Ouvaton
/
EvolutionPlateforme
13
0
Fork 0
Code Issues 6 Pull Requests Projects Releases Wiki Activity

Labels Milestones

New Issue

Renforcement des mots de passe #5

Closed
opened 4 years ago by fdelalleau · 11 comments
fdelalleau commented 4 years ago
Collaborator

Renforcement des mots de passe

  • Il semble qu'il existe encore un grand nombre de mots de passe faibles sur les compte Ouvadmin ou sur les boîtes mail.
  • Afin de résoudre ce problème, il nous faut procéder à une modification d'office de ces mots de passes.
  • La génération de mot de passe aléatoire, envoyé par mail aux possesseurs des comptes, semble être la meilleure solution.
  • Le directoire sera chargé de cet évolution.

Référence / provenance

  • Non renseigné
  • Forum : URL de la discussion :
  • Liste de discussions : nom de la liste / date
  • Autre (précisez) Groupe de travail 3
<!-- Conseil pour écrire votre proposition: Exprimez librement votre proposition d'amélioration. Merci de mettre un titre un explicite, et d’essayer de donner les infos suivantes : - je propose qu'une personne identifiée en tant que .../... - qui utilise la fonction/partie de la plateforme .../... - puisse obtenir/faire .../... - afin de .../... Par exemple: "je propose qu'une personne identifiée en tant qu'utilisateur d'Ouvadmin ayant une compte chez Ouvaton, qui utilise la fonction de la plateforme "installer en 1 clic", puisse obtenir une possibilité d'installer le logiciel de votes en ligne d'Ouvaton afin de permettre aux utulisateurs de proposer cet outil de vote en ligne sur leur plaque". Pour plus d’informations, rendez-vous sur le wiki à cette adresse: https://git.ouvaton.coop/Ouvaton/EvolutionPlateforme/wiki --> ## Renforcement des mots de passe * Il semble qu'il existe encore un grand nombre de mots de passe faibles sur les compte Ouvadmin ou sur les boîtes mail. * Afin de résoudre ce problème, il nous faut procéder à une modification d'office de ces mots de passes. * La génération de mot de passe aléatoire, envoyé par mail aux possesseurs des comptes, semble être la meilleure solution. * Le directoire sera chargé de cet évolution. ## Référence / provenance <!-- Si votre proposition provient d'une discussion (forum, liste de discussion), indiquez ci-dessous la référence (forum, liste, date, ...) en mettant un X majuscule entre les crochets comme ceci:[X]--> * [ ] Non renseigné * [ ] Forum : URL de la discussion : * [ ] Liste de discussions : nom de la liste / date * [X] Autre (précisez) Groupe de travail 3
fdelalleau added this to the Sécurisation milestone 4 years ago
fdelalleau added the
Patch
 label 4 years ago
mpatout was assigned by fdelalleau 4 years ago
pladame was assigned by fdelalleau 4 years ago
mpatout commented 4 years ago
Owner

Salut,

On peut programmer ça pour début novembre. Je vais préparer un petit blian de l'état des mots de passe actuellement.

Plutôt que d'envoyer les mots de passe par mail, je préfère un mail qui signale que le mot de passe est modifié, et qu'il faut le modifier à nouveau (avec lien vers la doc) pour accéder au FTP/mail concerné.

Salut, On peut programmer ça pour début novembre. Je vais préparer un petit blian de l'état des mots de passe actuellement. Plutôt que d'envoyer les mots de passe par mail, je préfère un mail qui signale que le mot de passe est modifié, et qu'il faut le modifier à nouveau (avec lien vers la doc) pour accéder au FTP/mail concerné.
fdelalleau commented 4 years ago
Poster
Collaborator

Ca veut dire que les mot de passe de Ouvadmin ne sont pas concernés? Parce que sinon je ne vois pas comment faire autrement que par mail.
L'idée pour moi était de leur donner un mot de passe "temporaire" de Ouvadmin, et de forcer le renouvellement pour l'ensemble des mots de passes, mais si Ouvadmin n'est pas concerné, ce que tu dis me va bien.

