osCommerce France : Accueil Forum Portail osCommerce France Réponses aux questions Foire aux contributions

Bienvenue invité ( Connexion | Inscription )

 
Reply to this topicStart new topic
> Faut-il Utiliser ftp ou ftpS pour le transferer des fchiers ?, FTP (port 21) mot de passe en claire, donc CADEAU pour le pirate ?
ngmsky
posté 7 May 2015, 17:50
Message #1


Ceinture jaune+ OSC
Icône de groupe

Groupe : Membres
Messages : 90
Inscrit : 7-November 09
Lieu : PARIS
Membre no 26487



Bonjour,
je reconnais que le sujet ne concerne pas directement oscommerce mais, sachant que :
1/ chaque utilisateur de oscommerce utilise forcement un logiciel de transfert de fichier vers le serveur (sauf hebergement en local),
2/ et que la sécurité est bien au centre du ecommerce,

Je pense donc que cette question peut-être traitée ici. Sinon, libre aux moderateur de la deplacer au bon endroit, svp.


Bonjour,

Alors, j'aimerai avoir vos conseils et/ou savoir comment vous faites réellement pour transferer vos données mais de façon "SÉCURISÉE" (surtout pour l'id et mot de passe du compte ftp).

Pour faire simple, mon site (CMS oscommerce) est presque prêt pour être transferé mais je m'interroge sur la faille (?) connue des logiciels (ou plutôt du protocol) ftp.

Il s'avère que le mot de passe (ainsi que le reste des données) sont envoyées en clair.
Par conséquent, n'importe qui (enfin, les connaisseurs ou virus, etc) peuvent récupérer tranquillement les id/mot de passe et faire la fête : voler TOUTE les informations sensibles de la boutique :
- mot de passe base de données,
- clé-privée des modules de paiement de la banque, payapl, ..
- mot de passe de l'admin (back office),
- mots de passe et email, téléphone, ... des clients
- bref TOUTE La boutique est à sa disposition.


NB : même si les mot de passe sont cryptés dans le base de données, le faite d'avoir le code source du site, il (le pirate) saura l'algorithme et le salt éventuellement utilisé pour crypter les données et il pourra ensuite lancer des attaques par force brute sur des serveurs puissants, et avec un peut de temps, il retrouvera les mots de passe des clients. Idem pour celui de l'admin de oscommerce.


Or je compte utiliser l'un des offres d’hébergement mutualisé de ovh voir ici . Ils me conviennent, pour la majorité des critères, sauf que le transfert des données se fait en FTP, donc id + mot de passe en clair sur le réseau.


Pour ne pas envoyer son id et mot de passe en clair, il est conseillé d'utiliser un S-FTP (Secure FTP), qui lui, chiffre les données (au moins l'id et mot de passe en tout cas), donc impossible à un pirate de connaître le mot de passe, même s'il arrivait à récupérer les données "chiffrées".

J'ai testé MSS (My Secure Shell) en local (machine virtuelle) qui me parait très bien, car il transfert les données par ftp sous un tunnel SSH.
plus d'infos ici


Je pense que si réellement, ceci est un risque (ou faille ?) de sécurité alors, les éfforts de sécurisation du site (chmod, .htaccess/.htpasswd, ... voir FAQ oscommerce ici) ne représenteraient plus rien pour un pirate qui arriverait à récupérer l'id et mot de passe ftp d'une boutique en ligne ou tout autre site web d'ailleurs !.
Mais encore une fois, ceci n'est pas la faute de oscommerce, je le précise quand même.


Ma question est donc :

A/ Si vous utilisez un hébergement mutualisé n'ayant pas de SFTP, comment transférez-vous vos données (tout en assurant votre sécurité) ?
a1/ par FTP (en prenant le risque de se faire voler le mot de passe ftp) ?
a2/ par autres moyens de tranfert : le(s)quel(s) ?

Et si c'est a1/ par FTP, ne craignez-vous pas que vos données soient lu par les pirates ? sachant que vous avez passez du temps à sécuriser votre site ? (avec les conseils de la FAQ + autres recommandations, modules, ... )


B/ Si, par contre, vous n'utilisez pas d’Hébergement mutualisé pour cette raison (utilisation de FTP, sécurité sacrifiée), quel est votre alternatif ?

b1/ serveur virtuel, ou dédié

b2/ vous sous traitez à 100% la gestion d’hébergement, sécurité, ... de votre site auprès des prestataires de services web (agences webmastering, webhosting, infogerance, ...) et vous vous contentez de vous connecter à l'admin de votre site pour gerer vos mises à jour, produits, ventes, clients.

b3/ Vous utilisez plutôt un autre hebergeur qui propose du mutualisé avec avec un transfert de fichiers par Secure FTP (cad port 22) ? un lien svp.


b4/ autres solutions ... ?

