Sécurité Nextcloud

Comment Cloudeezy protège les instances Nextcloud de ses clients

Le réseau Internet est confronté à de nombreuses cyberattaques. Limiter la surface d'attaque d'un applicatif est primordial et des systèmes de sécurité complémentaires tels que le VPN, l'authentification multifacteur ou la protection de la force brute, réduisent d'avantage le risque.

Les systèmes de protection décrits ici vont, pour la plupart, analyser le trafic et bloquer les requêtes après que la connexion est établie. Citons la protection par force brute qui repose généralement sur le blocage des demandes à haute vitesse au-dessus d'un certain seuil, par exemple 100 tentatives d'authentification par minute pour une seule adresse IP. Le problème avec cette approche est que les acteurs de la menace peuvent créer des scripts pour identifier ce seuil, puis adapter leur botnet pour qu'il fonctionne en dessous de ce seuil.

Un système de protection adaptative complémentaire pour Nextcloud

Le VPN ou l'authentification multifacteur décris plus bas dans cet article offrent un excellent niveau de sécurité, mais le problème est que contrairement à la vérification des mots de passe courants et/ou dérobés ou la protection par force brute, qui sont activables par simple case à cocher sur l'interface d'administration, soit le client ne possède pas un VPN ou ne souhaite pas implémenter un tel service, soit les administrateurs des instances n'activent pas le multifacteur pour diverses raisons comme l'impossibilité d'imposer ce type de connexion à tous les utilisateurs, pour des raisons de coûts à l'échelle en ce qui concerne le jeton matériel, etc.

Une protection adaptative efficace prend aussi en compte d'autres signaux de risque, tels que les données de réputation IP. Elle vient donc compléter les autres mesures et se situe en amont, c'est à dire lorsque une machine initie la connexion avec les serveurs Cloudeezy. Elle protège donc l'ensemble des systèmes et des comptes Nextcloud.

Comment ça marche ?

  1. Vous souhaitez vous connecter à l'adresse "example.moninstance.net"
  2. Votre IP de connexion est vérifiée en quelques millisecondes auprès de bases de données de listes noires, telles que Spamhaus
  3. Un score est attribué à votre IP, de 0 (IP neutre) à 100 (IP enregistrée sur plusieurs bases de données de type "abuse")

Si le score est en dessous d'un certain seuil, la connexion est établie, sinon, elle est refusée.

La protection adaptative se situe en amont de toutes les autres couches de sécurité applicative et offre un niveau de sécurité supplémentaire et complémentaire à ceux décrits ci-dessous à vos instances et à vos données.

Et si le système laisse passer la connexion alors que c'est un utilisateur malveillant ? Oui, cela peut arriver car avant qu'un utilisateur ne soit détecté comme potentiellement malveillant, il faut que d'autres actions malveillantes aient été enregistrées ailleurs sur le réseau Internet pour cette même adresse IP. Dans ce cas, ce sont les autres mesures de sécurité qui entrent en action (sécurité en cascade). Si toutefois l'accès est bloqué avec cette protection, aucune autre action ne sera permise à cet utilisateur pendant une certaine durée.


💡 Bon à savoir; si vous avez une ou plusieurs IPs fixes et souhaitez les faire passer en liste blanche, contactez le support Cloudeezy. Vos IPs ne seront alors jamais soumises à ce traitement et seront toujours autorisées. Aucun risque de vous retrouver bloqué. Dans tous les cas, le support technique pourra toujours débloquer une adresse IP bloquée par erreur et vous fournir l'explication de son blocage pour que vous preniez les mesures nécessaires. Bien entendu, les demandes sont à formuler par un administrateur de votre plateforme.

La protection de Nextcloud par réseau de type RPV (VPN)

Nous offrons la possibilité à chacun de nos clients de n'autoriser la connexion à son instance qu'à partir de son RPV/VPN privé. Ceci garanti au client que seuls les utilisateurs enregistrés auprès de son service VPN et qui partagent donc une seule adresse IP ou nom d'hôte peuvent avoir accès aux données Nextcloud chez Cloudeezy. Toutefois, l'une des limites du VPN est que la possibilité de partager des données vers l'extérieur - avec un client, un fournisseur, un partenaire... - n'est plus possible car l'accès lui sera refusé parce qu'il n'est pas connecté au VPN. La seule possibilité de partage est alors l'envoi des données par un autre canal de distribution.

Le VPN est donc une option valable uniquement si vous souhaitez collaborer sur vos données exclusivement au sein de votre organisation. Si c'est le cas, c'est l'une des meilleurs protections possibles.

