À notre époque, l’Internet ne pardonne pas. Celui qui ne maîtrise pas ne saura pas composer avec la sécurité informatique. C’est une boîte noire pour les néophytes. Les organisations se font pirater ; alors qu’en principe tout est déjà opérationnel au niveau informatique. Dans le temps, s’auto-héberger en restant débutant peut s’avérer être une erreur terrible. Je dirais même plus : s’auto-héberger en étant débutant est une terrible erreur. L’informatique, on peut simplifier en toute chose, mais cela est horriblement complexe. Il ne faut pas se voiler la face sur l’accès aux choses : à mon avis, cela ne s’improvise pas. Même en faisant au mieux, j’ai bien peur que cela ne puisse suffire. On peut lire que c’est entre la chaise et le clavier que se situe souvent l’origine du problème et qu’une source de vulnérabilité dans un système sécurisé est souvent induite par les utilisateurs. YunoHost, à part ça, c’est chouette en terme d’utilisation (bien que restant limité).
Que faites-vous en cas d’intrusion dans votre système ? Quelles conséquences ?
C’est un abus de langage. Je voulais dire que des personnes en font un usage malveillant et il me semble qu’une pratique inconsidérée de l’auto-hébergement peut fournir un point d’accès à un réseau local. Et les choses peuvent malheureusement s’engranger de façon fatidique. D’autant plus que l’on est pas assez sensibilisé aux recours dans ce type de situation. Quoi qu’il en soit, cela ne me correspond pas. Je reste conventionnel en la matière.
Bonjour,
Ta remarque est intéressante, je suis surpris que personne n’ait réagi.
Je pense qu’il faut aussi voir la sécurité de yunohost même pour une personne compétente.
Ne sachant pas la méthode d’installation des apps (docker? Simple script d’install? VM?…), je me suis renseigné, et visiblement il s’agit d’un simple script d’install (voir https://yunohost.org/en/packaging_apps_intro ou un exemple, https://github.com/YunoHost-Apps/nextcloud_ynh/blob/master/scripts/install ).
Donc visiblement il n’y a pas d’isolation entre applications (ça date un peu mais https://forum.yunohost.org/t/advantages-of-classic-install-over-docker/4377 pourrait confirmer ). Après, faut déjà passer le SSO pour atteindre les applications, mais bon c’est dommage de pas avoir d’isolation entre applications, surtout que par exemple nextcloud existe aussi en version docker! Et en plus il n’y a pas de authentification double facteur possible sur le SSO :/
Je trouve aussi dommage qu’il ne soit pas simple de mettre un yunohost derrière un VPN (en tout cas pas aussi simple que d’installer yunohost). Un VPN (un openvpn de préférence aussi auto-hébergé :) ) serait intéressant vu que ça constituerait une deuxième ligne de défense (donc en plus du SSO).
Pour en revenir à la question des débutants et yunohost:
Un débutant ne va pas aller lire les logs pour vérifier que tout va bien, va exposer son instance sur internet (en particulier SSH, qui se fera constamment spam de mots de passe par des bots), va pas forcément faire les maj régulièrement, ne va pas suivre le guide de durcissement de yunohost, ne va pas forcément avoir des mots de passe robustes…
Yunohost est un beau projet, mais je pense comme toi que ce n’est pas adapté pour un débutant (en d’autres termes il faut quand même quelques connaissances et des bonnes pratiques pour l’administrer).
Sinon pour la question d’une intrusion, c’est démarrage depuis un live usb pour récupérer les logs et comprendre comment l’attaquant s’est introduit sur le système, et réinstallation.
@Nuliel: Des personnes ne conçoivent pas qu’il y ait trop de décalage. Malheureux d’avoir une conscience si limité des choses. Le progrès continue d’avancer avec les soucis. J’aurais été plus enjoué par le propos dans l’article du blogue s’il y avait eu plus de reconnaissance dans l’ensemble. On est face à un panorama changeant. Le projet YunoHost sensibilise les gens au contexte (prendre des précautions) mais il faut tout de même rester prudent et averti, ce qui peut rester inaccessible (comme on l’a tous les deux mentionné d’une certaine façon).
