sur le bouton, ni appeler le numéro de téléphone ! Mais alors que faire ?

Récemment, le blog de Sucuri a publié un article sur les possibles utilisations malveillantes du manager de balises de Google. C'est une occasion de rappeler, une fois de plus, que la sécurité doit rester votre priorité, particulièrement lorsque vous utilisez des outils aussi puissants dans un site Joomla!®, ou n'importe quel autre CMS.

Qu'est-ce que le Google Tag Manager ?

Si (presque) tout le monde connaît Google Analytics, l'outil d'analyse de trafic Internet de Google, beaucoup de propriétaires de sites n'ont pas entendu parler de ce gestionnaire de balises. Le Google Tag Manager est un outil gratuit qui permet aux gestionnaires d'insérer (assez) facilement une multitude de balises sur les pages de leurs sites.

En effet, si vous voulez en même temps :

• étudier le comportement des visiteurs avec une (ou plusieurs) solution analytique
• gérer des campagnes de remarketing
• suivre les résultats de vos campagnes publicitaires Facebook, ou d'autres réseaux sociaux
• comptabiliser les événements se déroulant sur votre site, tels que les clics sur certains boutons ou sur le lien vers un numéro de téléphone
• ajouter un service de chat en direct, comme Zopim,...
• ...

vous devez chaque fois insérer un script sur la ou les pages correspondantes, ce qui peut rapidement s'avérer fastidieux ou très compliqué.

Avec le gestionnaire de balises, vous avez une seule ligne de code à insérer dans votre template, tout le reste est configuré au sein du gestionnaire, par vous-même ou par un administrateur que vous désignez et qui n'aura pas besoin d'avoir accès à votre site.

Le nouveau règlement européen sur la protection des données personnelles (RGPD) modifie de façon profonde la façon dont sont traitées les informations transmises par les utilisateurs des sites. Depuis toujours, Joomla! permet l'enregistrement aisé de "membres", que ce soit pour avoir accès à une partie privée du site, pour recevoir une newsletter, pour participer à un forum ou, de manière en général plus complète, pour faire des achats en ligne.

Mais le RGPD introduit de nouveaux droits accordés aux utilisateurs (droit d'accès, droit à la portabilité, droit à la rectification et droit à l'oubli) ainsi que des devoirs aux propriétaires des sites (preuve du consentement, sécurité des données).

Voyons comment Fabrik peut nous aider à satisfaire aux critères du RGPD.

Le 27 avril 2016, le Parlement européen a voté une nouvelle directive appelée Règlement général de la Protection des Données (RGPD). Elle impose des procédures très précises, et parfois contraignantes, à tous ceux qui collectent, stockent et utilisent des données personnelles des personnes physiques citoyennes de l'EEE (l'Espace économique européen).

Dans la phrase qui précède, tous les termes sont importants : 

• la réglementation concerne toutes les organisations (sociétés, associations, indépendants, collectivités, …), peu importe leur taille
• elle touche tous les aspects de la gestion des informations
• elle concerne toutes les données à caractère personnel, pas seulement celles dites "sensibles"
• elle s'applique aux personnes physiques, les données des entreprises ne sont pas concernées. Notez cependant qu'il s'agit autant des données internes à l'organisation (celles de ses employés ou collaborateurs) que des externes (celles de ses prospects et clients).
• elle s'applique aux données des résidents européens : une société non-européenne traitant des données de ressortissants de l'UE est concernée, pas une société européenne qui traiterait exclusivement des données de citoyens résidant hors de l'Union. Notez également qu'on parle bien de personnes résidant sur le territoire européen, pas de citoyens, donc cela concerne aussi la façon dont vous traitez les informations de touristes chinois de passage dans votre établissement du fin fond de la Corrèze.
• il s'agit bien de l'Espace économique européen, pas de l'UE. L'EEE comprend, outre les états membres de l'Union européenne, l'Islande, le Liechtenstein et la Norvège.

Comme vous le pressentez, tout va être dans les nuances, les détails et surtout le contexte. Nous avons essayé de déblayer au mieux le terrain pour que vous puissiez faire les adaptations nécessaires. Toutefois, nous ne prétendons pas couvrir toutes les situations possibles. En cas de doute, nous vous recommandons de prendre contact avec votre conseil juridique pour des éclaircissements.