Icaunux - Le Forum

Forum de l'Association ICAUNUX

Vous n'êtes pas identifié(e).

Annonce

Les Inscriptions au forum sont temporairement désactivées en attendant de trouver une solution efficace contre les inscriptions fictives très nombreuses ces derniers temps. Si vous souhaitez vous inscrire sur le forum, merci d'envoyer une demande par mail à l'adresse contact@icaunux.org. Désolé de cette gène occasionnée.

#1 27-05-2019 15:08:46

JRelland
Membre
Lieu : Troyes
Inscription : 14-04-2019
Messages : 124
Site Web

Auto-hébergement : la fausse bonne idée ? Vidéo...

Bonjour,

Dernier post pour ces échanges de samedis 25/05/2019
(Ah non, peut-être pas...)

La page et le lien vers la vidéo de...
https://www.april.org/auto-hebergement- … idee-aeris


En fait, il en fait un pb de sécurité...
Surtout pour l'IoT smile...

Bonne semaine.


Amicalement, José Relland
Tricassinux, le GUL de Troyes et de l'Aube-en-Champagne
https://tricassinux.org | contact@tricassinux.org

Hors ligne

#2 27-05-2019 22:55:55

IceCat
Membre
Lieu : 93
Inscription : 17-11-2012
Messages : 607

Re : Auto-hébergement : la fausse bonne idée ? Vidéo...

Merci beaucoup pour ce lien. Je n'ai pas encore lu/regardé, juste survolé la retranscription. Mais j'imagine qu'il dit que c'est une fausse bonne idée si *tout le mode* se met à s'auto-héberger, car tout le monde n'a pas les compétences requises (admin sys/réseau c'est un métier !) et par conséquent, ne voient pas les problèmes que cela peut poser et, pire que tout, leur donner une impression de sécurité qui est fausse.

Bon j'arrête de blablater et je la ramènerait quand j'aurais tout lu. wink


promotion.php?image=PL-user.png&membre=IceCat

Hors ligne

#3 28-05-2019 12:25:06

wanica
Membre
Inscription : 13-11-2008
Messages : 1 871

Re : Auto-hébergement : la fausse bonne idée ? Vidéo...

Merci JRelland !

aeris a écrit :

D’abord, qu’est-ce que c'est l’auto-hébergement ? Moi je vais cataloguer ça en trois catégories. Il y a ce que je vais appeler

---le vrai auto-hébergement, mais ce n’est pas péjoratif, vrai ou faux, c’est juste que le vrai auto-hébergement c’est quand tout le matériel est chez nous, à la maison, au pied de notre lit, sur une Raspberry Pi, sur un PC allumé.

--- Il y a le faux auto-hébergement. On va faire la même chose, mais ça va plutôt être dans des datacenters, un serveur qu’on va louer en mutualisé, en serveur dédié ou autre, mais du coup c’est nous qui l’administrons.

Il y a aussi quelque chose qu’on oublie assez souvent, c’est l’Internet des objets, Internet of things, où on va avoir plein de matériel aussi connecté chez nous : la porte de frigo, le vibromasseur, la fontaine à chat, etc. et, du coup, ce sont aussi des choses qui vont être dans votre réseau, chez vous, et donc on le pourrait voir d’une certaine manière comme un auto-hébergement, mais avec des trucs un peu particuliers, d'ailleurs, à gérer.

----- Ce qui n’est du coup pas vraiment de l'auto-hébergement, enfin pas du tout de l’auto-hébergement, c’est tout ce qui va être de l’infogérance : vous avez des machines qui sont gérées par d’autres administrateurs systèmes, mais pour faire tourner vos services à vous. Et puis le fameux cloud, dont on ne sait pas trop ce que ça veut dire. Vous consommez du service ; vous ne savez pas qui le gère, comment, pourquoi, où. Ces deux-là ne sont pas de l’auto-hébergement, du coup on ne va pas en parler aujourd’hui.


