Page 1 sur 1
[RESOLU] Sécurité
Publié : 21 sept. 2018 - 14:56
par Futé
Bonjour,
J'ai un serveur WAPT qui est en cours d'installation sur des postes clients. Je voudrais savoir :
- Si une personne créait un 2ème serveur WAPT, est-ce qu'il peut intercepter les paquets (données du serveur, etc...) ?
- Y a t-il un moyen pour sécuriser un paquet WAPT (dans le code python) ?
Je vous remercie d'avance pour vos réponses, continuez comme sa.
Cordialement
Re: Sécurité
Publié : 21 sept. 2018 - 18:33
par dcardon
Bonjour Futé,
Futé a écrit : ↑21 sept. 2018 - 14:56
J'ai un serveur WAPT qui est en cours d'installation sur des postes clients. Je voudrais savoir :
- Si une personne créait un 2ème serveur WAPT, est-ce qu'il peut intercepter les paquets (données du serveur, etc...) ?
Les flux sont en https par défaut. Si vous avez configuré un certificat SSL valable, le transport est aussi sécure que votre connexion https à n'importe quel site https (et on peut le pinner). Si vous avez un certificat https auto-signé, vous pouvez avoir un mitm, comme avec n'importe quelle connexion https... Si vous avez un certificat bidon (non pinné), les communications peuvent donc être visualisé.
Par contre, même avec un certificat autosigné, il ne sera pas possible pour un attaquant d'installer un paquet vérolé car les paquets sont eux-mêmes signés. Enfin, il y a une bonne doc à lire (cf. ci-dessous), si vous avez une question vraiment précise, merci de la lire et de dire où il faudrait être plus clair.
Futé a écrit : ↑21 sept. 2018 - 14:56
- Y a t-il un moyen pour sécuriser un paquet WAPT (dans le code python) ?
Il y a une description étendue des principes de sécurité de WAPT dans la documentation:
https://www.wapt.fr/fr/doc/PrincipesSec ... ciple.html
Pour information la version 1.5.0.13 a obtenu la certification CSPN de l'ANSSI [1]. Même si ça ne peut pas garantir qu'il n'y a pas de bug de sécurité, ça veut quand même dire qu'il y a des gens qui se sont penché dessus et éplucher la chose.
Cordialement,
Denis
[1]
https://www.ssi.gouv.fr/entreprise/cert ... -1-5-0-13/
Re: Sécurité
Publié : 24 sept. 2018 - 13:27
par Futé
Ouah ! Merci infiniment de m'avoir répondu
C'est très complet.
Cordialement
Re: [RESOLU] Sécurité
Publié : 24 sept. 2018 - 17:45
par sfonteneau
Pour être précis le contenu d'un paquet wapt n'est pas un bien sensible.
Tout le monde peut lire le contenu d'un paquet wapt.
Si vous souhaitez protéger le contenu d'un paquet wapt vous pouvez protéger celui-ci en chiffrant la donnée sensible avec le certificat publique de chaque poste.
Exemple:
https://wapt.lesfourmisduweb.org/detail ... 4_all.wapt