Discussion :

[ngmsky]

Bonjour,

J'aimerai avoir vos conseils et/ou savoir comment vous faites réellement pour transferer vos données mais de façon "SÉCURISÉE" (surtout pour l'id et mot de passe du compte ftp).

Pour faire simple, mon site (CMS oscommerce) est presque prêt pour être transferé mais je m'interroge sur la faille (?) connue des logiciels (ou plutôt du protocol) ftp.

Il s'avère que le mot de passe (ainsi que le reste des données) sont envoyées en clair.
Par conséquent, n'importe qui (enfin, les connaisseurs ou virus, etc) peuvent récupérer tranquillement les id/mot de passe et faire la fête : voler TOUTE les informations sensibles de la boutique :
- mot de passe base de données,
- clé-privée des modules de paiement de la banque, payapl, ..
- mot de passe de l'admin (back office),
- mots de passe et email, téléphone, ... des clients
- bref TOUTE La boutique est à sa disposition.


NB : même si les mot de passe sont cryptés dans le base de données, le faite d'avoir le code source du site, il (le pirate) saura l'algorithme et le salt éventuellement utilisé pour crypter les données et il pourra ensuite lancer des attaques par force brute sur des serveurs puissants, et avec un peut de temps, il retrouvera les mots de passe des clients. Idem pour celui de l'admin du site.


Or je compte utiliser l'un des offres d’hébergement mutualisé de ovh voir ici . Ils me conviennent, pour la majorité des critères, sauf que le transfert des données se fait en FTP, donc id + mot de passe en clair sur le réseau.


Pour ne pas envoyer son id et mot de passe en clair, il est conseillé d'utiliser un S-FTP (Secure FTP), qui lui, chiffre les données (au moins l'id et mot de passe en tout cas), donc impossible à un pirate de connaître le mot de passe, même s'il arrivait à récupérer les données "chiffrées".

J'ai testé MSS (My Secure Shell) en local (machine virtuelle) qui me parait très bien, car il transfert les données par ftp sous un tunnel SSH.
plus d'infos ici


Je pense que si réellement, ceci est un risque (ou faille ?) de sécurité alors, les éfforts de sécurisation du site (chmod, .htaccess/.htpasswd, ...) ne représenteraient plus rien pour un pirate qui arriverait à récupérer l'id et mot de passe ftp d'une boutique en ligne ou tout autre site web d'ailleurs !.


Ma question est donc :

A/ Si vous utilisez un hébergement mutualisé n'ayant pas de SFTP, comment transférez-vous vos données (tout en assurant votre sécurité) ?
a1/ par FTP (en prenant le risque de se faire voler le mot de passe ftp) ?
a2/ par autres moyens de tranfert : le(s)quel(s) ?

Et si c'est a1/ par FTP, ne cragnez-vous pas que vos données soient lu par les pirates ? sachant que vous avez passez du temps à sécuriser votre site ?


B/ Si, par contre, vous n'utilisez pas d’Hébergement mutualisé pour cette raison (utilisation de FTP, sécurité sacrifiée), quel est votre alternatif ?

b1/ serveur virtuel, ou dédié

b2/ vous sous traitez à 100% la gestion d’hébergement, sécurité, ... de votre site auprès des prestataires de services web (agences webmastering, webhosting, infogerance, ...) et vous vous contentez de vous connecter à l'admin de votre site pour gerer vos mises à jour, produits, ventes, clients.

b3/ Vous utilisez plutôt un autre hebergeur qui propose du mutualisé avec avec un transfert de fichiers par Secure FTP (cad port 22) ? un lien svp.


b4/ autres solutions ... ?

Si vous optez pour le b1/ (cequi me semble mieux), j'imagine que pour des nons informaticiens qui souhaitaient utiliser un CMS-ecommerce (donc facilité, presque pas de codage) se retrouvent du coup, pour des raison de sécurité, de devoir apprendre un nouveau métier (enfin un pack de métiers ou notions ) :
- l'administration système (type linux debian, sûrement),
- Maintenance et sécurité du systeme (qui doit être assez vaste pour être contenu dans administration système)
- Et autres notions à maîtriser la sécurité d'un serveur web dédié, en production.
Il faut carrément une vraie formation de 1 à 2 ans, non ?


Personnellement, si réellement utiliser un des hébergement mutualisé m'obligerait à transférer mon mot de passe en clair, sincèrement, je préférerai NE JAMAIS uitliser d’hébergement mutualisé mais passer directement à un serveur (virtuel, pour commencer).

Mais le problème, enfin la contrainte c'est qu'il faut soit prendre encore le temps pour b1/ sans oublier qu'on risque de devenir un informaticien qui passe des nuits blanches devant l’écran (et encore !) plutôt qu'un commerçant tranquille avec l'aide d'un CMS tout fait (but initial).

