Stockage du mot de passe

A propos du Cloud en général, et de Nextcloud en particulier.
Répondre
free.rage
Messages : 1
Enregistré le : mer. 20 août 2014 16:51

Stockage du mot de passe

Message par free.rage »

Bonjour,

Suite à un message posté sur le tchat, continuons la discussion ici :

Code : Tout sélectionner

16:55 Free.rage : Bonjour, je viens de créer un compte chez Zaclys et j'ai eu la désagréable surprise de voir qu'ils m'étaient envoyés en clair par mail. Savez-vous comment sont gérés les mots de passe ? Stockés en clair dans une BDD ?
17:16 Tito : bonjour, le passwd maitre oui, celui cloud zmail et forum NON, qu'elle est l'inquiétude ?
17:17 Tito : je suis obligé de couper pour prendre le train. utiliser le forum ou le formulaire de contact pour poursuivre cette conversation. amicalement
L'inquiétude est bien évidemment de se retrouver avec des données vulnérables, ce qui n'est pas acceptable pour moi. Je compte sauvegarder des données sensibles du type documents administratifs, contrats, plans, créations personnelles, etc.
Ce type de stockage de mot de passe n'est plus vraiment d'actualité, est-il prévu une modification ?
J'ai l'impression qu'à partir du moment où on a accès à Mon profi on peut changer le mot de passe d'accès au cloud à la volée, sans notification email, ni url de confirmation envoyée par email, pouvez-vous me le confirmer ?

J'avais l'intention de basculer tous les comptes nuagiques vers la mère zaclys qui correspond à ce que j'ai besoin depuis la fermeture totale d'Ubuntu One. Mais cela risque de bloquer ma démarche.

Amicalement,
free.rage.
Avatar du membre
root
L'équipe Zaclys
Messages : 646
Enregistré le : mar. 25 mars 2014 16:25
Contact :

Re: Stockage du mot de passe

Message par root »

bonjour

oui il est prévu d'améliorer ce point, on en a déja discuté avec des utilisateurs et on a prévu des tas de choses , ça doit être sur le forum je ne sais plus (si un gars de la team sait et peut nous poster le lien svp ? )

en attendant effectivement on va ajouter une alerte mail pour prévenir le compte utilisateur que son mot de passe vient d'être changé, c'est une bonne idée

pour le reste ce n'est pas aussi grave que ça en fait :

- on a ajouté du ssl sur tout le site en début d'année pour crypter les échanges sur le réseau et éviter le transit de passwd en clair, ça c'était une priorité et une vrai vulnérabilité

- le mot de pass est stocké en base de données sur le site pour pouvoir être renvoyé à la demande à l'utilisateur qui l'a oublié, pour que ce soit le + pratique et facile pour les utilisateurs , le site a d'abord été pensé autour du service album : simple et facile à utiliser par tout le monde , même ma mère doit être capable de l'utiliser (challenge ! )

- comme je dis toujours la plus grosse vulnérabilité elle est chez vous sur votre boite email , si vous vous faites prendre votre mot de passe de boite mail par attaque directe sur votre boite mail parce que le mot de passe est trop simple, par une attaque généralisée sur un gros service mail qui se fait dérober tous ses passwd comme c'est arrivé récemment avec les failles openssl , par un virus/troyen sur votre pc installé via une page web qui exploite un défaut de votre plugin flash ou via toute faille connue de votre OS , ou via un bête mail avec un virus dedans qui échappe même aux derniers antivirus comme j'ai déja vu le cas , virus qui capte vos passwd et vos frappes claviers ... à ce moment là tous vos comptes utilisateurs sur internet deviennent vulnérables, car le pirate peut facilement trouver dans vos mails la trace de vos comptes, dans l'historique de votre navigateur vos sites les + visités, et connaissant votre email demander sur ces sites internet à changer de mot de passe, le confirmer via les mails qu'il reçoit dans votre boite mail dont il a l'accès, et effacer les traces de cette manip dans votre boite mail ... avoir des mots de passes cryptés sur le site internet n'y changera rien.

