Cloudeezy propose désormais le mTLS pour ses offres Professional et Enterprise
Cloudeezy permets aux clients qui le souhaitent de limiter les connexions à son instance par un VPN ou une adresse IP/CIDR, toutes offres confondues. Désormais, à partir de son offre PROFESSIONAL, le mTLS est également proposé. Voyons ses avantages par rapport à un VPN classique pour la sécurisation de son instance.
Le mTLS (Mutual Transport Layer Security) est un protocole de sécurité qui permet l'authentification mutuelle et le chiffrement des données lors de la communication entre deux systèmes (un client et un serveur dans ce cas spécifique). Il offre plusieurs avantages par rapport aux solutions traditionnelles telles que les VPN, en particulier en termes de sécurité et de simplicité.
Le principal avantage de mTLS est que l'authentification mutuelle est intégrée au protocole. Cela signifie que chaque système - un ordinateur, un téléphone, etc. - doit prouver son identité avant de pouvoir communiquer avec l'autre. Ceci permets aux clients Cloudeezy qui le souhaitent de disposer d'un certificat d'instance à installer sur les appareils des collaborateurs afin de sécuriser l'intégralité des échanges avec son instance Cloudeezy, authentification comprise. Si le certificat n'est pas présenté et valide, la connexion est tout simplement refusée.
Le fait que chaque collaborateur possède un certificat offre plusieurs avantages par rapport à un VPN d'entreprise :
- Il est possible d'installer le certificat à la fois sur un système (un ordinateur, un téléphone) mais également sur un navigateur par exemple, ou un script en ligne de commandes. De plus, il est bien plus simple de fournir un certificat à un client ou fournisseur que de le faire membre de son réseau VPN d'entreprise.
- Aucune mise en place coté client, mis à part la simple installation en local en quelques clics de son certificat, contrairement à un VPN traditionnel que le client doit gérer, administrer, sécuriser...
- Le collaborateur est libre d'installer son certificat partout d'où il souhaite se connecter, ce qui n'est pas toujours possible avec un VPN traditionnel très souvent limité.
Les différences entre le TLS et le mTLS et ses avantages pour la sécurité des données
Voici comment fonctionne le mTLS sur Cloudeezy. Par défaut sur toutes nos instances, TLS est bien entendu activé et forcé, ce qui représente une authentification dite à sens unique puisque seul l'authenticité du serveur est vérifiée - ceci est le mode de fonctionnement de la quasi-totalité de sites internet et API, comme la présente page par exemple :
- Un visiteur souhaite se connecter à l'instance à son adresse URL habituelle et publique
- Le serveur va alors présenter son certificat TLS à l'appareil du visiteur
- L'appareil du visiteur vérifie l'authenticité du certificat du serveur
- L'appareil du visiteur et le serveur de l'instance échangent des informations via une connexion TLS chiffrée.
Dans ce mode à sens unique, on vérifie donc que le serveur (son certificat) est authentique et valide, mais n'importe quel client peut s'y connecter.
Avec l'ajout du mTLS, le client et le serveur disposent tous deux d'un certificat, et les deux parties s'authentifient. Voici la différence (étapes 4, 5 et 6) :
- Un visiteur souhaite se connecter à son instance à son adresse URL habituelle et publique
- Le serveur va alors présenter son certificat TLS à l'appareil du visiteur
- L'appareil du visiteur vérifie l'authenticité du certificat du serveur
- L'appareil du visiteur présente à son tour son certificat TLS au serveur de l'instance
- Le serveur de l'instance vérifie le certificat du visiteur
- Le serveur de l'instance accorde l'accès au visiteur
- L'appareil du visiteur et le serveur de l'instance échangent des informations via une connexion TLS chiffrée
Vous l'aurez compris, tout l'intérêt du mTLS est de rendre l'instance injoignable sans cette couche de sécurité supplémentaire.
Cette méthode mTLS peut aider à mitiger plusieurs types d'attaques, notamment et entre autres :
-
Attaques "Man-in-the-middle (MITM)" : L'utilisation de certificats pour authentifier à la fois le serveur Cloudeezy et chaque client qui souhaite s'y connecter peut aider à prévenir les attaques MITM. Si un attaquant essaie d'intercepter la communication, il ne pourra pas accéder aux informations échangées car il ne possède pas le certificat nécessaire pour s'authentifier auprès du serveur Cloudeezy.
-
Attaques par injection de paquets : Les attaques par injection de paquets consistent à insérer des paquets dans la communication pour intercepter ou altérer les données, par exemple la modification de la session. Le mTLS peut aider à prévenir ces attaques en chiffrant les données échangées et en vérifiant l'identité des parties impliquées dans la communication.
-
Attaques de force brute : Les attaques de type "force brute" consistent à essayer de deviner le mot de passe de l'utilisateur avec des requêtes rapides et analyse des erreurs ("trial & error"). En forçant chaque client à présenter un certificat, ces attaques sont rendues impossibles. De même, le mot de passe de l'utilisateur n'est plus le seul paramètre qu'un attaquant doit connaître ou essayer de deviner (par des attaque de type "phishing" par exemple) car il lui faudra également posséder le certificat.
- Limitation de l'exposition des données : un partage publique, des données dans la nature et incontrôlées, parfois intolérables dans certaines organisations. Le mTLS limite cela, encore et toujours, parce que pour accéder aux données, un certificat doit être présenté.
N'hésitez pas à nous contacter si besoin pour plus de renseignements ou pour la mise en place de votre hébergement Nextcloud.