Contactez nous

[RESOLU] Sécurité

Question about WAPT Server / Requêtes et aides autour du serveur Wapt
Règles du forum

* Questions can be asked in English or in French. If the thread is started in English, stick to English, if it is started in French, stick to French.
* Vous pouvez poser vos questions en Français ou en Anglais. Si un sujet est commencé en français, merci de répondre en français. Si un sujet est commencé en anglais, merci de répondre en anglais.

Bonjour,

J'ai un serveur WAPT qui est en cours d'installation sur des postes clients. Je voudrais savoir :
- Si une personne créait un 2ème serveur WAPT, est-ce qu'il peut intercepter les paquets (données du serveur, etc...) ?
- Y a t-il un moyen pour sécuriser un paquet WAPT (dans le code python) ?

Je vous remercie d'avance pour vos réponses, continuez comme sa.

Cordialement
Bonjour Futé,
Futé a écrit :
21 septembre 2018, 14:56
J'ai un serveur WAPT qui est en cours d'installation sur des postes clients. Je voudrais savoir :
- Si une personne créait un 2ème serveur WAPT, est-ce qu'il peut intercepter les paquets (données du serveur, etc...) ?
Les flux sont en https par défaut. Si vous avez configuré un certificat SSL valable, le transport est aussi sécure que votre connexion https à n'importe quel site https (et on peut le pinner). Si vous avez un certificat https auto-signé, vous pouvez avoir un mitm, comme avec n'importe quelle connexion https... Si vous avez un certificat bidon (non pinné), les communications peuvent donc être visualisé.

Par contre, même avec un certificat autosigné, il ne sera pas possible pour un attaquant d'installer un paquet vérolé car les paquets sont eux-mêmes signés. Enfin, il y a une bonne doc à lire (cf. ci-dessous), si vous avez une question vraiment précise, merci de la lire et de dire où il faudrait être plus clair.

Futé a écrit :
21 septembre 2018, 14:56
- Y a t-il un moyen pour sécuriser un paquet WAPT (dans le code python) ?
Il y a une description étendue des principes de sécurité de WAPT dans la documentation:
https://www.wapt.fr/fr/doc/PrincipesSec ... ciple.html

Pour information la version 1.5.0.13 a obtenu la certification CSPN de l'ANSSI [1]. Même si ça ne peut pas garantir qu'il n'y a pas de bug de sécurité, ça veut quand même dire qu'il y a des gens qui se sont penché dessus et éplucher la chose.

Cordialement,

Denis

[1] https://www.ssi.gouv.fr/entreprise/cert ... -1-5-0-13/
Ouah ! Merci infiniment de m'avoir répondu :) C'est très complet.

Cordialement
Pour être précis le contenu d'un paquet wapt n'est pas un bien sensible.

Tout le monde peut lire le contenu d'un paquet wapt.

Si vous souhaitez protéger le contenu d'un paquet wapt vous pouvez protéger celui-ci en chiffrant la donnée sensible avec le certificat publique de chaque poste.

Exemple:
https://wapt.lesfourmisduweb.org/detail ... 4_all.wapt