- si notre site internet se faisait pirater effectivement les mots de passe seront récupérés facilement, mais malheureusement dans ce cas c'est la totalité des contenus qui sont directement en péril sans besoin de mot de passe ... pour ça nous prémunir nous avons mis en place un tas de défenses que je n'expliquerai pas ici évidemment, mais à savoir aussi que le site principal de la mère zaclys est une pièce unique, entièrement écrit par nous : non pas qu'on est meilleur que les autres, mais ça veut dire que le code source du site n'est pas diffusé et qu'au contraire des sites trop utilisés (forum, cms et blogs les plus répandus) , les hackers ne passent pas leur temps à analyser le code pour trouver des failles, les diffuser, et des petits malins à faire tourner des robots pour utiliser ces failles au hasard sur les milliers de sites web utilisant ce même code source et donc ces mêmes failles.
C'est la raison pour laquelle le forum est isolé sur un serveur virtuel avec des compets utilisateurs et des mot de passes différenciés.

- voila, enfin pour la partie cloud vous êtes plusieurs à demander un passage des datas sous crypt, on peut effectivement activer ce plugin sous owncloud pour que les datas stockés sur le serveur soient cryptés, il ya une discussion la dessus sur notre forum, et on va le faire mais comme dit si on l'active c'est pour la totalité des comptes stockés sur le serveur owncloud concerné, et en cas de perte de votre passwd de crypt on n'a aucun moyen de vous aider à récupérer vos données ... donc je pense qu'on montera un service owncloud supplémentaire sur un serveur dédié, ceux qui voudront du crypt utiliseront ce serveur en connaissance de cause , et les autres resteront sur le serveur classique. on regardera ça d'ici la fin d'année en meme temps que le passage vers owncloud 7 qui n'est pas encore qualifié chez nous (trop de bugs sur les premières release) , que le passage vers un serveur plus gros pour owncloud et en meme temps encore que le branchement du service zmail sur owncloud : ceux qui le voudront pourront ouvrir une boite mail chez zaclys , y accéder en direct via thunderbird ou autre (on a actuellement 12 ou 14 testeurs qui s'en servent comme ça) , y accéder via un webmail (on monte un serveur cloisonné avec un webmail en ce moment), ou encore y accéder depuis leur owncloud via l'extension mail si ça fonctionne bien (à tester).

voila vous savez tout !

merci et bonne journée,
amicalement
alerion
Messages : 1
Enregistré le : jeu. 25 sept. 2014 14:27

Re: Stockage du mot de passe

Message par alerion »

Bonjour,

Je pense comme free.rage qu'il serait préférable de ne pas stocker les mots de passe en clair.

Votre réponse est très intéressante sur deux points :
(1) le niveau de sécurité que l'on peut attendre de zaclys utilisé en tant que cloud est un peu lié à son origine (le stockage/partage d'albums)
(2) la facilité d'usage (possibilité de renvoyer le mot de passe oublié)

Sur le premier point, il y a peut être une évolution dans la sensibilité des données stockées lorsque zaclys ouvre un service cloud, et les besoins de sécurité sont susceptibles d'évoluer alors. Les mesures qui étaient adéquates pour des albums d'images, ne le sont peut être plus tout à fait si les utilisateurs stockent tous types de fichiers.

Avec le deuxième point, Internet donne plein de solutions déjà prêtes, car c'est un des problèmes les plus courants qui soient (tous les sites offrant un login/password ont du le résoudre). Il me semble que la bonne pratique est de ne jamais stocker des mots de passe en clair, et de ne jamais offrir un service de rappel du mot de passe. Lorsque la personne oublie son mot de passe il faudrait plutôt en générer un aléatoirement et le lui faire parvenir sur l'adresse email fournie à cet effet. Sur ces questions il y a plein de ressources, voyez par exemple
http://blog.moertel.com/posts/2006-12-1 ... abase.html
http://throwingfire.com/storing-passwords-securely/