Par contre, si b2/ est possible, ça serait la meilleur solution que je pourrai adopter immédiatement.
Merci de me donner un lien, dans cas.


C/ Quelle est la probabilité qu'un pirate puisse capturer les données de transfert FTP d'un utilisateur derrière une box ?

Enfaite, je me demande si cette faille est réellement facilement exploitable par un pirate.
c1/ Doit-il forcement être présent sur (prendre le conrole à distance d') une machine de mon réseau local (domicile, bureau) ?
c2/ Peut-il récupérer ses données s'il se trouve hors de mon réseau local mais sur une machine (routeur) entre ma box et le serveur ovh ?
c3/ ou simplement, quelle est la condition minimum, pour le pirate, pour qu'il puisse intercepter mes données ?

C'est pour savoir si le risque d'interception est très élevé ou négligeable, auquel cas, je pourrais peut-être envisager le mutualisé en FTP (cad prendre moins de risques) que de prendre un énorme risque de gérer soit même un serveur, pour la première fois et pour une boutique en ligne, cequi ne s'improvise pas je crois.


Remarque :
Je parle de ovh parce que j'ai des noms de domaines chez eux. Mais pas pour autres raisons.
Si vous connaissez d'autres hébergeurs sérieux qui peuvent palier à ce probleme de sécurité (en mutualisé), merci de partager.

Bon, je ne sais pas si été clair ou pas mais je peux apporter des précisions, si besoin.
Merci d'avance pour votre réponses, surtout par-rapport à votre expérience réelle et actuelle et si possible, vos recommandations.

[ABCIWEB]

Salut,

Oui l'administration serveur est un vrai métier. Si tu fais des erreurs tu cours de bien plus grands risques que celui dû à un piratage de ton ftp.

D'autre part c'est pas si simple de pirater une connexion internet car il faut se trouver à proximité de la source qui émet les données. Si tu évites les lieux publics ou proxi d'entreprise ça limite les risques à ton proche voisinage.

Donc fais le maximum pour la sécurisation de ta box et n'utilises le FTP que depuis chez toi. Ensuite, tu peux aussi changer ton mot de passe FTP suite à ta connexion au serveur. Ce serait contraignant si tu utilisais le FTP tous les jours pour ton site mais normalement une fois les fichiers déposés, toutes les mises à jour se font ensuite depuis l'interface d'administration du site et pour cela HTTPS est disponible même pour les hébergements ovh (puisque tu parlais de cet hébergeur) entrée de gamme.

Donc au final les risques d'un piratage d'une connexion FTP peuvent être assez bien maîtrisés en prenant des précautions. C'est pour cela qu'il est plus intéressant d'avoir en priorité le HTTPS. Bien entendu l'idéal serait HTTPS + FTPS. Mais pas question de prendre les risques d'une administration serveur approximative pour simplement avoir FTPS, le remède serait bien pire que le mal

[ngmsky]

Bonjour, vraiment merci ABCIWEB, pour ta reponse.
Oui, c'est vrai que administrer un serveur "pour un site ecommerce en production" demande une maitrise presque parfaite de ce domaine.

Sinon, j'aimerai en savoir encore un peu plus, avoir des liens si possible, au niveau du champ d'action d'un pirate qui serait capable de capturer (intercepter) mes données.

Cad doit-il (le pirate) réussir à s'installer sur un des pc du reseau local ou non ?
Un schema graphique technique, pourrait bien m'aider.

ABCIWEB
Si tu évites les lieux publics ou proxi d'entreprise ça limite les risques à ton proche voisinage.
...
et n'utilises le FTP que depuis chez toi.

Je rappel que :
- je compte transferer les données, de chez moi (derrière la box), donc jamais dans des lieu public.
- Je n'utiliserai jamais le wifi pour ça, mais toujours en liason filaire : plus sécurisé)
- le pc de developpement est sour ubuntu 14.04 (donc pour les virus et keylogger, je crois que le risque minimiser, pour le moment)

Donc, cela veut dire que, normalement, la probalité que mes données soit interceptées et que mon mot de passe en claire soit recupéré est de l'ordre de 1/million ? ou 1/1000 ? ou 1/30 ?

ABCIWEB
... Donc fais le maximum pour la sécurisation de ta box

Cad dire ? Comment sécuriser sa box ?
- je n'ai même pas l'accès en mode console
- Et même si je l'avais, je ne connais pas le mot de passe du compte root
- Il n'y a que mon FAI qui en a accès.
- Je n'ai accès qu'au panneau d'administration graphique (page web). Et je peut à la rigueur parametrer les redirection de port, le DHCP, dns, ... Mais je n'ai accès à aucun fichier de configuration des paquet installé dans la box.


