Cryptage et sécurité

[AFYREN]

Bonjour à tous et toutes,

J'espère que je poste au bon endroit, je n'ai pas trouvé de section dédiée à ma question sur le forum.

Voila j'aimerai avoir de plus amples informations sur le cryptage et la sécurité sur le NAS (DS215) que j'utilise pour mon entreprise.

J'ai paramétré le CLOUD via Cloudstation pour l'ensemble des utilisateurs (5 en tout). Quel est le niveau de sécurité des fichiers partagés via le cloud ?

Dans un second temps et pour certains documents plus critiques, j'ai activé le serveur SFTP du Syno pour communiquer avec lui en toute sécurité. Ma question est de savoir encore une fois quel est le niveau de sécurité. En fait j'aimerai être sûr de mon coup pour m'assurer que mes fichiers transféré par SFTP sont bien chiffrés et non interceptables (si ce mot existe). En fait j'ai du mal à comprendre l'intêret de créer un dossier partagé crypté sur le serveur puisque la clé de cryptage n'est jamais demandée si un utilisateur viens chercher le fichier.

Plus concrètement, ma question est la suivante : Je transfère un fichier via le SFTP, dans un dossier crypté avec une clé spécifique sur mon synology. Est-ce que la sécurité sur ce fichier est maximale ?

En gros j'aimerai savoir quel est la façon la plus sécure de transférer et de stocker des fichiers/dossiers sur mon Syno.

Merci d'avance !

 

[marcien]

C'est 2 choses différentes.

Le fait de crypter les Dossiers t'assure que si on vole ton Syno, personne ne pourra lire les fichiers (le fait de faire un Reset du Syno, efface les clef de décryptage).

Pour le SFTP, c'est sensé être secure, mais je ne pas pas trop quelle clef est utilisé !

Avec le futur DSM6, on peut mettre le cloud sur un Dossier crypté (ca doit être le cas aujourd'hui), et aussi le répliqué sur un autre Syno avec la même clef de Cryptage. Aujourd'hui, le cloud client sur Syno ne sait pas ecrire sur un Dossier crypté.

En DSM 6, avec let-s-encrypts, la clef du SFTP est peut-etre lié au certificat ?!? J'y connais pas assez pour t'éclairer la dessus , mais d'autre devrait nous faire voir la lumière...

[gaetan.cambier]

comme l'a dis marcien, le cryptage des fichiers, c'est pour empécher une lecture des disque physique via un vol (ou saisie) des serveurs

cloudstation, il utilise le https tuneling --> securité ssl ou tls (en espérant que ce soit la seconde)
sftp : : il utilise ssh pour securisé la connection --> la sécurité depend de ce que l' on accepte au niveau ssh comme authentification/ciphers

dans tous les cas, je dirait qu'avec les reglage par défaut, 99.99% des personne ne savent absolument pas intercepter la communication

tu peux passer la config ssh du nas sur élevé, ensuite, tu peux cliqué sur personalisé pour supprimer ce que tu veux pour blinder encore un peu plus (tout en s'assurant de la compatibilité avec les clients)

Reste le plus gros problème : les UTILISATEURS

si tes fichiers sont sensible, as-tu prévu quelques chose pour éviter que ceux-ci ne puisse se retrouver sur une clé usb ? ou puissent être exfiltrées via le reseau (mail ou autres)

[Fenrir]

Le niveau de sécurité est probablement celui des comptes et des mots de passe que tu vas utiliser.

Même en montant un super serveur FTPS ou SFTP, avec un super certificat, si le mot de passe pour se connecter est bidon, la sécurité l'est aussi.

Idem en chiffrant (en français, crypter n'existe pas), si la clef de chiffrement ou son mot de passe sont faibles, ça ne sert pas à grand chose.

Tu peux considérer que la sécurité des tuyaux (pour quelqu'un qui intercepte le trafic) est équivalente à celle de n'importe quel site HTTPS (comme celui de ta banque).

[gaetan.cambier]

il y a 1 minute, Fenrir a dit :

Le niveau de sécurité est probablement celui des comptes et des mots de passe que tu vas utiliser.

Même en montant un super serveur FTPS ou SFTP, avec un super certificat, si le mot de passe pour se connecter est bidon, la sécurité l'est aussi.

Idem en chiffrant (en français, crypter n'existe pas), si la clef de chiffrement ou son mot de passe sont faibles, ça ne sert pas à grand chose.