Passionnant. Il n'y a pas que l' IoT...puisqu'on parle d' auto hébergement, mais clairement l' IoT est une menace terrifiante. Connecté(es) que ce soient caméras, portes de garage, frigo  ou l'objet lambda, ce sont de potentielles passoires.

aeris a écrit :

à on va attaquer le morceau qui nous intéresse : c'est l’auto-hébergement. Pourquoi est-ce que j’ai parlé de tout ça quand on va parler de l’auto-hébergement derrière ?

Aujourd’hui, il y a des solutions qui existent, YunoHost, Cozy Cloud, NextCloud, et on vous vend ça comme étant relativement accessible. .../... On vous demande un peu de compétences en administration système, on ne va pas vous cacher que c’est compliqué — vous êtes accompagné dans l’association d'ailleurs, pour vous aider à comprendre comment ça marche et à faire les choses proprement — mais au final, on a toujours les problèmes de sécurité précédents, parce que les bonnes pratiques, c’est compliqué, c’est chiant, c’est énervant, même pour les utilisateurs !

Comme je vous dis, quand vous lancez un système, vous n’avez pas envie qu’on vous demande votre adresse de réseau et votre masque de sous-réseau, il y en a qui beaucoup ne savent pas répondre, et surtout, sur le long terme car, comme disait Bruce Schneier, « Security is a process, not a product ». D donc votre image Raspi qui était vraie il y a deux mois, comment vous faites quand vous vous tapez une faille TLS et qu’il faut reconfigurer votre Nginx6, il faut reconfigurer tout votre bordel pour tenir compte de ça et re-flasher les images ? Il y a certainement des personnes qui vont le faire, mais il y en a d’autres qui ne vont pas le faire, parce que la machine va rester comme ça, sans faire de mises à jour, oubliée dans un coin, au pied du lit, etc.

On sécurise son yuno certes mais...

aeris a écrit :

Et c’est un peu, entre guillemets, la « critique » que je fais et on verra tout à l’heure qu’il n’y a pas vraiment le choix. Les solutions sont ce que j’appelle « solutions centriques », c’est-à-dire qui vont gérer leur sécurité uniquement du point de vue de leur logiciel , c’est-à-dire que leur logiciel va effectivement être sécurisé. Par exemple, on va s’assurer que YunoHost en lui-même n’a pas de faille, n'a pas de problématique particulière, qu’on va faire les mises à jour régulières. Par contre, l’écosystème global d’où va tourner ce machin-là, on s’en fout un peu !

...quid de l' ecosystème ?

aeris a écrit :

Quand Mastodon a été publié récemment, beaucoup de monde s’est dit on va monter nos instances. Mastodon est sécurisé, les configurations Nginx sont très correctes, la sécurité est très bonne. Sauf qu'il y a des gens qui ont lancé des images Mastodon qui étaient fournies par des gens et se sont retrouvés avec des bases de données qui étaient publiées sur Internet parce que le firewall ne bloquait pas le port PostgreSQL. Ils ont utilisé du Docker et plein de systèmes comme ça, qui faisaient tous ces trucs-là étaient publiés sur le Net. Et donc il y a des serveurs complets qui étaient publiés à poil !

DE l' accompagnement et (de la formation ?)

aeris a écrit :

Il y a la Brique Internet qui a essayé de faire les choses un peu plus packagées, .../...
Comment je fais un backup sur des cartes SD qui vont s’user à vitesse grand V ? ../...Du coup, ce sont des systèmes comme ça qu’il va falloir mettre en œuvre si on veut avoir de l’auto-hébergement safe.

En fait, aujourd’hui, si les systèmes précédents fonctionnent, c’est parce qu’on est dans un cas un peu particulier. On est sur de la petite série, on ne fait pas 5000 Briques Internet qu'on vend dans la nature ; il n'y a pas 5000 YunoHost ou Cozy Cloud ou autres dans la nature. Donc on n’est pas encore très intéressants pour un attaquant. Cent machines à infecter, il s’en fout !