EN tout cas, merci encore pour ton intervention et pour tes conseils.
Je crois que je vais démarrer comme-ça, en attendant d'apprendre la gestion d'un serveur.

D'ailleurs, à votre avis, peut-on maîtriser l'administration complète d'un serveur web,
a/ juste en lisant les documentations en lignes (site officiels, tuto, forum)
b/ ou il faut vraiment une formation payante de 6-12 mois ?

Si oui, pour a/ en combien de temps environ peut-on y parvenir (1, 2, 3 ans ?)
SUr le site d'ubuntu par exemple, il y'a de la documentation pour presque tout cequ'il faut pour un serveur. (OS, apache + php, base de données, firewall, ssh, ...)

En suivant à la lettre cette documentation, peut-on réussir à installer, configurer et maintenir un serveur de production, sans soucis ?

Merci encore

[ABCIWEB]

Salut,

Il doit y avoir un forum serveur sur ce site, tu auras certainement plus de réponse sur le sujet.

Pour pirater une connexion il faut être à proximité de l'émetteur et c'est tout le contenu de la transmission que le pirate va intercepter, comme une écoute téléphonique. Pour se protéger de cela on peut commencer par prendre des précautions comme dit plus haut, en limitant ses points de connexion à un espace de confort où l'on maîtrise le mieux son environnement et en changeant ses mots de passe. Ensuite d'utiliser HTTPS notamment sur les interfaces d'administration. Tu as du remarquer que que les interfaces d'administration des hébergements, même mutualisés, sont en HTTPS donc tu peux modifier tes mots de passe en toute sécurité. Enfin si possible d'utiliser FTPS mais cela arrive loin derrière en termes de sécurité car comme déjà dit on peut limiter très fortement les risques si on a suivi les conseils précédents.

Un deuxième type de piratage pour les sites est d'exploiter des failles connues sur des logiciels open source. Cela touche toutes les catégories de CMS (os commerce, prestashop, wordpress, joomla...) sans exception. La seule protection valable est de garder toujours son CMS à jour avec la dernière version, Y COMPRIS les modules annexes car les failles viennent souvent des modules externes.

...

Et puis les attaques "grand public" par virus ou assimilés qui permettent d'installer un logiciel espion sur l'ordinateur. Ce sont les attaques les plus faciles car précisément on est pas obligé d'être à proximité de la cible puisqu'on on ne cherche pas à pirater sa connexion. Un mail infecté ou un téléchargement de fichier infecté suffira pour l'installer. Là on est dans le domaine de la sécurité informatique grand public, cf précautions d'usage, logiciels antivirus et pare feu. Evidemment si un pirate trouve sur ton ordinateur un fichier dans lequel tu enregistre les mots de passe, que tu te connecte ensuite avec ou sans HTTPS ou FTPS pour lui cela ne change rien.


Après pour l'administration serveur, pour que ce soit un minimum sérieux il faut non seulement des connaissances mais aussi une structure, une équipe pour pouvoir intervenir 24H/24 et 7 jours/7 en cas de besoin...

[ngmsky]

Bonjour,
et merci encore pour ta réponse très concise et directe.

Par contre, que veux-tu dire par ceci :

Pour pirater une connexion il faut être à proximité de l'émetteur et c'est tout le contenu de la transmission que le pirate va intercepter, comme une écoute téléphonique.

Je sais que pour capturer le flux de communication wifi, il suffit d'être à proximité (cad géographiquement proche, quelque dizaines de mètres) de l'émetteur (AP) de façon à voir le réseau wifi apparaître dans la liste des réseaux sans fil disponibles.

Mais dans ta phrase ci-dessus, je n'arrive pas à comprendre le sens réel du mot "aproximité", puisque dans mon cas, je n'utilise pas le sans fil pour me connecter à ma box mais plutôt le câble RJ45, et mes transfert ftp se feront à partir de là.

Voici à peu-près la configuration de notre réseau local :
- 5 machines (2 pc windows + 2 pc ubuntu + 1 tablette) connectés en wifi
- et 2 machines connecté par câble Ethernet (le pc de developpement web + la télé).

Pour infos, le réseaux wifi est sécurisé en WPA2-PSK avec chiffrement AES, avec un mot de passe de plusieurs dizaines de caractères alpha-numérique-spéciaux.

Est-ce que la proximité dont tu parle concerne seulement les machines en wifi ou toutes machines, même en filaire ?

Merci encore pour tout

[ABCIWEB]

Salut,

Evidemment avec une liaison filaire tu limite encore les risques. Reste que quelqu'un pourrait éventuellement pirater ta ligne téléphonique un peu avant ta prise, au niveau de l'immeuble par exemple. Mais cela demande d'intervenir physiquement sur les boitiers de raccordements et laisse des traces. A moins que tu développe une application ultra confidentielle et que tu aies tous les réseaux d'espionnage braqués sur toi, je vois pas trop de risques car il faut des moyens logistiques beaucoup plus importants pour faire une infraction directe sur le réseau.

