GeoServer est aujourd’hui l’un des serveurs cartographiques open source les plus utilisés pour publier des données spatiales selon les standards OGC (WMS, WFS, WCS). Robuste, flexible et largement adopté, il constitue une brique essentielle dans de nombreux systèmes d’information géographique (SIG).
Mais cette popularité attire aussi les regards malveillants. Comme tout service exposé sur Internet, GeoServer peut devenir une cible privilégiée si sa sécurité est négligée. Et l’actualité récente nous rappelle à quel point le risque est réel.
Vulnérabilités récentes : un rappel à l’ordre
Au cours des derniers mois, deux failles majeures ont marqué la communauté :
- CVE-2024-36401 (GeoTools) : une faille critique permettant une exécution de code à distance (RCE). En clair, un attaquant pouvait prendre le contrôle complet du serveur.
- CVE-2025-30145 (Jiffle) : une vulnérabilité de type déni de service (DoS), capable de bloquer GeoServer avec une simple requête malveillante.
Ces exemples illustrent deux menaces récurrentes :
- La perte de contrôle du serveur, avec un risque d’intrusion.
- L’indisponibilité des services cartographiques, impactant directement les utilisateurs.
Une politique de maintenance plus stricte
L’équipe GeoServer a renforcé sa gestion des mises à jour :
- Seules les deux dernières branches sont maintenues et corrigées.
- Les versions plus anciennes, même dites “stables”, ne reçoivent plus de correctifs.
- Les patchs sont publiés rapidement, mais leur déploiement dépend de l’administrateur.
En pratique : continuer à utiliser une version antérieure à la 2.24 revient à laisser la porte ouverte aux vulnérabilités connues.
Bonnes pratiques pour sécuriser GeoServer
1. Garder GeoServer à jour
- Installer les dernières versions de maintenance (LTS).
- Planifier un cycle de mise à jour régulier, au moins annuel.
2. Protéger l’administration
- Restreindre l’accès à
/geoserver/web(pare-feu, VPN, proxy inverse). - Utiliser des mots de passe forts et une gestion stricte des comptes.
- Éviter d’exposer directement l’interface d’admin sur Internet.
3. Réduire la surface d’attaque
- Désactiver ou désinstaller les modules non utilisés (WPS, scripting, extensions expérimentales).
- N’activer que les services réellement nécessaires.
4. Surveiller et anticiper
- Suivre les annonces de sécurité (GeoServer Blog, OSGeo Security).
- Déployer les mises à jour d’abord en préproduction.
- Mettre en place une supervision : logs, alertes réseau, détection d’anomalies.
Sécurité au niveau de l’écosystème
GeoServer n’est qu’un maillon d’une chaîne plus large : PostGIS, GeoWebCache, clients cartographiques, API…
Sécuriser GeoServer sans sécuriser le reste n’a pas de sens. Parmi les indispensables :
- Bases de données protégées et accessibles uniquement depuis les serveurs autorisés.
- Utilisation d’un proxy inverse (NGINX, Apache) pour filtrer, compresser et chiffrer les flux.
- Généralisation de HTTPS via Let’s Encrypt ou certificats internes.
Conclusion
La sécurité de GeoServer n’est pas qu’un sujet technique : c’est une condition de confiance pour vos utilisateurs et vos partenaires.
En 2025, la leçon est claire :
- Les développeurs publient des correctifs rapides et limitent la durée de vie des branches.
- Les administrateurs ont la responsabilité de mettre à jour, surveiller et limiter l’exposition de leurs services.
Continuer à utiliser une vieille version de GeoServer, c’est comme laisser une porte ouverte dans un bâtiment sensible.
La sécurité de vos services web cartographiques dépend avant tout de votre vigilance.
Pour aller plus loin :
- GeoServer Blog – Annonces de sécurité
- OSGeo Security Committee
- Liste officielle des CVE GeoServer (NVD)