Et en plus de ça, toutes les solutions font quand même de l’accompagnement aux utilisateurs. Quand vous installez une Brique Internet, on ne va pas vous filer la Brique Internet, « branche-là chez toi, oublie-là ! » Il y a des sessions d’installation, d’accompagnement, des meetups, des choses comme ça, pour essayer de faire prendre conscience aux gens, justement, du genre de problèmes dans lesquels ils vont se lancer.

aeris a écrit :

Histoire de taper un peu sur Cozy Cloud aussi, Cozy Cloud a le même problème. 527 instances Cozy Cloud dans la nature ; le jour où il y a une faille, les interfaces d’admin et autres sont publiées, donc là, pareil, j’ai un botnet de 527 machines potentiellement sous la main si une faille de sécurité est publiée et que les administrateurs ne font pas le boulot. Pareil sur NextCloud. On voit aussi tous les NextCloud qui tournent ; pareil, en cas de faille, un coup de Shodan et là j’ai 700 machines sous la main,prêtes à faire du spam, du DDoS, du Wannacry ou ce genre de trucs.

Aujourd’hui, c’est un peu ça le problème de l’auto-hébergement en général, c’est difficile de trouver un compromis entre je vais faire de la grande échelle, enfin je vais me déployer auprès de beaucoup de monde et de pouvoir assumer derrière la sécurité ambiante qui change toutes les deux semaines, qui demande des compétences d’administration système pour gérer un firewall, pour être capable de tout bloquer. Par exemple, pour éviter Shodan, je vais vous expliquer quand même comment faire, mais vous allez voir le niveau que ça demande !


Solutions ??

aeris a écrit :

il faut mettre un vhost Nginx ou Apache par défaut qui serve une page vide, et ne pas mettre un vhost, NextCloud ou Cozy Cloud ou autre, spécifique. Comme ça, quand Shodan passe, il va tomber sur le port 443 par défaut, il va tomber sur le vhost par défaut puisqu’il ne connaît pas le nom de domaine, donc il va avoir la page «Hello world ou It works» en fonction de votre système. Mais ça veut dire qu'il faut que l’utilisateur renseigne un nom de domaine, ça veut dire qu'il faut qu'il renseigne une adresse IP. Enfin voilà ! Il va falloir qu’on lui pose des questions et ce n’est plus une Brique du coup, ce n’est plus une image qu’on va flasher sur une Brique, qu’on va démarrer ; ça demande de la configuration, ça demande beaucoup de choses.

Et en plus ça ne suffit pas, parce qu’aujourd’hui Shodan a été un peu plus loin. Il y a ce qu’on appelle le Certificate Transparency maintenant, qui est une obligation pour les autorités de certification TLS de publier dans des annuaires l’intégralité des certificats TLS émis. Donc ça veut dire, en allant interroger ces annuaires de Certificate Transparency, on a tous les noms de domaines qui ont un certificat qui correspond. Il suffit de coupler Shodan avec la base de Certificate Transparency et on a le nom de domaine. Donc du coup on peut essayer : je sais que telle IP répond à tel nom de domaine, donc j’essaie tous les noms de domaines publiés dans le Certificate Transparency et je vais tomber sur l’interface de YunoHost. Même là, il faudrait potentiellement utiliser des autorités de certification internes, pas publiques, pour éviter de finir dans la base et, donc pareil, il faut que l'utilisateur sache comment importer une autorité de certification dans son navigateur, etc. C’est compliqué à patcher. C'est pour ça que je n'en veux pas. Ce n’est pas une critique de YunoHost, de la Brique ou autre ; c’est très compliqué d’y arriver, et je ne pourrais demander à personne d'aller monter sa propre autorité de certification pour après demander à ses utilisateurs ou ses administrateurs, de l’installer, etc. C’est humainement pas possible !

Hors ligne

Pied de page des forums