Enfin, un autre aspect que vous n'évoquez pas dans votre réponse à free.rage, et qu'il faut peut être prendre en compte, c'est que les utilisateurs ont souvent tendance à réutiliser des mots de passe entre services, même si on leur conseille de ne pas le faire. Dès lors un stockage de mot de passe en clair est plus grave que la compromission des données sur zaclys, et il est intéressant de mettre en place d'emblée un système qui n'est pas vulnérable de ce côté là.
Avatar du membre
root
L'équipe Zaclys
Messages : 646
Enregistré le : mar. 25 mars 2014 16:25
Contact :

Re: Stockage du mot de passe

Message par root »

(plusieurs personnes ont ouvert d'autres fils sur le meme sujet , on a rabattu sur celui ci avec des liens , et par mail : idem )

ce qui est dit ci dessus est juste, et on va progresser dans ce sens, c'est prévu on va laisser la possibilité d'avoir le password crypté en base (et donc modifier le systeme de "mot de passe perdu") , et même on veut aller plus loin puisqu'il est prévu de pouvoir déclarer une liste blanche (white list) des adresses ip autorisées à se connecter sur votre compte, ce sera une option à activer avec une zone de saisie des ip et un bouton "ajouter mon ip actuelle"

mais on a déjà amélioré plusieurs points en début d'année :
- on a ajouté un mail automatique d'avertissement sur l'action "modifier mon mot de passe" sur "mon profil" , si vous changez votre mot de passe principal ou celui de votre service cloud ou mail, un mail automatique vous le confirme (ou vous préviens si ce n'est pas vous ...)
- on a aussi ajouté un historique de connexions sur "mon profil" / "mes infos" (paramétrables dans "mon profil" / "réglage" )
- on a ajouté de nombreuses protections SQLI , XSS, brut force pass, etc

vous pouvez retrouver tout ça sur notre roadmap ici :
https://zaclys.com/?contenu_mode=voir&c ... 07&intl=fr

et pour compléter ce que je disais quelques billets plus haut (aout 2014):
- l'app crypt est bien présente sur les serveurs cloud dédiés
- l'app crypt arrive avec nextcloud 9 cet été 2016 (cf le bloc actu sur la page de présentation de l'offre cloud)
- le service mail est bien fonctionnel (650 bal zaclys.net à l'heure actuelle) , le webmail également, et le controle de votre service depuis le site principal sur "mon profil", avec la possibilité d'ajouter facilement plusieurs adresses sur votre boite mail.
Et cet été on travaille dans le cadre d'un partenariat avec l'IFPO (CNRS) pour compléter le service mail avec antivirus, antispam , gestion de filtres, ET un service "serveur mail dédié" qui serait le pendant du "serveur cloud dédié" actuel ... on vous en reparle dans la gazette cet été !

merci
Avatar du membre
root
L'équipe Zaclys
Messages : 646
Enregistré le : mar. 25 mars 2014 16:25
Contact :

Re: Stockage du mot de passe

Message par root »

petite nouveauté : l'option "double authentification par sms" , à tester et découvrir dans "mon profil" / onglet "réglages et préférences" / partie "sécurité" (une page wiki arrive pour expliquer tout ça)

merci pour vos retours
Avatar du membre
root
L'équipe Zaclys
Messages : 646
Enregistré le : mar. 25 mars 2014 16:25
Contact :

Re: Stockage du mot de passe

Message par root »

bonjour

la double authentification par SMS , quelques questions /réponses :


1/ c'est pour sécuriser quoi ?

c'est uniquement pour protéger la connexion à votre compte sur le site principal http://www.zaclys.com


2/ et si on perd son mobile ?

- il faudra dans ce cas faire une demande par le formulaire de contact pour demander la désactivation de l'option , zaclys enverra un sms de contrôle au mobile concerné + un mail au mail de contact par sécurité, sans réponse négative sous 1 délai qui reste à définir on désactivera l'option du compte
- ps : perdre le mobile sera moins grave que perdre l'accès à sa boite mail qui sert d'idenditifant au compte principal zaclys


3/ est ce que c'est pas un peu excessif comme niveau de sécurité ?

