FAQ sur la sécurité

Révision de 14 mai 2019 à 20:38 par Anaïs Richert (discussion | contributions) (Page créée avec « {{Sécurité}} ==Comment puis-je signaler un problème de sécurité ?== Reportez-vous aux procédures de sécurité Moodle dans la documentation de développement p... »)

(diff) ← Version précédente | Voir la version actuelle (diff) | Version suivante → (diff)


Comment puis-je signaler un problème de sécurité ?

Reportez-vous aux procédures de sécurité Moodle dans la documentation de développement pour plus de détails sur la façon de signaler un problème de sécurité.

Les problèmes de sécurité précédemment corrigés sont listés dans l'actualité de sécurité Moodle.org. Si vous n'êtes pas sûr si un problème a été corrigé ou non, il est préférable de le signaler quand même.

Comment puis-je sécuriser mon site ?

C'est une bonne pratique de toujours utiliser la dernière version stable de la version que vous utilisez. Il est sûr de mettre à jour vers une version plus récente de la branche que vous utilisez, disons de Moodle 2.X.1 vers la dernière version de la branche 2.X. Le téléchargement via Git est très simple.

Comment puis-je suivre les récents problèmes de sécurité ?

  • Enregistrez votre site Moodle sur moodle.org, en vous assurant d'activer l'option d'être informé des problèmes de sécurité et des mises à jour. Une fois votre inscription acceptée, votre adresse électronique sera automatiquement ajoutée à notre liste d'envoi d'alertes de sécurité à faible volume.
  • A terme, toutes les questions de sécurité importantes sont publiées au grand public via le forum de sécurité Moodle. Vous pouvez vous abonner au forum ou suivre la sécurité moodle sur Twitter.

Qui peut voir les problèmes de sécurité dans le Tracker ?

Selon le niveau de sécurité d'un problème de Tracker, l'accès est limité aux développeurs, testeurs ou membres de l'équipe de sécurité. Des détails spécifiques sont disponibles dans la description du champ Niveau de sécurité dans le guide Tracker.

Quelles versions de Moodle sont supportées ?

Les versions actuellement supportées sont listées sur download.moodle.org.

Mon site a été piraté. Qu'est-ce que je fais ?

Voir Récupération de site piraté.

Comment puis-je réduire le spam dans Moodle ?

Voir Réduire le spam.

Comment puis-je augmenter la confidentialité dans Moodle ?

Voir Confidentialité.

Comment activer reCAPTCHA ?

Pour ajouter une protection anti-spam au formulaire d'Auto-enregistrement par courriel d'un nouveau compte avec un élément CAPTCHA :

  1. Obtenez une clé reCAPTCHA sur http://recaptcha.net en vous inscrivant pour un compte (gratuit) puis en entrant un domaine.
  2. Copiez et collez les clés publiques et privées fournies dans les champs recaptchapublickey et recaptchaprivatekey des paramètres communs d'authentification dans Administration > Plugins > Authentification > Gestion de l'authentification.
  3. Cliquez sur le bouton "Enregistrer les modifications" au bas de la page.
  4. Cliquez sur le lien Paramètres pour l'auto-enregistrement par courriel dans Administration > Plugins > Authentification > Gestion de l'authentification et activez l'élément reCAPTCHA.
  5. Cliquez sur le bouton "Enregistrer les modifications" au bas de la page.

Comment puis-je exécuter le panorama de sécurité ?

Pour exécuter le Panorama de sécurité, allez dans Administration du site > Rapports > Panorama de sécurité.

J'ai découvert que le Cross Site Scripting (XSS) est possible avec Moodle

Certaines formes de contenu riche utilisées par les enseignants pour améliorer leurs cours utilisent les mêmes technologies que les utilisateurs malveillants peuvent utiliser pour les attaques de scripts inter-sites. Si Moodle se préoccupait uniquement de la sécurité, il ne le permettrait pas. Cependant, Moodle s'intéresse aussi à l'éducation et il faut donc trouver un équilibre entre la sécurisation du système et le soutien aux enseignants en fonction de leurs besoins.

Afin de trouver un équilibre entre la création d'un contenu éducatif riche et la sécurisation du système, l'accès au contenu post-XSS est contrôlé par des capacités marquées avec le "risque XSS" voir Risques. En général, cela signifie que les administrateurs et les enseignants peuvent publier du contenu compatible XSS, mais pas les étudiants, voir Utilisateurs approuvés XSS.

Parfois, des bogues de sécurité sont découverts dans le traitement par Moodle du contenu compatible XSS et nous sommes très reconnaissants à la communauté de les signaler par une Procédure de sécurité. Avant de signaler un bogue XSS à Moodle, veuillez vous assurer que l'utilisateur qui affiche le contenu XSS n'a pas de capacités présentant un risque XSS.


Voir aussi