Si vous optez pour le b1/ (cequi me semble mieux), j'imagine que pour des nons informaticiens qui souhaitaient utiliser un CMS-ecommerce (donc facilité, presque pas de codage) se retrouvent du coup, pour des raison de sécurité, de devoir apprendre un nouveau métier (enfin un pack de métiers ou notions ) :
- l'administration système (type linux debian, sûrement),
- Maintenance et sécurité du systeme (qui doit être assez vaste pour être contenu dans administration système)
- Et autres notions à maîtriser la sécurité d'un serveur web dédié, en production.
Il faut carrément une vraie formation de 1 à 2 ans, non ?


Personnellement, si réellement utiliser un des hébergement mutualisé m'obligerait à transférer mon mot de passe en clair, sincèrement, je préférerai NE JAMAIS uitliser d’hébergement mutualisé mais passer directement à un serveur (virtuel, pour commencer).

Mais le problème, enfin la contrainte c'est qu'il faut soit prendre encore le temps pour b1/ sans oublier qu'on risque de devenir un informaticien qui passe des nuits blanches devant l’écran (et encore !) plutôt qu'un commerçant tranquille avec l'aide d'un CMS tout fait (but initial).

Par contre, si b2/ est possible, ça serait la meilleur solution que je pourrai adopter immédiatement.
Merci de me donner un lien, dans cas.


C/ Quelle est la probabilité qu'un pirate puisse capturer les données de transfert FTP d'un utilisateur derrière une box ?

Enfaite, je me demande si cette faille est réellement facilement exploitable par un pirate.
c1/ Doit-il forcement être présent sur (prendre le conrole à distance d') une machine de mon réseau local (domicile, bureau) ?
c2/ Peut-il récupérer ses données s'il se trouve hors de mon réseau local mais sur une machine (routeur) entre ma box et le serveur ovh ?
c3/ ou simplement, quelle est la condition minimum, pour le pirate, pour qu'il puisse intercepter mes données ?

C'est pour savoir si le risque d'interception est très élevé ou négligeable, auquel cas, je pourrais peut-être envisager le mutualisé en FTP (cad prendre moins de risques) que de prendre un énorme risque de gérer soit même un serveur, pour la première fois et pour une boutique en ligne, cequi ne s'improvise pas je crois.


Remarque :
Je parle de ovh parce que j'ai des noms de domaines chez eux. Mais pas pour autres raisons.
Si vous connaissez d'autres hébergeurs sérieux qui peuvent palier à ce probleme de sécurité (en mutualisé), merci de partager.

Bon, je ne sais pas si été clair ou pas mais je peux apporter des précisions, si besoin.
Merci d'avance pour votre réponses, surtout par-rapport à votre expérience réelle et actuelle et si possible, vos recommandations.

Ce message a été modifié par ngmsky - 10 May 2015, 13:07.


--------------------
Oscom V 2.3.4 Ubuntu 14.04 LTS
10000000 merciS à l'équipe anglophone et francophone pour ce beau travail !

- Ta parole et ta pensée peuvent changer le monde. Alors agit pour construire.
- Tu es un être unique car Dieu ne fait pas de photocopie.
- Tu as le Pouvoir de Choisir ... la Vérité et de Refusez la mort.
- Evite le gaspillage (alimentaire, matériel, vestimentaire, ...) et Re-deviens un humain responnsable.
- Savoir qui es ton créateur c'est le debut de la science, te Soumetre à sa volonté c'est Réuissir ta vie : c'est le but de la vie sur tèrre !
- Les mains inactives appellent la pauvreté.
- Science sans conscience n'est que ruine de l'âme. Donc ne te limite pas à être intélligeant, cherche surtout La Sagèsse.
- L'Amour "véritable" et "inconditionnel" est l'unique solution aux multiples problemes du monde (violence, injustice, manipulation, pauvreté, ...).
Go to the top of the page
 

Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



RSS Version bas débit Nous sommes le : 24th November 2017 - 06:48
Ce site est déclaré auprès de la commision Nationale
de l'Informatique et des Libertés (déclaration n°: 1043896)