- c'est une option : elle n'est pas activée par défaut, elle n'est pas proposée à la création du compte et la majorité des utilisateurs ne la verra pas : libre à chacun de l'activer dans "mon profil" et la désactiver à tout moment d'un simple clic.

- cependant le compte principal zaclys controle tous vos services zaclys , si une personne dérobe votre mot de passe du compte princinpal il a potentiellement accès depuis "mon profil" aux identifiants de votre service zcloud, zmail, zclef etc ... il peut donc changer le mot de passe de tous ces services et en prendre le controle en 2 clics , idem pour le mot de passe du compte principal qu'il peut changer facilement ...

on a des utilisateurs et des adhérents qui ont des documents confidentiels , que ce soit des petites entreprises ou des particuliers qui ont mis tous leurs documents administratifs et personnels sur le cloud zaclys , que ce soit un photographe professionnel qui dépose des photos de ses clients , ou un syndicat qui utilise le service mail pour discuter en privé avec ses membres , il y a des tas de situations où l'accès au compte principal et donc au controle de tous ces services doit être plus sécurisé que dans un cadre d'utilisation classique

alors on a déja au cours des années mis en place des tas de protections comme on l'a déja expliqué sur le site (firewall, https niveau A+, isolation, protections sqli et brut force, des sondes, et plein d'autres choses custom)
MAIS si un "keylogger" ou autre virus tourne sur le pc sur lequel vous saisissez votre mot de passe chez vous ou ailleurs,
ou bien par "phishing" si un petit malin vous envoie un faux mail de rappel d'abonnement par exemple dans lequel un lien vous emmène vers une copie de la page de connexion de zaclys sur laquelle vous saisissez vos identifiants ....
vous donnez dans les 2 cas vos identifiants de votre compte principal à un pirate mais si vous avez activé la double authentification par sms , il ne peut rien faire de votre mot de passe sans avoir aussi dérobé votre mobile


4/ Est ce que c'est aussi pénible que le 3Dsecure sur les paiements par CB ?

non, on a simplifié au maximum et surtout on a inversé le système ce qui change tout : c'est vous qui envoyez un sms au site et sans saisir de code : vous envoyez juste un sms au numéro de zaclys et ça fonctionne, vous pouvez même envoyer votre sms avant de vous connecter : une fois reçu par notre serveur il reste valide pendant 1 heure

alors la bonne astuce c'est de garder le numéro de zaclys dans vos contacts sur le mobile pour envoyer rapidement vos sms (un peu comme le 555 pour les utilisateurs de free qui sert à suivre en temps réel votre consommation en envoyant un sms à tout moment)


5/ ça va couter un bras à l'association ?

environ 10 euros par mois quelque soit le nombre de sms reçu par notre serveur : comme dit c'est vous qui envoyez les sms et ça change tout :)


6/ et depuis l'étranger ?

on a testé depuis le Liban, ça fonctionne bien (merci Arnaud) , mais si vous changez de SIM il faut penser à désactiver avant l'option "double authentif sms" sur le site zaclys et le réactiver avec la nouvelle carte SIM


7/ et si j'ai plusieurs comptes utilisateurs et un seul mobile ?

ça fonctionne : on a conçu le système pour pouvoir associer le meme mobile à plusieurs comptes utilisateurs zaclys
Avatar du membre
did
Messages : 519
Enregistré le : jeu. 18 sept. 2014 20:35

Re: Stockage du mot de passe

Message par did »

Avatar du membre
Bill
L'équipe Zaclys
Messages : 1723
Enregistré le : jeu. 20 févr. 2014 16:20

Re: Stockage du mot de passe

Message par Bill »

Merci Did ! :-)
Kubuntu Linux OS

Membre de l'équipe Zaclys
https://www.zaclys.com
Répondre

Retourner vers « Discussions à propos des nuages »