Connexion sécurisée WebDAV SFTP FTPS VPN

[Johnson]

Bonjour,

Lors des déplacements j'utilise parfois une clé USB sur laquelle il y a une application portable du genre de WinSCP pour accéder à mes données sans avoir à installer quoi que ce soit sur le PC.

Sur mon PC portable, lorsque je ne suis pas sur le même réseau que le NAS, je me connecte avec le VPN, comme le TUTO "sécuriser les accès à son NAS" de Fenrir le suggère.

Des 4 premières solutions énoncées ci-dessous, laquelle est la plus adapté du point de vue sécurité de manière globale pour une utilisation régulière pour le transfert de documents, images et de vidéos de quelques Go ?

Sur la base de ce que j'ai pu lire (corriger moi si je me trompe) :

• WebDAV : on est dépendant d'un domaine, d'un certificat SSL et donc d'un tiers, ce qui signifie frais et la sécurité dépendra du certificat.

• SFTP : on est obligé de se connecter via un compte admin et le risque d'usurpation d'identité est plus importante que la première solution.
• FTPS :  c'est du point de vue sécurité identique à la première solution. Je ne sais par contre pas si hormis la connexion le transfert de donné est aussi chiffré.
• VPN : c'est certainement la meilleure solution du point de vue de la sécurité mais il faut obligatoirement y installer le client et donc disposer d'un compte administrateur sur le PC. Je ne suis pas très fan de cette solution puisqu'il faut y installer le logiciel OpenVPN avec un compte admin.

Jusqu'à aujourd'hui je n'ai jamais entendu parler de double authentification pour l'un ou l'autre de ces protocoles et je souhaiterais aussi savoir s'il y a moyen de faire en sorte que depuis une clé USB il soit possible de se connecter à son NAS avec une authentification plus sûr qu'un simple mot de passe. J'ai eu l'occasion de tester des keyloggers avec enregistrement de mots de passes, de print screen, de copie de donnés en arrière-plan et je souhaite me prémunir de ce genre de programmes pour autant qu'une solution existe. Est-ce qu'un keylogger peut enregistrer les mots de passes tapés lors de l'ouverture d'un KeePass ?

Merci d'avance pour vos conseils 

Modifié le 16 septembre 2018 par Johnson

[pluton212+]

Bonjour,

la meilleure solution est le VPN.

Si vous êtes trop parano, la meilleure solution est de ne pas

connecter votre pc et votre nas au réseau.

Avez-vous suivi le tuto de @Fenrir pour sécuriser un nas ?

 

[Johnson]

Salut pluton,

Merci pour ta réponse. Oui, j'ai lu l'intégralité du tuto de Fenrir et ces 18 pages d'échanges. 

Le problème c'est que le VPN n'est pas portable. 

Entre le WebDAV, SFTP, FTPS, File station quel protocole/application recommanderais-tu pour une utilisation quotidienne en toute sécurité ?

[unPixel]

Bonsoir,

Dans l'ordre, je dirai :

1. VPN
2. SFTP
3. FTPS
4. WebDAV (qu'on peut mettre en 3)
5. File Station (SSL obligatoire)

Après, elles sont toutes sécurisées avec leurs avantages et leurs défauts mais il n'y a pas de sécurité à 100% pour aucune d'entre elles. Comme dit Pluton, si tu es trop parano alors débranche tes appareils d'internet...

Modifié le 18 septembre 2018 par InfoYANN

[Johnson]

Bonsoir, merci pour l'info

Par curiosité ; pourquoi mettre le SFTP et première position vis-à-vis du FTPS ? Est-ce que c'est à cause qu'on est dépendant d'un certificat qui peut être auto-signé ou non ? S'il provient d'une autorité de certification est-ce que ça changerait sa position dans le classement ?

[unPixel]

Parce que le SFTP passe par un tunnel SSH.

Parce que FTPS ne chiffre pas dès la connexion mais au commencement d'un transfert de fichier

Parce que SFTP c'est SSH et non un simili httpS ce qui n'implique donc pas un certificat.

Parce qu'on peut utiliser une clé privée et clé publique pour se connecter.

 

Et non, je ne changerai pas mon avis sur le positionnement de ces deux derniers même si il y avait un certificat valide.

Mais attention, je ne te dis pas que FTPS c'est nul, je te donne juste l'ordre que tu as demandé.

[Johnson]

Merci pour ta réponse,

Je suis pas sûr d'avoir bien compris : le "FTPS ne chiffre pas dès la connexion", mais dis moi qu'il chiffre quand même l'authentification ? Qu'est-ce qui n'est pas chiffré finalement ?

Pour le SFTP, à la première connexion il nous affiche l'empreinte et nous demande de la valider si c'est la bonne. Je parie que 99% des gens ne s'assurent pas qu'elle est correcte par ce qu'il faut accéder à un fichier qui se trouve sur le NAS... dans un répertoire je ne sais plus trop où....

 

[unPixel]

De ce que j'en sais, sur le FTPS, on sait d'office que c'est du transfert de fichiers contrairement au SFTP. Maintenant, à toi de choisir ce que tu souhaites car en réalité, que ce soit FTPS, SFTP, HTTPS etc... ça ne changera pas grand chose !