Après 14 ans d’existence, la Drupal Security Team a décidé de fixer l’ultime date pour la fin de vie de Drupal 7 au 5 janvier 2025. Mais quels sont les risques de rester sur une version de Drupal arrivée en fin de vie ? On vous explique tout.
Ces dernières années, Drupal 7 est resté populaire malgré les sorties des versions 8, 9 et 10. Début octobre 2022, plus de la moitié de tous les sites web exploitants Drupal étaient encore sur la version 7 du CMS. C’est la principale raison pour laquelle son support a été prolongé plusieurs fois, alors que les supports de Drupal 8 et 9 n’étaient déjà plus actifs.
Toutefois, l’utilisation hebdomadaire moyenne de Drupal 7 dans le monde est en baisse constante. L’infographie suivante a été capturée à partir des statistiques d’utilisation de Drupal Core.
Un seuil a récemment été atteint. Il n’y a désormais plus assez d’utilisation de Drupal 7 pour justifier les ressources allouées à la maintenance et la prise en charge des mises à jour de cette version. Il est plus logique de consacrer ces mêmes ressources à des versions plus récentes du CMS.
Pour les sites exploitant encore la version 7 de Drupal, tôt ou tard, les risques liés au maintien de cette version dépasseront de loin les coûts liés à la mise à niveau vers une version plus récente de Drupal. Cela implique donc que si un site Web fonctionnant sur Drupal 7 rencontre un problème, il sera difficile, voire coûteux, de le résoudre.
Focus sur les changements à venir et les risques auxquels vous vous exposez en restant sur Drupal 7.
Des changements déjà d’actualité pour votre site en Drupal 7
La communauté Drupal a pris un certain nombre de décisions qui ont déjà des implications aujourd’hui.
- Les modules et thèmes non pris en charge resteront tels qu’ils sont
Depuis le 1er août 2023, tous les modules ou thèmes contribués à Drupal 7 qui sont marqués comme non pris en charge le seront de manière définitive. Il n’y aura donc plus de possibilité de reprise en charge de ces modules ou thèmes comme cela a déjà été le cas précédemment. Il n’y aura aucun avis de sécurité pour les bibliothèques non prises en charge sur lesquelles s’appuient les modules ou thèmes fournis par Drupal 7 (telles que CKEditor 4 par exemple).
- Les problèmes Drupal 7 non critiques peuvent devenir publics
Depuis le 1er août 2023, l’équipe de sécurité de Drupal peut décider d’inviter la communauté open source (et donc publique) à l’aider à résoudre les problèmes non critiques de Drupal 7. L’éditeur choisira ces questions en fonction des niveaux de risque de sécurité. Seuls les problèmes qui ne peuvent pas être exploités à grande échelle seront partagés publiquement. Si un problème affecte à la fois Drupal 7 et 10, un avis de sécurité Drupal 10 peut être émis sans correctif Drupal 7 associé.
- PHP 5.5 et les versions antérieures ne seront plus pris en charge
Depuis le 1er juillet 2023, l’équipe de sécurité de Drupal publie uniquement des correctifs pour PHP 5.6 et les versions supérieures. Ils peuvent ajuster cette politique avant la fin de vie de Drupal 7 avec un préavis d’un mois.
- Bibliothèques tierces non prises en charge
Les bibliothèques tierces utilisées avec Drupal 7 peuvent être marquées comme non prises en charge à tout moment en fonction de leurs exigences ou de leur dépréciation (telles que CKEditor, TinyMCE, phpSolr, etc.)
Que se passera-t’il en janvier 2025 ?
D’autres changements sont bien sûr à prévoir début 2025. Parmi ceux-ci, on peut notamment citer :
- Un message dans l’interface utilisateur d’administration pour informer les utilisateurs de Drupal 7 que leur site Web n’est pas sécurisé.
- Les sites encore sur Drupal 7 peuvent être signalés comme non sécurisés lors d’analyses tierces (pen-tests).
- Les problèmes de Drupal 7, y compris les plus critiques, peuvent aussi être rendus publics sans correction ni préavis.
- Contrairement à Drupal 6, la Drupal Association ne fera pas la promotion d’un support à long terme pour Drupal 7 après la fin de sa vie.
Quels sont les risques si vous utilisez Drupal 7 après sa fin de vie ?
Maintenir Drupal 7 après sa fin de vie n’est une option ni sûre ni pratique. Ce serait en effet :
Vous exposer à des risques de sécurité
Votre site ne recevra pas de mises à jour de l’équipe de sécurité Drupal. Des vulnérabilités critiques non résolues peuvent être rendues publiques, exposant ainsi votre site à un risque encore plus grand. Les logiciels en fin de vie nécessitent parfois d’autres composants qui ne sont pas sécurisés, ce qui augmentera également les risques.
Limiter votre portée et vos partenariats
Si votre site est en Drupal 7, les scanners de vulnérabilité de sécurité le signaleront probablement comme non sécurisé. La plupart des grandes entreprises n’autorisent en effet pas l’exécution en interne des logiciels en fin de vie, et les cadres de sécurité (PCI_DSS, FedRAMP, FISMA) interdisent les logiciels en fin de vie.
Réduire vos opportunités
Drupal.org ne prendra plus en charge les tâches liées à Drupal 7 (y compris la documentation, la navigation, les tests automatisés et l’empaquetage). En outre, sans accès aux nouvelles fonctionnalités ajoutées aux versions ultérieures de Drupal, votre site perdra de sa valeur.
Pourquoi migrer vers Drupal 10 ?
De nombreuses entreprises retardent la migration de leur site web en raison du coût et du temps nécessaires. En 2024, il est vraiment temps de faire le pas !
Considérez la migration vers Drupal 10 comme un investissement de base. Drupal 10 et ses versions ultérieures disent adieu aux plateformes obsolètes, avec des versions sémantiques et des chemins de mise à niveau pour toutes les versions majeures à venir.
Profitez des nombreux avantages de Drupal 10 :
- Gains de sécurité
- Gains de performances
- Améliorations de l’accessibilité
- Améliorations de l’interface utilisateur (UI)
- Améliorations multi-navigateurs/appareils
- Améliorations des fonctionnalités
- Accès à des frameworks externes plus modernes
- Architecture axée sur l’API
- Soutien communautaire plus large et plus actif
- Diminution des coûts à long terme
Quelques limites à prendre en compte :
- Coûts de migration
- Dépendance à l’égard d’anciens modules contribués ou de frameworks API
- Architecture d’hébergement obsolète
Lire aussi : 5 bonnes raisons de migrer vers Drupal 10
Nous pouvons vous aider à migrer vers Drupal 10
Chaque site web est différent et évaluer l’effort pour quitter Drupal 7 peut être difficile. C’est pourquoi nous pouvons vous aider dans cette démarche. Contraste Digital possède une expérience de plus de 15 ans dans la réalisation d’audits et de migrations de sites Drupal. (voir nos réalisations) Nous vous fournirons des recommandations fiables, adaptées à vos plateformes et à vos besoins.