Ca veut dire que les mot de passe de Ouvadmin ne sont pas concernés? Parce que sinon je ne vois pas comment faire autrement que par mail. L'idée pour moi était de leur donner un mot de passe "temporaire" de Ouvadmin, et de forcer le renouvellement pour l'ensemble des mots de passes, mais si Ouvadmin n'est pas concerné, ce que tu dis me va bien.
mpatout commented 4 years ago
Owner

Ce sont essentiellement les mots de passe FTP et mails qui posent problèmes (1. beaucoup sont encore trop faibles, 2. ils ne sont pas chiffrés).

Mais forcer une mise à jour des mots de passe d'Ouvadmin aussi, c'est loin d'être inutile je pense. Et c'est l'occasion de passer à autre chose que MD5 pour les chiffrer...
Une connexion sans mot de passe est possible sur Ouvadmin (https://ouvadmin.ouvaton.coop/login/forgot).

Ce sont essentiellement les mots de passe FTP et mails qui posent problèmes (1. beaucoup sont encore trop faibles, 2. ils ne sont pas chiffrés). Mais forcer une mise à jour des mots de passe d'Ouvadmin aussi, c'est loin d'être inutile je pense. Et c'est l'occasion de passer à autre chose que MD5 pour les chiffrer... Une connexion sans mot de passe est possible sur Ouvadmin (https://ouvadmin.ouvaton.coop/login/forgot).
👍 1
mpatout commented 4 years ago
Owner

Pour les mots de passe FTP, nous avons encore 804 comptes avec un mot de passe de moins de 8 caractères, répartis entre 369 comptes Ouvadmin au total.

Pour les mots de passe d'adresses mail, nous avons encore 489 adresses avec un mot de passe de moins de 8 caractères, réparties entre 244 comptes Ouvadmin au total.

On peut envoyer un mail à ces comptes indiquant que les mots de passe faibles vont être modifiés le 01/11/2020, et qu'il sera nécessaire de les modifier à nouveau pour accéder à l'adresse mail ou au compte FTP.

Pour les mots de passe FTP, nous avons encore 804 comptes avec un mot de passe de moins de 8 caractères, répartis entre 369 comptes Ouvadmin au total. Pour les mots de passe d'adresses mail, nous avons encore 489 adresses avec un mot de passe de moins de 8 caractères, réparties entre 244 comptes Ouvadmin au total. On peut envoyer un mail à ces comptes indiquant que les mots de passe faibles vont être modifiés le 01/11/2020, et qu'il sera nécessaire de les modifier à nouveau pour accéder à l'adresse mail ou au compte FTP.
mpatout commented 3 years ago
Owner

Le remplacement des mots de passe trop faibles est terminé pour les courriels et les comptes FTP.
Réalisé le lundi 11/01/2021, l'opération n'a fait l'objet d'aucune demande d'assistance depuis, quasi transparente pour les utilistateurs donc. Nous risquons d'avoir quelques demandes d'assitance de personnes qui ne parviennent plus à se connecter sur un courriel ou un compte FTP à cause d'identifiants incorrects, il faudra juste indiquer comment mettre à jour le mot de passe concerné.

Pour les bases SQL, je fais petit à petit à la main, il faut pour chaque base identifier le ou les sites qui l'utilisent, et mettre à jour les fichiers de configuration des CMS pour accorder les mots de passe. C'est long et fastidieux, mais sans interrruption des sites.

Le remplacement des mots de passe trop faibles est terminé pour les courriels et les comptes FTP. Réalisé le lundi 11/01/2021, l'opération n'a fait l'objet d'aucune demande d'assistance depuis, quasi transparente pour les utilistateurs donc. Nous risquons d'avoir quelques demandes d'assitance de personnes qui ne parviennent plus à se connecter sur un courriel ou un compte FTP à cause d'identifiants incorrects, il faudra juste indiquer comment mettre à jour le mot de passe concerné. Pour les bases SQL, je fais petit à petit à la main, il faut pour chaque base identifier le ou les sites qui l'utilisent, et mettre à jour les fichiers de configuration des CMS pour accorder les mots de passe. C'est long et fastidieux, mais sans interrruption des sites.
antoine-c commented 3 years ago
Owner

Pour les bases SQL, je fais petit à petit à la main, il faut pour chaque base identifier le ou les sites qui l'utilisent, et mettre à jour les fichiers de configuration des CMS pour accorder les mots de passe. C'est long et fastidieux, mais sans interrruption des sites.

