[RESOLU] Sécurité

Question about WAPT Server / Requêtes et aides autour du serveur Wapt
Règles du forum
Règles du forum communautaire
* English support on www.reddit.com/r/wapt
* Le support communautaire en français se fait sur ce forum
* Merci de préfixer le titre du topic par [RESOLU] s'il est résolu.
* Merci de ne pas modifier un topic qui est taggé [RESOLU]. Ouvrez un nouveau topic en référençant l'ancien
* Préciser version de WAPT installée, version complète ET numéro de build (2.2.1.11957 / 2.2.2.12337 / etc.) AINSI QUE l'édition Enterprise / Discovery
* Les versions 1.8.2 et antérieures ne sont plus maintenues. Les seules questions acceptées vis à vis de la version 1.8.2 sont liés à la mise à jour vers une version supportée (2.1, 2.2, etc.)
* Préciser OS du serveur (Linux / Windows) et version (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019)
* Préciser OS de la machine d'administration/création des paquets et de la machine avec l'agent qui pose problème le cas échéant (Windows 7 / 10 / 11 / Debian 11 / etc.)
* Eviter de poser plusieurs questions lors de l'ouverture de topic, sinon il risque d'être ignorer. Si plusieurs sujet, ouvrir plusieurs topic, et de préférence les uns après les autres et pas tous en même temps (ie ne pas spammer le forum).
* Inclure directement les morceaux de code, les captures d'écran et autres images directement dans le post. Les liens vers les pastebin, les bitly et autres sites tierces seront systématiquement supprimés.
* Comme tout forum communautaire, le support est fait bénévolement par les membres. Si vous avez besoin d'un support commercial, vous pouvez contacter le service commercial Tranquil IT au 02.40.97.57.55
Futé
Messages : 45
Inscription : 02 juil. 2018 - 11:11
Localisation : Laon

21 sept. 2018 - 14:56

Bonjour,

J'ai un serveur WAPT qui est en cours d'installation sur des postes clients. Je voudrais savoir :
- Si une personne créait un 2ème serveur WAPT, est-ce qu'il peut intercepter les paquets (données du serveur, etc...) ?
- Y a t-il un moyen pour sécuriser un paquet WAPT (dans le code python) ?

Je vous remercie d'avance pour vos réponses, continuez comme sa.

Cordialement
Avatar de l’utilisateur
dcardon
Expert WAPT
Messages : 1373
Inscription : 18 juin 2014 - 09:58
Localisation : Saint Sébastien sur Loire
Contact :

21 sept. 2018 - 18:33

Bonjour Futé,
Futé a écrit : 21 sept. 2018 - 14:56 J'ai un serveur WAPT qui est en cours d'installation sur des postes clients. Je voudrais savoir :
- Si une personne créait un 2ème serveur WAPT, est-ce qu'il peut intercepter les paquets (données du serveur, etc...) ?
Les flux sont en https par défaut. Si vous avez configuré un certificat SSL valable, le transport est aussi sécure que votre connexion https à n'importe quel site https (et on peut le pinner). Si vous avez un certificat https auto-signé, vous pouvez avoir un mitm, comme avec n'importe quelle connexion https... Si vous avez un certificat bidon (non pinné), les communications peuvent donc être visualisé.

Par contre, même avec un certificat autosigné, il ne sera pas possible pour un attaquant d'installer un paquet vérolé car les paquets sont eux-mêmes signés. Enfin, il y a une bonne doc à lire (cf. ci-dessous), si vous avez une question vraiment précise, merci de la lire et de dire où il faudrait être plus clair.

Futé a écrit : 21 sept. 2018 - 14:56 - Y a t-il un moyen pour sécuriser un paquet WAPT (dans le code python) ?
Il y a une description étendue des principes de sécurité de WAPT dans la documentation:
https://www.wapt.fr/fr/doc/PrincipesSec ... ciple.html

Pour information la version 1.5.0.13 a obtenu la certification CSPN de l'ANSSI [1]. Même si ça ne peut pas garantir qu'il n'y a pas de bug de sécurité, ça veut quand même dire qu'il y a des gens qui se sont penché dessus et éplucher la chose.

Cordialement,

Denis

[1] https://www.ssi.gouv.fr/entreprise/cert ... -1-5-0-13/
Denis Cardon - Tranquil IT
Communiquez autour de vous sur WAPT! Envoyez nous vos url de blog et d'articles dans la catégorie votre avis du forum, nous les mettrons en avant sur le site WAPT
Futé
Messages : 45
Inscription : 02 juil. 2018 - 11:11
Localisation : Laon

24 sept. 2018 - 13:27

Ouah ! Merci infiniment de m'avoir répondu :) C'est très complet.

Cordialement
Avatar de l’utilisateur
sfonteneau
Expert WAPT
Messages : 1783
Inscription : 10 juil. 2014 - 23:52
Contact :

24 sept. 2018 - 17:45

Pour être précis le contenu d'un paquet wapt n'est pas un bien sensible.

Tout le monde peut lire le contenu d'un paquet wapt.

Si vous souhaitez protéger le contenu d'un paquet wapt vous pouvez protéger celui-ci en chiffrant la donnée sensible avec le certificat publique de chaque poste.

Exemple:
https://wapt.lesfourmisduweb.org/detail ... 4_all.wapt
Verrouillé