{"id":15577,"date":"2025-09-23T10:00:00","date_gmt":"2025-09-23T08:00:00","guid":{"rendered":"https:\/\/www.sigterritoires.fr\/?p=15577"},"modified":"2025-10-14T10:11:36","modified_gmt":"2025-10-14T08:11:36","slug":"securite-et-geoserver-etat-des-lieux-et-bonnes-pratiques-en-2025","status":"publish","type":"post","link":"https:\/\/www.sigterritoires.fr\/index.php\/securite-et-geoserver-etat-des-lieux-et-bonnes-pratiques-en-2025\/","title":{"rendered":"S\u00e9curit\u00e9 et GeoServer : \u00e9tat des lieux et bonnes pratiques en 2025"},"content":{"rendered":"\n<p><a href=\"https:\/\/www.sigterritoires.fr\/index.php\/debuter-avec-geoserver\/\">GeoServer<\/a> est aujourd\u2019hui l\u2019un des serveurs cartographiques open source les plus utilis\u00e9s pour publier des donn\u00e9es spatiales selon les standards OGC (WMS, WFS, WCS). Robuste, flexible et largement adopt\u00e9, il constitue une brique essentielle dans de nombreux syst\u00e8mes d\u2019information g\u00e9ographique (SIG).<\/p>\n\n\n\n<p>Mais cette popularit\u00e9 attire aussi les regards malveillants. Comme tout service expos\u00e9 sur Internet, GeoServer peut devenir une cible privil\u00e9gi\u00e9e si sa s\u00e9curit\u00e9 est n\u00e9glig\u00e9e. Et l\u2019actualit\u00e9 r\u00e9cente nous rappelle \u00e0 quel point le risque est r\u00e9el.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-light-blue ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Contenu <\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/www.sigterritoires.fr\/index.php\/securite-et-geoserver-etat-des-lieux-et-bonnes-pratiques-en-2025\/#Vulnerabilites_recentes_un_rappel_a_lordre\" >Vuln\u00e9rabilit\u00e9s r\u00e9centes : un rappel \u00e0 l\u2019ordre<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/www.sigterritoires.fr\/index.php\/securite-et-geoserver-etat-des-lieux-et-bonnes-pratiques-en-2025\/#Une_politique_de_maintenance_plus_stricte\" >Une politique de maintenance plus stricte<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/www.sigterritoires.fr\/index.php\/securite-et-geoserver-etat-des-lieux-et-bonnes-pratiques-en-2025\/#Bonnes_pratiques_pour_securiser_GeoServer\" >Bonnes pratiques pour s\u00e9curiser GeoServer<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/www.sigterritoires.fr\/index.php\/securite-et-geoserver-etat-des-lieux-et-bonnes-pratiques-en-2025\/#1_Garder_GeoServer_a_jour\" >1. Garder GeoServer \u00e0 jour<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/www.sigterritoires.fr\/index.php\/securite-et-geoserver-etat-des-lieux-et-bonnes-pratiques-en-2025\/#2_Proteger_ladministration\" >2. Prot\u00e9ger l\u2019administration<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/www.sigterritoires.fr\/index.php\/securite-et-geoserver-etat-des-lieux-et-bonnes-pratiques-en-2025\/#3_Reduire_la_surface_dattaque\" >3. R\u00e9duire la surface d\u2019attaque<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/www.sigterritoires.fr\/index.php\/securite-et-geoserver-etat-des-lieux-et-bonnes-pratiques-en-2025\/#4_Surveiller_et_anticiper\" >4. Surveiller et anticiper<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/www.sigterritoires.fr\/index.php\/securite-et-geoserver-etat-des-lieux-et-bonnes-pratiques-en-2025\/#Securite_au_niveau_de_lecosysteme\" >S\u00e9curit\u00e9 au niveau de l\u2019\u00e9cosyst\u00e8me<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/www.sigterritoires.fr\/index.php\/securite-et-geoserver-etat-des-lieux-et-bonnes-pratiques-en-2025\/#Conclusion\" >Conclusion<\/a><\/li><\/ul><\/nav><\/div>\n\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Vulnerabilites_recentes_un_rappel_a_lordre\"><\/span>Vuln\u00e9rabilit\u00e9s r\u00e9centes : un rappel \u00e0 l\u2019ordre<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Au cours des derniers mois, deux failles majeures ont marqu\u00e9 la communaut\u00e9 :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>CVE-2024-36401 (GeoTools)<\/strong> : une faille critique permettant une <strong>ex\u00e9cution de code \u00e0 distance (RCE)<\/strong>. En clair, un attaquant pouvait prendre le contr\u00f4le complet du serveur.