Tu peux considérer que la sécurité des tuyaux (pour quelqu'un qui intercepte le trafic) est équivalente à celle de n'importe quel site HTTPS (comme celui de ta banque).

conclusion, faut passer aux certificats pour eviter mes mots de passe foireux (a voir la faisabilite avec le dsm) 

[Fenrir]

ou mettre des mots de passe correctes, qu'on change régulièrement

[AFYREN]

Bonjour à tous et merci pour vos réponses.

En effet je pense que le plus gros soucis de sécurité viendra des utilisateurs eux-mêmes... J'ai poussé la force des mots de passes au maximum et programmé un changement de MDP tous les mois..

Arrivé au bureau ce matin, j'ai eu un petit mail de mon NAS m'indiquant qu'un IP américaine avait tenté de forcer mon SSH ... Pas cool du tout ... J'ai donc autorisé uniquement les IP Françaises par le Firewall, ca sera déjà ça.

 

Je vous liste les mesures que j'ai prise niveau sécu, pouvez vous me dire si il manque quelquechose à votre avis ?

Force des mots de passe haute et changement régulier

HTTPS forcé

Connexion SFTP pour transférer des fichiers critiques (qui seront chiffrés (et pas cryptés, pardon) via TrueCrypt ou logiciel similaire avant transfert)

Redirection des ports de la box pour le HTTP HTTPS et le SSH

Blocage des IP

Firewall n'autorisant que les connexions FR

Désactivation de tous les services inutiles (genre FTP, etc..) et du compte admin par défaut

 

Est-ce que ca vous parait correct ? Je flippe un peu depuis ce matin et cette attaque SSH... J'ai pas encore déployé la solution pour le moment (ils utilisent dropbox actuellement) et j'aimerai vraiment pouvoir être sûr que je suis bon niveau sécu avant de finaliser tout ça..

 

D'avance merci pour vos réponses c'est très cool de votre part.

 

Bonne matinée

[Fenrir]

c'est déjà très bien, par contre je te recommande d'utiliser le FTPS (FTP chiffré) à la place du SFTP (SSH), c'est plus adapté à ton besoin.

Il y a 8 heures, AFYREN a dit :

Je flippe un peu depuis ce matin et cette attaque SSH

sans vouloir t'inquiéter, il ne faut pas avoir peur de ce qui est détecté et bloqué, mais de tout le reste

[pluton212+]

Il y a 21 heures, Fenrir a dit :

ou mettre des mots de passe correctes, qu'on change régulièrement

Salut,

peux tu nous écrire un exemple de mot de passe qui passe stp?

Merci.

Modifié le 5 février 2016 par pluton212+

[gaetan.cambier]

Il y a 2 heures, Fenrir a dit :

c'est déjà très bien, par contre je te recommande d'utiliser le FTPS (FTP chiffré) à la place du SFTP (SSH), c'est plus adapté à ton besoin.

sans vouloir t'inquiéter, il ne faut pas avoir peur de ce qui est détecté et bloqué, mais de tout le reste

les gens préfèrent faire l'autruche : tant qu'ils ne voient rien pour eux tout va bien ... alors que c'est souvent l'inverse

[Fenrir]

Il y a 1 heure, pluton212+ a dit :

Salut,

peux tu nous écrire un exemple de mot de passe qui passe stp?

Merci.

un truc du genre : (à ne pas utiliser, le fait de les publier vient de les tuer à tout jamais)

• court et pas trop dur à retenir : "M0nPréc!eux"
• long mais facile à retenir : "Ou encore une phrase qui vous parle !"
• facilités pour les non anglophones (sauf avec cette réforme de l'orthographe) : "Il a vidé le fût d'un coup œil"
• aléatoire : "OGHmOh7zC0CejIhW"