Nextcloud vérifie les mots de passe par rapport à la base de données de HaveIBeenPwned

Les utilisateurs ont tendance à utiliser les mêmes mots de passe pour plusieurs services, ce qui pose un risque important en cas de vol de mots de passe sur l'un de ces services. Imaginez que votre mot de passe chez "Tartanpion" est le même que chez Cloudeezy, et que le service "Tartanpion" se fait dérober sa base de données client.

Vous l'aurez compris, l'attaquant n'a plus qu'à se connecter paisiblement sur votre compte...et accéder à toutes vos données ! Pensez donc également à utiliser un gestionnaire de mots de passe qui va les générer aléatoirement et les mémoriser pour vous pour tous vos services...et à bien activer l'authentification multifacteur Nextcloud !

Pour palier en partie à ce problème, un chercheur en sécurité, Troy Hunt, a conçu le service HaveIBeenPwned, une basse de données de plus de 100 milliards (!!) de comptes piratés ou dont les données ont fuité. Les organisations peuvent utiliser cette liste pour vérifier les mots de passe, en s'assurant que leurs utilisateurs ne choisissent pas un mot de passe connu et donc susceptible d'être essayé par des pirates lorsqu'ils tentent de s'introduire dans un système.

Cette amélioration contribue à rendre les mots de passe Nextcloud plus sûrs, en évitant l'utilisation de mots de passe violés connus et en ajoutant à la protection contre la force brute, l'authentification à deux facteurs et les contrôles de qualité des mots de passe existants pour assurer une protection renforcée du compte.

La protection contre les attaques de force brute sur Nextcloud

Une attaque par force brute est une tentative de découvrir un mot de passe en essayant systématiquement toutes les combinaisons possibles de lettres, de chiffres et de symboles jusqu'à ce que la combinaison correcte fonctionne. Nextcloud offre une protection intégrée contre la force brute, qui consiste à n'autoriser qu'un certaine nombre de tentatives de connexion au service pendant un temps (par exemple, 5 tentatives en 1 minute). Nous avons néanmoins portée celle-ci un niveau au-dessus et l'appliquons à l'ensemble de nos clients.

Cela signifie que, toute tentative de force brute détectée sur un seul compte à partir d'une ou plusieurs adresses IPs entraîne le blocage de ces adresses à l'ensemble de nos systèmes pour une durée définie.

Authentification multifacteur sur Nextcloud

Ceci est l'un des moyens les plus efficaces pour protéger vos données et le dernier rempart contre tout accès non autorisé au compte d'un utilisateur.

La double authentification signifie essentiellement qu'au lieu de se connecter avec une seule méthode de vérification d'identité, comme la connaissance d'un mot de passe, Nextcloud demandera un deuxième facteur de vérification. Par exemple, un code que l'utilisateur reçoit dans un SMS ou un jeton matériel comme une clé USB. Cela prouve que non seulement l'utilisateur connaît le mot de passe, mais qu'il dispose également de ce matériel. Un attaquant aurait bien sûr beaucoup plus de mal à mettre la main sur les deux.

Nextcloud comporte un certain nombre de facteurs secondaires qui permettent aux administrateurs et aux utilisateurs d'en activer et d'utiliser n'importe quel nombre d'entre eux. Actuellement, les éléments suivants sont pris en charge :

  • Mot de passe à usage unique basé sur l'heure (TOTP, y compris Google Authenticator ou des applications similaires)
  • Jetons matériels universels (U2F, FIDO2, comme Yubikey ou Nitrokey)
  • Passerelles: SMS, applications de messagerie sécurisée de type Telegram, Signal, etc.
  • Un code unique reçu par courriel à chaque connexion
  • Notification sur appareil déjà connecté (pour approuver la connexion sur un appareil existant, comme le téléphone)
  • Code de sauvegarde de l'utilisateur (l'utilisateur doit les générer à l'avance et les stocker dans un endroit sûr)
  • Code de sauvegarde de l'administrateur (la création de ceux-ci peut être déléguée aux administrateurs du groupe)

Toutes ces mesures de sécurité complémentaires sont donc disponibles sur toutes les instances Nextcloud gérées par Cloudeezy, à la fois pour les clients gratuits, les plans "Family" et les instances professionnelles Nextcloud.

Ces systèmes de sécurité sont donc un atout supplémentaire et complémentaire aux bonnes pratiques de sécurité, comme les mises à jour de Nextcloud et de ses applications, les montées en version contrôlées des systèmes de bases de données, des systèmes de gestion de cache ou encore des interpréteurs de scripts PHP, entre autres.

La sécurité n'est jamais ni absolue, ni garantie, et tous les jours nous œuvrons à l'améliorer et à l'adapter à la fois aux menaces et aux nouvelles technologies éprouvées. Plus ces technologies sont cumulées (VPN ou Protection adaptative + HaveIBeenPwned + Force Brute + Multifacteur) et plus vos données sont en sécurité.

D'autres articles similaires