Je crée ce fil de discussion sur Généanet car malheureusement, il est impossible d'apporter des informations sur le forum ExpoActes censuré par M LETHROSNE qui ne souhaite pas voir des opinions divergentes des siennes.
Beaucoup de tensions apparaissent sur ce forum car il n'y a pas de réelles informations destinées aux associations généalogiques sur les contraintes du développement Web et l'utilisation d'Expoacte. Je souhaiterais apporter un éclairage différent.
Il ne souhaite pas censurer mes propos mais ceux d'un ingénieur en informatique, très au fait du développement Web, M Paul-Axel MARIE qui alerte les utilisateurs à propos des éventuels dangers que les associations encourent à utiliser un programme comme ExpoActes. Je précise que je suis informaticien de métier et que je cautionne les propos émis par M MARIE.
Précisons le contexte. Les associations généalogiques diffusent leurs relevés sur Internet par l'intermédiaire de différentes solutions informatiques.
Les grosses associations diffusent leurs relevés par un programme qui leur est propre.
Les petites associations qui n'avaient pas les mêmes moyens ont utilisé un programme développé par M André DELACHARLERIE du nom de ExpoActes. Ce programme a été développé en 2005 et avait le mérite de proposer une solution clef en main à qui voulait diffuser ses relevés sur Internet. C'était d'ailleurs la seule solution proposée aux associations généalogiques pour diffuser leurs relevés de manière autonome.
M DELACHARLERIE a abandonné le développement d'Expoactes. La maintenance a été reprise épisodiquement par M LETHROSNE depuis 2015.
Or, en quelques années , le développement Internet a fortement évolué et il est important d'apporter un éclairage sur la diffusion des données du Internet.
Lorsqu'un généalogiste publie un site sur Internet, il ne communique pas avec une communauté de généalogistes bienveillants mais avec l'ensemble de la planète dont des internautes nettement moins intentionnés dans des pays avec des législations plus ou moins douteuses. Il est important que les données publiées soient un minimum sécurisées. Les risques qu'une association encourt sont tout simplement la destruction ou le vol de ses données.
ExpoActes a été développé avec les technologies Web anciennes. Si ces technologies répondaient aux normes de sécurité de l'époque, elles ne sont pas plus à jour.
Les mots de passe sont par exemple encodés en SHA1 qui ne résistent pas à une attaque de maintenant. Cf la documentation officielle de PHP:
https://www.php.net/manual/fr/faq.passwords.php#faq.passwords.fasthash
Pire, ce programme est exposé aux risques d'injection. En clair, un pirate mal intentionné peut prendre le contrôle d'une base de données par l'intermédiaire de commande ad-hoc. Il peut supprimer ou récupérer les données.
La page de renvoi de login d'ExpoActe a été notamment identifiée comme une faille depuis 2016 par un informaticien indien:
https://packetstormsecurity.com/files/137583/ExpoActes-3.1.2php-SQL-Injection.html
Et il ne s'agit malheureusement pas du seul problème d'injection
Pire encore, la détection de ces failles est basée sur la reconnaissance de mots clefs. Une véritable protection consisterait à sécuriser n'importe quel accès à la base de données, ce qui n'est pas fait dans la dernière version censée fonctionner en PHP8. C'est comme si un plombier changeait uniquement un joint alors que toute la tuyauterie était complétement défaillante.
Ce programme n'est actuellement plus maintenable et bloque son évolution. Je vous conseille de lire ce que de disent de étudiants en informatique qui ont tenté de reprendre ExpoActes pour le compte de l'association Racines Ardéchoises.
https://github.com/Master1-MIAGE-UCA/GNLG2
Même M DELACHARLERIE écrit ceci:
Les associations se comportent comme si elles avaient le monopole de diffusion des relevés."Aujourd'hui, l'analyse du code original ne peut qu'effrayer tout qui connaît les outils modernes et les méthodes actuelles de programmation. Il ne convient pas de l'améliorer mais de le réécrire de bout en bout, tout en conservant la structure des données qui a montré son efficacité ainsi que ses fonctionnalités globales qui répondent aux besoins des utilisateurs.
C'est par contre un travail conséquent qu'il m'est impossible d'entreprendre n'ayant pas de temps disponible pour cela."
Ce n'est plus le cas. D'une part, certains services d'archives en ligne proposent leur propre système d'indexation. D'autres part, les acteurs privés comme Filae ou Généanet (celui-ci ayant le mérite de diffuser gratuitement les relevés effectués par ses bénévoles) proposent également des relevés.
Alors que tous ces acteurs ont basculé vers des technologies Internet modernes, Expoactes est resté à l'ère du minitel.
Je connais malheureusement les réactions épidermiques de certains membres du forum Expoactes. Avant de jeter l'opprobre sur les messagers qui tentent de faire évoluer les choses, il me semble judicieux que les éventuels contradicteurs se renseignent auprès de développeurs professionnels Web. Si Expoactes était une réelle solution, ils ne devraient avoir aucune crainte.
Je conseille également les associations généalogiques utilisant ExpoActes de prendre contact avec un développeur Web de leur choix afin qu'ils prennent conscience des risques auxquelles elles s'exposent.
Cordialement
Fabrice Bouffanet