Josselin HANEL.
FR EN DE
Mode Éco
← Retour au blog

Drupal : quand le site de votre mairie devient une porte ouverte

securite eco-conception web

La semaine dernière, une faille de sécurité majeure a été découverte dans Drupal, le logiciel qui fait tourner des milliers de sites publics français. Des universités, des mairies, des services de l'État. Et personne n'en parle vraiment.

C'est quoi Drupal ?

C'est le logiciel qu'on installe "derrière" un site web pour gérer son contenu. Un peu comme WordPress, mais plébiscité par les administrations françaises depuis des années.

Le problème avec ces outils : ils sont complexes, ils nécessitent des mises à jour régulières, et quand une faille est découverte, elle est souvent exploitée avant que les équipes aient eu le temps de réagir. C'est exactement ce qui se passe en ce moment.

La faille en clair

Précision importante : la faille ne concerne pas tous les sites Drupal, mais ceux qui utilisent PostgreSQL comme base de données. Ironie du sort : PostgreSQL est la base de données la plus rigoureuse du marché, et ce n'est pas elle le coupable. C'est Drupal qui gère mal les données qu'il lui envoie. De son côté, PostgreSQL fait exactement ce qu'on lui demande.

Un hacker peut accéder à ces bases de données sans mot de passe, sans compte, sans rien. Juste en envoyant une requête mal formée au bon endroit.

Plus de 15 000 tentatives d'attaque ont été documentées en quelques jours sur des milliers de sites dans le monde. Les sites français (universités, collectivités, .gouv.fr) font partie des cibles potentielles.

Le vrai problème

Cette faille sera corrigée. Mais dans deux ans, il y en aura une autre. C'est la nature de ces systèmes : plus c'est complexe, plus il y a de surface à attaquer.

La question que peu de gens posent : est-ce qu'une mairie ou une association a vraiment besoin d'un outil aussi lourd ?

Un site qui publie des horaires, des actualités, un formulaire de contact, ça peut être construit différemment. Plus simple, plus léger, sans base de données exposée à internet. Moins de risques, moins de maintenance, moins de coûts.

Ce n'est pas magique. Mais c'est une approche qui existe, et qui fait sens pour beaucoup de structures publiques ou associatives.

Si vous gérez un site sous Drupal : mettez-le à jour maintenant (avis SA-CORE-2026-004). Si vous vous interrogez sur votre présence en ligne, c'est peut-être le bon moment.

Sources : Avis officiel DrupalClubicLe Monde InformatiqueTenableBleepingComputer

Articles similaires

EmDash : Cloudflare valide mes choix techniques, mais ne va pas assez loin

Cloudflare vient de lancer un CMS concurrent de WordPress, construit sur Astro, exactement la technologie que j'utilise. Ça valide des choix. Ça ne règle pas tout.

BrowserGate : LinkedIn scanne secrètement vos extensions de navigateur

LinkedIn injecte un script de 2,7 Mo qui détecte 6 000 extensions installées sur votre navigateur et collecte vos données matérielles. Sans vous le dire.

Un projet en tête ?

N'hésitez pas à me contacter pour un devis gratuit sans engagement.

Me contacter

+33 7 81 33 97 68

josshanel@gmail.com