À notre époque, l’Internet ne pardonne pas. Celui qui ne maîtrise pas ne saura pas composer avec la sécurité informatique. C’est une boîte noire pour les néophytes. Les organisations se font pirater ; alors qu’en principe tout est déjà opérationnel au niveau informatique. Dans le temps, s’auto-héberger en restant débutant peut s’avérer être une erreur terrible. Je dirais même plus : s’auto-héberger en étant débutant est une terrible erreur. L’informatique, on peut simplifier en toute chose, mais cela est horriblement complexe. Il ne faut pas se voiler la face sur l’accès aux choses : à mon avis, cela ne s’improvise pas. Même en faisant au mieux, j’ai bien peur que cela ne puisse suffire. On peut lire que c’est entre la chaise et le clavier que se situe souvent l’origine du problème et qu’une source de vulnérabilité dans un système sécurisé est souvent induite par les utilisateurs. YunoHost, à part ça, c’est chouette en terme d’utilisation (bien que restant limité).
Que faites-vous en cas d’intrusion dans votre système ? Quelles conséquences ?
C’est un abus de langage. Je voulais dire que des personnes en font un usage malveillant et il me semble qu’une pratique inconsidérée de l’auto-hébergement peut fournir un point d’accès à un réseau local. Et les choses peuvent malheureusement s’engranger de façon fatidique. D’autant plus que l’on est pas assez sensibilisé aux recours dans ce type de situation. Quoi qu’il en soit, cela ne me correspond pas. Je reste conventionnel en la matière.
Bonjour, Ta remarque est intéressante, je suis surpris que personne n’ait réagi. Je pense qu’il faut aussi voir la sécurité de yunohost même pour une personne compétente. Ne sachant pas la méthode d’installation des apps (docker? Simple script d’install? VM?…), je me suis renseigné, et visiblement il s’agit d’un simple script d’install (voir https://yunohost.org/en/packaging_apps_intro ou un exemple, https://github.com/YunoHost-Apps/nextcloud_ynh/blob/master/scripts/install ). Donc visiblement il n’y a pas d’isolation entre applications (ça date un peu mais https://forum.yunohost.org/t/advantages-of-classic-install-over-docker/4377 pourrait confirmer ). Après, faut déjà passer le SSO pour atteindre les applications, mais bon c’est dommage de pas avoir d’isolation entre applications, surtout que par exemple nextcloud existe aussi en version docker! Et en plus il n’y a pas de authentification double facteur possible sur le SSO :/ Je trouve aussi dommage qu’il ne soit pas simple de mettre un yunohost derrière un VPN (en tout cas pas aussi simple que d’installer yunohost). Un VPN (un openvpn de préférence aussi auto-hébergé :) ) serait intéressant vu que ça constituerait une deuxième ligne de défense (donc en plus du SSO).
Pour en revenir à la question des débutants et yunohost: Un débutant ne va pas aller lire les logs pour vérifier que tout va bien, va exposer son instance sur internet (en particulier SSH, qui se fera constamment spam de mots de passe par des bots), va pas forcément faire les maj régulièrement, ne va pas suivre le guide de durcissement de yunohost, ne va pas forcément avoir des mots de passe robustes… Yunohost est un beau projet, mais je pense comme toi que ce n’est pas adapté pour un débutant (en d’autres termes il faut quand même quelques connaissances et des bonnes pratiques pour l’administrer).
Sinon pour la question d’une intrusion, c’est démarrage depuis un live usb pour récupérer les logs et comprendre comment l’attaquant s’est introduit sur le système, et réinstallation.
@Nuliel: Des personnes ne conçoivent pas qu’il y ait trop de décalage. Malheureux d’avoir une conscience si limité des choses. Le progrès continue d’avancer avec les soucis. J’aurais été plus enjoué par le propos dans l’article du blogue s’il y avait eu plus de reconnaissance dans l’ensemble. On est face à un panorama changeant. Le projet YunoHost sensibilise les gens au contexte (prendre des précautions) mais il faut tout de même rester prudent et averti, ce qui peut rester inaccessible (comme on l’a tous les deux mentionné d’une certaine façon).