1. plus le mot de passe est long, mieux c'est => du moment que c'est facile à retenir et difficile à deviner
   • 10 en alphanumérique c'est un bon début pour 90% des usages, à condition d'en changer 2 ou 3 fois par an
   • presque tous les mdp de 8 caractères (y compris avec des caractères spéciaux) sont dans les rainbow tables => à éviter
2. les caractères spéciaux ne remplacent pas la longueur, il la complète
   • la plupart des gens utilisent toujours les mêmes 4 ou 5 caractères spéciaux
   • donc ça ne complexifie pas la découverte des mots de passe
   • mais seulement la facilité de les retenir
3. plus c'est facile à retenir, mieux c'est :
   • si c'est facile à retenir, les utilisateurs ne seront pas "trop" réfractaires
   • moins de chance de retrouver le mdp sur un post-it, dans un mail, ...
4. il ne faut jamais utiliser un mdp sensible (qui protège un truc "important") à plus d'un (1) endroit
   • un mdp pour la banque, un autre pour les impôts, encore un autre pour le site d'achat, idem pour le super réseau social qui protège votre vie privée (...de ses concurrents)
   • on peut par contre utiliser des variantes, plus facile à retenir (il faut par contre éviter les truc du genre <password><nom du site>)
5. l'utilisation des mots de passe aléatoires de grande longueur (le max que le site permette), différents pour chaque site, reste le plus fiable
6. la double authentification augmente fortement la sécurité
   • OTP fiable du moment que ça ne passe pas par le réseau
     • double authentification chez Google = fiable avec une appli (freeotp par exemple), moins fiable avec les sms
     • double authentification chez MS = peu fiable (ça passe par le réseau)
   • biométrie : je ne suis pas fan, on mdp passe ça se change, une rétine ou des empruntes c'est plus compliqué
   • token : quand c'est possible et bien fait, c'est le très fiable
   • le certificat, c'est le top si c'est vous qui le générez (comme avec une clef ssh par exemple)
7. il ne faut pas hésiter à utiliser un gestionnaire de mot de passe OFFLINE (qui marche sans internet)
   • keepass ok (en plus il est certifié CSPN dans sa version 2.10)
   • dashlan ko (tout est stocké en ligne au chez l'oncle sam, dommage pour une société d'origine française)
8. les "question secrète", c'est le mer*e, 9 fois sur 10 ça affaibli la sécurité
   • pour un pirate, il est souvent plus facile d’attaquer la questions secrète que le mdp
   • la réponse à la question secrète est souvent enregistrée en clair dans le cache "formulaire" des navigateurs
   • =>si vous êtes obligé de la remplir, utilisez une chaine aléatoire
9. et pour ceux qui enregistrent leurs mots de passe dans leurs navigateurs (même si le navigateur est protégés par un mot de passe)
   • attention au plugins et autres extensions (surtout avec chrome), la plupart peuvent techniquement accéder aux mdp
   • n'installez que des extensions dans lesquelles vous avez une confiance absolue

A titre perso :

• la plupart du temps j’utilise un générateur de mdp
• quand la double authentification est permise via un standard => je l'active dans 90% des cas
• dans le navigateur, je n'enregistre les mdp que pour les sites de faible importance (vis à vis de ce que je souhaite garder confidentiel), comme ici
• pour les autres sites (impôts, boulot, ...), je me sers de ma tête (la mémoire, pas le coup de boule) ou de Keepass
  • je change ces mdp régulièrement (parfois de simples variantes)
• et quand j'y pense, lors de l'inscription sur un site, je demande un reset du mdp
  • si le site me renvoi mon précédent mdp, je n'y mets plus jamais les pieds (ou du moins pas avant qu'ils aient fait le nécessaire)
  • si le site me renvoi un mdp que je ne suis pas obligé de changer => je le change

Sur ce dernier point, les mails de récupération, mettez un max de sécurité dessus

En complément, le cache et les cookies sont supprimés de tous mes navigateurs dès que je les ferme

 

ps : je ne suis pas parano, juste pragmatique, je ai pas envie de perdre des jours/mois/années à réparer les dégât d'un piratage de mes données, donc prendre 1min pour aller chercher un mot de passe ou utiliser une double/triple authentification, j'appelle ça un investissement

[gaetan.cambier]

une petite page pour tester l'entropie des password :

https://dl.dropboxusercontent.com/u/209/zxcvbn/test/index.html

 

[Fenrir]

il y a 1 minute, gaetan.cambier a dit :

une petite page pour tester l'entropie des password :

https://dl.dropboxusercontent.com/u/209/zxcvbn/test/index.html

 

tu casses tout mon argumentaire avec ce lien =>

• tester son mot de passe sur un site = donner son mot de passe à ce site
• qui plus est sur dropbox

[gaetan.cambier]

il y a 3 minutes, Fenrir a dit :

tu casses tout mon argumentaire avec ce lien =>

• tester son mot de passe sur un site = donner son mot de passe à ce site
• qui plus est sur dropbox

je fait toujours court dans les explications

bah, j'ai pas dis de tester le password definitif, mais ca donne une iddée de la securité

pour le site, tout est opensource ;) j'avoue le lien vers dropbox c'est pas top, mais bon, download des sources et c'est mieux :p