Ouvaton
/
EvolutionPlateforme
12
0
Fork 0
Code Issues 6 Pull Requests Projects Releases Wiki Activity

Renforcement des mots de passe #5

New Issue
Closed
opened 2020-10-05 11:41:42 +02:00 by fdelalleau · 11 comments
fdelalleau commented 2020-10-05 11:41:42 +02:00
Copy Link

Renforcement des mots de passe

  • Il semble qu'il existe encore un grand nombre de mots de passe faibles sur les compte Ouvadmin ou sur les boîtes mail.
  • Afin de résoudre ce problème, il nous faut procéder à une modification d'office de ces mots de passes.
  • La génération de mot de passe aléatoire, envoyé par mail aux possesseurs des comptes, semble être la meilleure solution.
  • Le directoire sera chargé de cet évolution.

Référence / provenance

  • Non renseigné
  • Forum : URL de la discussion :
  • Liste de discussions : nom de la liste / date
  • Autre (précisez) Groupe de travail 3
<!-- Conseil pour écrire votre proposition: Exprimez librement votre proposition d'amélioration. Merci de mettre un titre un explicite, et d’essayer de donner les infos suivantes : - je propose qu'une personne identifiée en tant que .../... - qui utilise la fonction/partie de la plateforme .../... - puisse obtenir/faire .../... - afin de .../... Par exemple: "je propose qu'une personne identifiée en tant qu'utilisateur d'Ouvadmin ayant une compte chez Ouvaton, qui utilise la fonction de la plateforme "installer en 1 clic", puisse obtenir une possibilité d'installer le logiciel de votes en ligne d'Ouvaton afin de permettre aux utulisateurs de proposer cet outil de vote en ligne sur leur plaque". Pour plus d’informations, rendez-vous sur le wiki à cette adresse: https://git.ouvaton.coop/Ouvaton/EvolutionPlateforme/wiki --> ## Renforcement des mots de passe * Il semble qu'il existe encore un grand nombre de mots de passe faibles sur les compte Ouvadmin ou sur les boîtes mail. * Afin de résoudre ce problème, il nous faut procéder à une modification d'office de ces mots de passes. * La génération de mot de passe aléatoire, envoyé par mail aux possesseurs des comptes, semble être la meilleure solution. * Le directoire sera chargé de cet évolution. ## Référence / provenance <!-- Si votre proposition provient d'une discussion (forum, liste de discussion), indiquez ci-dessous la référence (forum, liste, date, ...) en mettant un X majuscule entre les crochets comme ceci:[X]--> * [ ] Non renseigné * [ ] Forum : URL de la discussion : * [ ] Liste de discussions : nom de la liste / date * [X] Autre (précisez) Groupe de travail 3
fdelalleau added this to the Sécurisation milestone 2020-10-05 11:41:42 +02:00
fdelalleau added the
Patch
 label 2020-10-05 11:41:42 +02:00
mpatout was assigned by fdelalleau 2020-10-05 11:41:42 +02:00
pladame was assigned by fdelalleau 2020-10-05 11:41:42 +02:00
mpatout commented 2020-10-05 12:51:00 +02:00
Owner
Copy Link

Salut,

On peut programmer ça pour début novembre. Je vais préparer un petit blian de l'état des mots de passe actuellement.

Plutôt que d'envoyer les mots de passe par mail, je préfère un mail qui signale que le mot de passe est modifié, et qu'il faut le modifier à nouveau (avec lien vers la doc) pour accéder au FTP/mail concerné.

Salut, On peut programmer ça pour début novembre. Je vais préparer un petit blian de l'état des mots de passe actuellement. Plutôt que d'envoyer les mots de passe par mail, je préfère un mail qui signale que le mot de passe est modifié, et qu'il faut le modifier à nouveau (avec lien vers la doc) pour accéder au FTP/mail concerné.
fdelalleau commented 2020-10-05 15:33:33 +02:00
Author
Copy Link

Ca veut dire que les mot de passe de Ouvadmin ne sont pas concernés? Parce que sinon je ne vois pas comment faire autrement que par mail.
L'idée pour moi était de leur donner un mot de passe "temporaire" de Ouvadmin, et de forcer le renouvellement pour l'ensemble des mots de passes, mais si Ouvadmin n'est pas concerné, ce que tu dis me va bien.