<\/li>\n\n\n\n<li><strong>CVE-2025-30145 (Jiffle)<\/strong> : une vuln\u00e9rabilit\u00e9 de type <strong>d\u00e9ni de service (DoS)<\/strong>, capable de bloquer GeoServer avec une simple requ\u00eate malveillante.<\/li>\n<\/ul>\n\n\n\n<p>Ces exemples illustrent deux menaces r\u00e9currentes :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>La perte de contr\u00f4le du serveur<\/strong>, avec un risque d\u2019intrusion.<\/li>\n\n\n\n<li><strong>L\u2019indisponibilit\u00e9 des services cartographiques<\/strong>, impactant directement les utilisateurs.<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Une_politique_de_maintenance_plus_stricte\"><\/span>Une politique de maintenance plus stricte<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>L\u2019\u00e9quipe GeoServer a renforc\u00e9 sa gestion des mises \u00e0 jour :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Seules les <strong>deux derni\u00e8res branches<\/strong> sont maintenues et corrig\u00e9es.<\/li>\n\n\n\n<li>Les versions plus anciennes, m\u00eame dites \u201cstables\u201d, <strong>ne re\u00e7oivent plus de correctifs<\/strong>.<\/li>\n\n\n\n<li>Les patchs sont publi\u00e9s rapidement, mais leur d\u00e9ploiement d\u00e9pend de l\u2019administrateur.<\/li>\n<\/ul>\n\n\n\n<figure class=\"wp-block-pullquote\"><blockquote><p>En pratique : continuer \u00e0 utiliser une version ant\u00e9rieure \u00e0 la 2.24 revient \u00e0 laisser la porte ouverte aux vuln\u00e9rabilit\u00e9s connues.<\/p><\/blockquote><\/figure>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Bonnes_pratiques_pour_securiser_GeoServer\"><\/span>Bonnes pratiques pour s\u00e9curiser GeoServer<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"1_Garder_GeoServer_a_jour\"><\/span>1. Garder GeoServer \u00e0 jour<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Installer les derni\u00e8res versions de maintenance (LTS).<\/li>\n\n\n\n<li>Planifier un cycle de mise \u00e0 jour r\u00e9gulier, au moins annuel.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"2_Proteger_ladministration\"><\/span>2. Prot\u00e9ger l\u2019administration<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Restreindre l\u2019acc\u00e8s \u00e0 <code>\/geoserver\/web<\/code> (pare-feu, VPN, proxy inverse).<\/li>\n\n\n\n<li>Utiliser des mots de passe forts et une gestion stricte des comptes.<\/li>\n\n\n\n<li>\u00c9viter d\u2019exposer directement l\u2019interface d\u2019admin sur Internet.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"3_Reduire_la_surface_dattaque\"><\/span>3. R\u00e9duire la surface d\u2019attaque<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>D\u00e9sactiver ou d\u00e9sinstaller les modules non utilis\u00e9s (WPS, scripting, extensions exp\u00e9rimentales).<\/li>\n\n\n\n<li>N\u2019activer que les services r\u00e9ellement n\u00e9cessaires.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"4_Surveiller_et_anticiper\"><\/span>4. Surveiller et anticiper<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Suivre les annonces de s\u00e9curit\u00e9 (GeoServer Blog, OSGeo Security).<\/li>\n\n\n\n<li>D\u00e9ployer les mises \u00e0 jour d\u2019abord en pr\u00e9production.<\/li>\n\n\n\n<li>Mettre en place une supervision : logs, alertes r\u00e9seau, d\u00e9tection d\u2019anomalies.<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Securite_au_niveau_de_lecosysteme\"><\/span>S\u00e9curit\u00e9 au niveau de l\u2019\u00e9cosyst\u00e8me<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>GeoServer n\u2019est qu\u2019un maillon d\u2019une cha\u00eene plus large : <a href=\"https:\/\/www.sigterritoires.fr\/index.php\/debuter-avec-postgrespostgis\/\">PostGIS<\/a>, GeoWebCache, clients cartographiques, API\u2026<br>S\u00e9curiser GeoServer sans s\u00e9curiser le reste n\u2019a pas de sens. Parmi les indispensables :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Bases de donn\u00e9es prot\u00e9g\u00e9es et accessibles uniquement depuis les serveurs autoris\u00e9s.<\/li>\n\n\n\n<li>Utilisation d\u2019un <strong>proxy inverse (NGINX, Apache)<\/strong> pour filtrer, compresser et chiffrer les flux.