[ngmsky]

Bonsoir,
Mais tu ne m'a pas dit concrètement ceque tu appelais par "proximité".

Donc si je comprends bien, enfin de compte, proximité veut dire :
- pour une connexion wifi, les pirates situé à 10-30m autour de moi et recevant mon signal wifi,
- pour le filaire, il s'agit d'une proximité virtuelle (technique) : tout logiciel malveillant installé sur une machine de mon réseau local ou sur quelque part sur la chaîne des équipements électronique (permettant l'accès à internet : routeurs, swicth, ...)

Si c'est vraiment ça, alors dans mon cas (filaire), je ne vois pas comment ses équipement pourrait être piraté, entout cas, ce n'est pas probable que ces équipement soient infectés car geré par le FAI et/ou son ses partenaires.
Donc je comprends que le risque que mes données soient interceptées par un pirate est très très faible finalement.

Merci pour tout le temps que tu as prix pour m'expliquer et pour tes conseils.

Merci encore

[Spartacusply]

Un détail important, ne jamais sauvegarder ses mots de passe lorsque si tu utilises FileZilla (FTP ou SFTP) car celui-ci les sauvegarde en clair dans un fichier XML ! (faille de sécurité majeur, connue, et rien n'est fait...)

Sinon, tout bon hébergeur se doit de proposer (si ce n'est obliger) la connexion SFTP pour le transfert de fichier.

Après en sécurité, il y a les concepts de base, que tout à chacun (développeur) se doit de maitriser (cryptage des mots de passer - et pas en md5, notion de pare-feu, de cryptage des données, accès à une bdd...), et après des concepts plus poussés sur les systèmes "à risque" sur lesquels tu dois prendre des précautions particulières.

[ngmsky]

Bonjour,
merci Spartacusply pour le complément d'information.

J'avais déja pour habitude de ne jamais enregistrer mes mots de passe dans fillezilla, navigateur web, etc. Cela ne fait que me confirmer que c'est une bonne methode.

Spartacusply
Sinon, tout bon hébergeur se doit de proposer (si ce n'est obliger) la connexion SFTP pour le transfert de fichier.

Je me disais que ovh était un bon hebergeur, mais là, je ne sais plus que dire. Parce que la sécurité, c'est normalement très important et je me demande pourquoi ovh ne met pas du ftpS pour les offre en mutualisé !

Sinon, quelqu'un connaitrait-il un (bon ?) hebergeur qui proposerait du FTPS pour les offres d’hébergement mutualisé ?

A bientôt et merci à tous.

[Spartacusply]

Attention, je te parle de SFTP et non de FTPS.

Ce sont deux protocoles différents qui arrivent au même résultat (crypter le transfert de fichier).

FTPS transmet les fichiers cryptés, SFTP transmet les fichiers à travers un canal qui lui est crypté (SFTP s'appuie sur le protocole SSH alors que FTPS reste du FTP avec juste une surcouche supplémentaire).

SFTP est plus facile à mettre en place car il ne nécessite pas de certificat SSL.

Bref, OVH propose le SFTP mais pas sur l'offre perso (et ça c'est quand même un peu abusé il est vrai). Autrement, perso je suis chez 1&1 et j'ai accès au SFTP dès l'offre basique (et je pense qu'il en est ainsi chez bon nombre d'hébergeur).

[ABCIWEB]

Oui mais d'un autre côté ovh propose du ssl mutualisé sans supplément de prix dès l'offre perso ce qui permet de faire une interface d'administration sécurisée sur le site. S'il faut choisir il vaut mieux sécuriser l'administration "grand public" du site pour les mises à jours quotidiennes faites par le(s) client(s), plutôt que d'avoir sftp qui ne concerne que l'administrateur principal qui devrait connaître les précautions d'usage.
Par ailleurs concernant la sécurité serveur il y a d'autres caractéristiques à prendre en compte comme la protection contre les attaques DDOS etc. Pour dire que SFTP ou FTPS n'est pas LE critère principal qui permet de distinguer un bon hébergeur d'un moins bon et ne doit pas être l'arbre qui cache la forêt. D'ailleurs si cette protection n'est disponible que depuis peu sur les mutualisés c'est bien parce que ce n'était pas primordial.
Voilà, c'était juste pour relativiser car si l'on devait faire le compte des causes de piratage d'un site, le piratage d'une connexion ftp arriverait très très très très... loin en dernière position derrière les piratages par négligence de l'utilisateur, poste infesté par des logiciels espion, code défaillant ou code open source non mis à jour, administration serveur approximative etc.