Défaillance sécurité interface d'administration

Défaillance sécurité interface d'administration

par Boris R,
Nombre de réponses : 5
Avatar Moodleurs particulièrement utiles

Bonjour,

Suite un audit demandé à un prestataire extérieur pour évaluer le niveau de sécurité de nos différents serveurs web, une défaillance de sécurité a été signalée notre service technique, concernant l’interface d’administration Moodle.

La préconisation faite par le prestataire est de ne pas permettre la connexion à l’interface d’administration Moodle depuis l’extérieur, ou depuis des adresses IP fixes non autorisées.

La problématique majeure d’un tel blocage pour moi qui suis administrateur moodle, serait de ne pas pouvoir me connecter depuis le train, lorsque je suis en déplacement, à l’hôtel…

Je précise que je ne suis pas moi-même compétent pour évaluer les risques et les solutions à envisager. C’est pourquoi je me permets ce message afin de savoir si d’autres techniciens ont rencontré ce problème, et éventuellement évoquer les solutions apportées.

Informations techniques

·         Version Moodle précise : Moodle 3.2.1+ (Build: 20170127)

·         Version PHP : 5.6.31

·         Version MySQL : MariaDB 5.5

·         Navigateur internet utilisé : Chrome, IE, Firefox

*******

Description précise du problème, mentionné par le prestataire

Deux interfaces d’administration sont publiquement accessibles sur Internet (Moodle, phpMyadmin)

Risques :

Deux interfaces d’administration découvertes au cours de l’audit sont publiquement accessibles depuis Internet.

La compromission de l’une de ces interfaces permettrait à un attaquant de disposer de l’ensemble des fonctionnalités dont elles disposent pouvant ainsi aller jusqu’à la compromission du serveur sous-jacent.

Les interfaces d’administration détectées ne sont pas protégées contre les attaques par force brute, augmentant le risque de compromission des comptes des utilisateurs de la plateforme.

  • Compromission du serveur sous-jacent
  • Accès à des informations techniques
  • Usurpation d’identité
  • Déni de service

Recommandation du prestataire:

Filtrer l’accès par IP source aux interfaces d’administration à l’aide d’un pare-feu ou d’une configuration logicielle.

*****

J’espère avoir été clair dans ma description ? Merci d'avance de l'aide que vous pourrez m'apporter.


Moyenne des évaluations  -
En réponse à Boris R

Re: Défaillance sécurité interface d'administration

par Bruno Malaval,
Avatar Moodleurs particulièrement utiles

Bonjour,

De base, toute plateforme accessible deuis internet est susceptible d'être attaquée par une méthode ou une autre.

Dans le cas cité ici, il conviendrait déjà d'activer le contrôle du nombre de tentatives.

Administration du site => Sécurité => Règles de site => Limite pour blocage de compte

Ceci permet de limiter le nombre de tentatives sur un compte, et le bloque ensuite.


Ensuite, comme pour tout autres serveur, il convient de respecter certaines règles :
- Ne pas diffuser largement l'identifiant/mot de passe de l'administrateur
- Utiliser un mot de passe fort / le renouveler régulièrement
- Mettre à jour l'OS de la plateforme selon les correctifs publiés
- Suivre les mises à jour de sécurité de Moodle (le cas échéant, limiter si possible les failles jusqu'à la mise à jour du produit)
- Utiliser de préférence HTTPS

Cela ne procurera pas une sécurité à 100%, mais les risques seront bien limités.

Attention également aux attributions de rôles.
L'attribution du rôle "Gestionnaire" à un utilisateur peut également être à l'origine d'une faille

Bruno

Moyenne des évaluations Utile (1)
En réponse à Boris R

Re: Risque sur l'interface d'administration

par Nicolas Martignoni,
Avatar Développeurs Avatar Développeurs de plugins Avatar Documentation writers Avatar Moodleurs particulièrement utiles Avatar Testeurs Avatar Traducteurs

Bonjour,

Le réglage indiqué par Bruno correspond en effet à la recommandation de votre prestataire.

PS. Il me semble que le vocabulaire utilisé est un brin paranoïaque. Il y a défaillance lorsqu'un système est pris en faute (il défaille). Ici, votre prestataire met simplement le doigt sur un risque théorique. On est donc très loin d'une défaillance.

Moyenne des évaluations  -
En réponse à Nicolas Martignoni

Re: Risque sur l'interface d'administration

par Boris R,
Avatar Moodleurs particulièrement utiles

Bonjour,

Merci Bruno Malaval pour les explications détaillées et préconisations.

Merci Nicolas Martignoni pour le diagnostic médical et la leçon de français associé.


Moyenne des évaluations  -
En réponse à Boris R

Re: Risque sur l'interface d'administration

par Daniel Méthot,
Avatar Moodleurs particulièrement utiles

Bonjour,

Je soupçonne même que le terme de "défaillance" judicieusement relevé par Nicolas a été volontairement choisi pour amplifier une crainte chez l'utilisateur, et justifier ainsi le rôle "éminemment indispensable" de ce cabinet de sécurité. Et le montant de la facture qui s'ensuit...

Alors que la question de la sécurité ainsi que les réponses compétentes auraient été délivrées gratuitement au sein de notre merveilleuse communauté.

C'est l'esprit "paradise papers" qui suinte dans tout le système... Pouah !

Daniel le bolchévik (selon l'humeur du moment) grand sourire.

 

 

Moyenne des évaluations  -
En réponse à Boris R

Re: Défaillance sécurité interface d'administration

par Patrick Lemaire,
Avatar Développeurs de plugins Avatar Documentation writers Avatar Moodleurs particulièrement utiles Avatar Testeurs Avatar Traducteurs

Bonjour Boris,

Même si je trouve qu'il serait limite paranoïaque de brider les IP accédants aux interfaces d'administration, si ce réglage était mis en place, il serait toujours possible, même en déplacement, d'accéder à ces pages en passant par un VPN qui, lui, serait autorisé. Mais ça complique un peu la démarche.

Autre point de sécurisation extrême, la mise en place d'un service "Fail2ban" si le serveur est sous Linux Debian (non précisé). Couplé aux recommandations de Bruno, cet outil aurait la capacité d'exclure automatiquement les tentatives de fraudes répétées.

La sécurité est une affaire de professionnel mais il faut savoir apprécier le niveau de "risque" et la complexité des contre-mesures. Sans indication de cette nature, il est difficile d'évaluer l'exposition.

A bientôt,
Patrick

Moyenne des évaluations  -