Ca veut dire que les mot de passe de Ouvadmin ne sont pas concernés? Parce que sinon je ne vois pas comment faire autrement que par mail. L'idée pour moi était de leur donner un mot de passe "temporaire" de Ouvadmin, et de forcer le renouvellement pour l'ensemble des mots de passes, mais si Ouvadmin n'est pas concerné, ce que tu dis me va bien.
mpatout commented 2020-10-05 15:41:27 +02:00
Owner
Copy Link

Ce sont essentiellement les mots de passe FTP et mails qui posent problèmes (1. beaucoup sont encore trop faibles, 2. ils ne sont pas chiffrés).

Mais forcer une mise à jour des mots de passe d'Ouvadmin aussi, c'est loin d'être inutile je pense. Et c'est l'occasion de passer à autre chose que MD5 pour les chiffrer...
Une connexion sans mot de passe est possible sur Ouvadmin (https://ouvadmin.ouvaton.coop/login/forgot).

Ce sont essentiellement les mots de passe FTP et mails qui posent problèmes (1. beaucoup sont encore trop faibles, 2. ils ne sont pas chiffrés). Mais forcer une mise à jour des mots de passe d'Ouvadmin aussi, c'est loin d'être inutile je pense. Et c'est l'occasion de passer à autre chose que MD5 pour les chiffrer... Une connexion sans mot de passe est possible sur Ouvadmin (https://ouvadmin.ouvaton.coop/login/forgot).
👍 1
mpatout commented 2020-10-07 14:38:31 +02:00
Owner
Copy Link

Pour les mots de passe FTP, nous avons encore 804 comptes avec un mot de passe de moins de 8 caractères, répartis entre 369 comptes Ouvadmin au total.

Pour les mots de passe d'adresses mail, nous avons encore 489 adresses avec un mot de passe de moins de 8 caractères, réparties entre 244 comptes Ouvadmin au total.

On peut envoyer un mail à ces comptes indiquant que les mots de passe faibles vont être modifiés le 01/11/2020, et qu'il sera nécessaire de les modifier à nouveau pour accéder à l'adresse mail ou au compte FTP.

Pour les mots de passe FTP, nous avons encore 804 comptes avec un mot de passe de moins de 8 caractères, répartis entre 369 comptes Ouvadmin au total. Pour les mots de passe d'adresses mail, nous avons encore 489 adresses avec un mot de passe de moins de 8 caractères, réparties entre 244 comptes Ouvadmin au total. On peut envoyer un mail à ces comptes indiquant que les mots de passe faibles vont être modifiés le 01/11/2020, et qu'il sera nécessaire de les modifier à nouveau pour accéder à l'adresse mail ou au compte FTP.
mpatout commented 2021-01-16 16:28:20 +01:00
Owner
Copy Link

Le remplacement des mots de passe trop faibles est terminé pour les courriels et les comptes FTP.
Réalisé le lundi 11/01/2021, l'opération n'a fait l'objet d'aucune demande d'assistance depuis, quasi transparente pour les utilistateurs donc. Nous risquons d'avoir quelques demandes d'assitance de personnes qui ne parviennent plus à se connecter sur un courriel ou un compte FTP à cause d'identifiants incorrects, il faudra juste indiquer comment mettre à jour le mot de passe concerné.

Pour les bases SQL, je fais petit à petit à la main, il faut pour chaque base identifier le ou les sites qui l'utilisent, et mettre à jour les fichiers de configuration des CMS pour accorder les mots de passe. C'est long et fastidieux, mais sans interrruption des sites.

Le remplacement des mots de passe trop faibles est terminé pour les courriels et les comptes FTP. Réalisé le lundi 11/01/2021, l'opération n'a fait l'objet d'aucune demande d'assistance depuis, quasi transparente pour les utilistateurs donc. Nous risquons d'avoir quelques demandes d'assitance de personnes qui ne parviennent plus à se connecter sur un courriel ou un compte FTP à cause d'identifiants incorrects, il faudra juste indiquer comment mettre à jour le mot de passe concerné. Pour les bases SQL, je fais petit à petit à la main, il faut pour chaque base identifier le ou les sites qui l'utilisent, et mettre à jour les fichiers de configuration des CMS pour accorder les mots de passe. C'est long et fastidieux, mais sans interrruption des sites.
antoine-c commented 2021-01-18 09:29:06 +01:00
Owner
Copy Link

Pour les bases SQL, je fais petit à petit à la main, il faut pour chaque base identifier le ou les sites qui l'utilisent, et mettre à jour les fichiers de configuration des CMS pour accorder les mots de passe. C'est long et fastidieux, mais sans interrruption des sites.

