L’équipe Sécurité de NBS System est fière de présenter Snuffleupagus, son dernier projet open source de sécurisation de PHP 7 et au-delà. Descendant de Suhosin, Snuffleupagus a été conçu pour durcir PHP tout en étant simple d’utilisation.

PHP & sécurité : un contexte difficile

Il n’est pas simple de sécuriser efficacement des serveurs PHP. Jusqu’à présent, Suhosin était le seul produit permettant de renforcer les applications PHP, et ainsi de sécuriser ses serveurs de manière globale. Snuffleupagus adresse les limitations que nous avons rencontré avec Suhosin, dans nos environnements hautement industrialisés comme CerberHost.

Ainsi, il existe des vulnérabilités qu’un pare-feu applicatif, facilement utilisable en production, a des difficultés à corriger. En effet, cet outil est trop en amont de l’application pour permettre des actions fines de correction.

Il existe certaines fonctions PHP dangereuses. Prenons l’exemple de l’une d’entre elles, « popen », utilisée par WordPress pour envoyer des mails. Il n’est pas possible de la bloquer au niveau du pare-feu applicatif, car ce dernier ne peut pas savoir quand cette fonction est appelée ; il ne voit que les requêtes web passer.

Le contrôle des fonctions dangereuses doit donc se faire directement au niveau de PHP. Pour des administrateurs système qui gèrent au quotidien des déploiements de serveurs, cela se traduit par un alourdissement des processus et des périodes allongées d’intégration et de recette.

Snuffleupagus vise donc à résoudre ce problème en apportant une réponse plus adaptée aux problématique quotidiennes d’hébergement et d’infogérance. Au-delà de faciliter le travail des équipes, cet outil augmente également significativement le coût et la complexité des attaques éventuelles sur les serveurs équipés.

Snuffleupagus, le serial killer de vulnérabilités

S’appuyant sur les avancées d’autres chercheurs, Snuffleupagus renforce PHP en interdisant par défaut certains comportements douteux, comme l’exécution de code via des envois de fichiers ou via la désérialisation. Il est également utile en cas de compromission, en compliquant encore une fois la vie de l’attaquant.

Snuffleupagus propose également un puissant système de virtual patching, ou correctif virtuel. Cela permet de protéger très rapidement un site web et son serveur contre une vulnérabilité identifiée, sans pour autant devoir toucher au code sous-jacent ni attendre le correctif de l’éditeur. En tant qu’hébergeur, cela nous permet de protéger plusieurs milliers de sites avec une seule ligne de configuration !

Vous souhaitez en savoir plus ?

Les créateurs de Snuffleupagus présenteront leur projet lors de deux rassemblements d’experts de la sécurité. Ils interviendront :

Vous pouvez également visiter le site web de Snuffleupagus ou sa page Github.

Découvrez aussi ce qu’en pensent les utilisateurs avec cet article de Fr33tux sur Toolslib.

Snuffleupagus est actuellement en cours de test sur certains de nos environnements CerberHost. Vous souhaitez faire partie de l’aventure ?

Lucie Saunois
Lucie Saunois
Passionnée d'informatique, en particulier de sécurité, depuis qu'elle a rejoint l'OT Group en 2015, Lucie se spécialise dans la vulgarisation technique pour permettre à tous d'appréhender ces sujets parfois complexes.