Y'en a combien à ton avis (juste pour savoir la charge de travail).

> Pour les bases SQL, je fais petit à petit à la main, il faut pour chaque base identifier le ou les sites qui l'utilisent, et mettre à jour les fichiers de configuration des CMS pour accorder les mots de passe. C'est long et fastidieux, mais sans interrruption des sites. Y'en a combien à ton avis (juste pour savoir la charge de travail).
mpatout commented 3 years ago
Owner

Il reste 261 bases à traiter.

Il reste 261 bases à traiter.
antoine-c commented 3 years ago
Owner

Outch ! Quand même ! Ça va te faire des heures. Désolé de ne pouvoir aider. Au moins, quand ce sera fait, on aura élevé d'un cran la sécu.

Outch ! Quand même ! Ça va te faire des heures. Désolé de ne pouvoir aider. Au moins, quand ce sera fait, on aura élevé d'un cran la sécu.
pcherpentier commented 3 years ago
Owner

Bonjour,

je ne sais pas si c'est un oubli, ou si c'est volontaire:

Dans Ouvadmin, à la création d'un espace web, on a toujours la notification de création avec le ftp et les XXXX pour le mot de passe ftp, mdp visible en clair si on se met sur les X.
(voir en PJ)

Bonjour, je ne sais pas si c'est un oubli, ou si c'est volontaire: Dans Ouvadmin, à la création d'un espace web, on a toujours la notification de création avec le ftp et les XXXX pour le mot de passe ftp, mdp visible en clair si on se met sur les X. (voir en PJ)
Screenshot_2021-01-22 OuvAdmin Espace web wp poheberg org créé avec succès.png
76 KiB
mpatout commented 3 years ago
Owner

Salut,

Le mot de passe ne devrait plus s'afficher sur cette page depuis plus d'un an...

6c29ea16ad

Merci du signalement, je viens de mettre le fichier à jour sur le serveur (le cache va se mettre à jour un peu plus tard).

Salut, Le mot de passe ne devrait plus s'afficher sur cette page depuis plus d'un an... https://git.ouvaton.coop/Ouvaton/ouvadmin/commit/6c29ea16ad5bed16e560e339a5a2c2586408cd23 Merci du signalement, je viens de mettre le fichier à jour sur le serveur (le cache va se mettre à jour un peu plus tard).
fdelalleau commented 3 years ago
Poster
Collaborator

Sujet traité, je clos.

Sujet traité, je clos.
fdelalleau closed this issue 3 years ago
pladame was unassigned by fdelalleau 3 years ago
fdelalleau locked as Resolved and limited conversation to collaborators 3 years ago
Sign in to join this conversation.
No Branch/Tag Specified
Branches Tags
develop
creation-repertoire-wiki-et-premieres-redactions-de-pages-du-wiki
master
Labels
Apply labels
Clear labels   
Bug

Demande de correction de bug sur la plateforme   
Communication

Opérations de communication   
Evolution

Evolution d'une fonction ou interface existante   
Organisation
   
Patch

Patch mineur de la plateforme   
Service

Ajout d'un service sur la plateforme
No Label
Bug
Communication
Evolution
Organisation
Patch
Service
Milestone
Set milestone
Clear milestone
No items
No Milestone
Sécurisation
Projects
Set Project
Clear projects
No project
Assignees
Assign users
Clear assignees
No Assignees
mpatout
4 Participants
Notifications
Due Date
The due date is invalid or out of range. Please use the format 'yyyy-mm-dd'.

No due date set.

Dependencies

No dependencies set.

Reference: Ouvaton/EvolutionPlateforme#5
Write Preview
Loading…
Cancel
Save
There is no content yet.
Delete Branch '%!s(<nil>)'

Deleting a branch is permanent. It CANNOT be undone. Continue?

No
Yes