Y'en a combien à ton avis (juste pour savoir la charge de travail).

> Pour les bases SQL, je fais petit à petit à la main, il faut pour chaque base identifier le ou les sites qui l'utilisent, et mettre à jour les fichiers de configuration des CMS pour accorder les mots de passe. C'est long et fastidieux, mais sans interrruption des sites. Y'en a combien à ton avis (juste pour savoir la charge de travail).
mpatout commented 2021-01-18 12:38:35 +01:00
Owner
Copy Link

Il reste 261 bases à traiter.

Il reste 261 bases à traiter.
antoine-c commented 2021-01-19 10:07:10 +01:00
Owner
Copy Link

Outch ! Quand même ! Ça va te faire des heures. Désolé de ne pouvoir aider. Au moins, quand ce sera fait, on aura élevé d'un cran la sécu.

Outch ! Quand même ! Ça va te faire des heures. Désolé de ne pouvoir aider. Au moins, quand ce sera fait, on aura élevé d'un cran la sécu.
pcherpentier commented 2021-01-22 17:35:53 +01:00
Owner
Copy Link

Bonjour,

je ne sais pas si c'est un oubli, ou si c'est volontaire:

Dans Ouvadmin, à la création d'un espace web, on a toujours la notification de création avec le ftp et les XXXX pour le mot de passe ftp, mdp visible en clair si on se met sur les X.
(voir en PJ)

Bonjour, je ne sais pas si c'est un oubli, ou si c'est volontaire: Dans Ouvadmin, à la création d'un espace web, on a toujours la notification de création avec le ftp et les XXXX pour le mot de passe ftp, mdp visible en clair si on se met sur les X. (voir en PJ)
Screenshot_2021-01-22 OuvAdmin Espace web wp poheberg org créé avec succès.png
76 KiB
Screenshot_2021-01-22 OuvAdmin Espace web wp poheberg org créé avec succès.png
mpatout commented 2021-01-22 17:51:17 +01:00
Owner
Copy Link

Salut,

Le mot de passe ne devrait plus s'afficher sur cette page depuis plus d'un an...

6c29ea16ad

Merci du signalement, je viens de mettre le fichier à jour sur le serveur (le cache va se mettre à jour un peu plus tard).

Salut, Le mot de passe ne devrait plus s'afficher sur cette page depuis plus d'un an... https://git.ouvaton.coop/Ouvaton/ouvadmin/commit/6c29ea16ad5bed16e560e339a5a2c2586408cd23 Merci du signalement, je viens de mettre le fichier à jour sur le serveur (le cache va se mettre à jour un peu plus tard).
fdelalleau commented 2021-03-29 13:09:29 +02:00
Author
Copy Link

Sujet traité, je clos.

Sujet traité, je clos.
pladame was unassigned by fdelalleau 2021-03-29 13:09:42 +02:00
fdelalleau locked as Resolved and limited conversation to collaborators 2021-03-29 13:09:49 +02:00
Sign in to join this conversation.
No Branch/Tag Specified
Branches Tags
develop
creation-repertoire-wiki-et-premieres-redactions-de-pages-du-wiki
master
Labels
Clear labels   
Bug

Demande de correction de bug sur la plateforme

  
Communication

Opérations de communication

  
Evolution

Evolution d'une fonction ou interface existante

  
Organisation

   
Patch

Patch mineur de la plateforme

  
Service

Ajout d'un service sur la plateforme

No Label
Bug
Communication
Evolution
Organisation
Patch
Service
Milestone
Clear milestone
No items
No Milestone
Sécurisation
Projects
Clear projects
No project
Assignees
Clear assignees
No Assignees
mpatout
4 Participants
Notifications
Due Date
The due date is invalid or out of range. Please use the format 'yyyy-mm-dd'.

No due date set.

Dependencies

No dependencies set.

Reference: Ouvaton/EvolutionPlateforme#5
No description provided.
Delete Branch "%!s(<nil>)"

Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?