<\/li>\n\n\n\n<li>G\u00e9n\u00e9ralisation de <strong>HTTPS<\/strong> via Let\u2019s Encrypt ou certificats internes.<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Conclusion\"><\/span>Conclusion<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>La s\u00e9curit\u00e9 de GeoServer n\u2019est pas qu\u2019un sujet technique : c\u2019est une condition de confiance pour vos utilisateurs et vos partenaires.<\/p>\n\n\n\n<p>En 2025, la le\u00e7on est claire :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Les d\u00e9veloppeurs<\/strong> publient des correctifs rapides et limitent la dur\u00e9e de vie des branches.<\/li>\n\n\n\n<li><strong>Les administrateurs<\/strong> ont la responsabilit\u00e9 de mettre \u00e0 jour, surveiller et limiter l\u2019exposition de leurs services.<\/li>\n<\/ul>\n\n\n\n<p>Continuer \u00e0 utiliser une vieille version de GeoServer, c\u2019est comme laisser une porte ouverte dans un b\u00e2timent sensible.<\/p>\n\n\n\n<figure class=\"wp-block-pullquote\"><blockquote><p>La s\u00e9curit\u00e9 de vos services web cartographiques d\u00e9pend avant tout de votre vigilance.<\/p><\/blockquote><\/figure>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<p><strong>Pour aller plus loin<\/strong> :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/geoserver.org\/\">GeoServer Blog \u2013 Annonces de s\u00e9curit\u00e9<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/www.osgeo.org\/security\/\">OSGeo Security Committee<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/nvd.nist.gov\/\">Liste officielle des CVE GeoServer (NVD)<\/a><\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n","protected":false},"excerpt":{"rendered":"<p>GeoServer est aujourd\u2019hui l\u2019un des serveurs cartographiques open source les plus utilis\u00e9s pour publier des donn\u00e9es spatiales selon les standards OGC (WMS, WFS, WCS). Robuste, flexible et largement adopt\u00e9, il constitue une brique essentielle dans de&hellip;<\/p>\n","protected":false},"author":1,"featured_media":15578,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"give_campaign_id":0,"_bbp_topic_count":0,"_bbp_reply_count":0,"_bbp_total_topic_count":0,"_bbp_total_reply_count":0,"_bbp_voice_count":0,"_bbp_anonymous_reply_count":0,"_bbp_topic_count_hidden":0,"_bbp_reply_count_hidden":0,"_bbp_forum_subforum_count":0,"sfsi_plus_gutenberg_text_before_share":"","sfsi_plus_gutenberg_show_text_before_share":"","sfsi_plus_gutenberg_icon_type":"","sfsi_plus_gutenberg_icon_alignemt":"","sfsi_plus_gutenburg_max_per_row":"","_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"jetpack_post_was_ever_published":false,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[314],"tags":[315,3737],"class_list":["post-15577","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-geoserver","tag-geoserver","tag-securite"],"aioseo_notices":[],"jetpack_featured_media_url":"https:\/\/i0.wp.com\/www.sigterritoires.fr\/wp-content\/uploads\/2025\/09\/geoserver_security.png?fit=1536%2C1024&ssl=1","jetpack_shortlink":"https:\/\/wp.me\/p6XU0A-43f","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sigterritoires.fr\/index.php\/wp-json\/wp\/v2\/posts\/15577","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sigterritoires.fr\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sigterritoires.fr\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sigterritoires.fr\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sigterritoires.fr\/index.php\/wp-json\/wp\/v2\/comments?post=15577"}],"version-history":[{"count":0,"href":"https:\/\/www.sigterritoires.fr\/index.php\/wp-json\/wp\/v2\/posts\/15577\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sigterritoires.fr\/index.php\/wp-json\/wp\/v2\/media\/15578"}],"wp:attachment":[{"href":"https:\/\/www.sigterritoires.fr\/index.php\/wp-json\/wp\/v2\/media?parent=15577"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sigterritoires.fr\/index.php\/wp-json\/wp\/v2\/categories?post=15577"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sigterritoires.fr\/index.php\/wp-json\/wp\/v2\/tags?post=15577"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}