Question de sécurité

olivier1 · Avril 19, 2020, 11:40

Bonjour,

je viens de découvrir kresus (qui m’a l’air intéressant) et que j’ai installé via docker en récupérant l’image bnjbvr/kresus.
Je l’ai installé sur mon réseau local donc il est bien sécurisé(+ https).
Par contre avant de l’utiliser je me pose une dernière question de sécurité. Forcement il faut que je renseigne le login et password de ma banque (LCL) mais qu’est ce qui me dit que ce login et password ne sont pas en parallèle postés sur un autre serveur quelque part, pour être utilisés plus tard à mon insu.
Je sais que nous sommes dans le monde de l’open source et que s’il y avait une faille comme ça dans le code quelqu’un l’aurait surement déjà remonté depuis longtemps, mais étant ancien développeur j’ai quand même la flemme de me farcir tout le code source
Ayant un pied dans le monde de la sécurité voilà mon interrogation actuelle.

merci de votre réponse

Olivier

nicofrand · Avril 19, 2020, 11:57

Bonjour @olivier1,

j’aurais en effet tendance à répondre que le code de Kresus et celui de weboob sont ouverts et que tu peux donc t’assurer que tes données ne sont pas envoyées ailleurs en lisant le code en effet.

Si toutefois tu ne fais pas confiance aux projets, je ne m’y connais pas assez en sécurité mais il me semble possible d’avoir un pare-feu qui bloque les requêtes sortantes par défaut et n’autorisant que certaines (vers le site de ta banque et éventuellement les repo git etc. pour les màj) ?

Tu vois d’autres moyens ?

olivier1 · Avril 19, 2020, 12:17

Bonjour @nicofrand,

merci pour ta réponse rapide, non je ne voyais pas d’autres moyens.
Effectivement je pourrais filtrer les requetes sortantes (si toutefois uniquement l’ip du domain lcl.fr est utilisé pour l’authentification sinon ca va devenir très embêtant). Il faudrait que je vois comment iptables intéragit avec les containers.

merci pour ta réponse rapide, j’espère trouver une solution rapidement.

Olivier

bnjbvr · Avril 20, 2020, 5:12

Bonjour @olivier1,

J’allais également parler de firewall pour ce genre de situations. Si jamais tu as une implémentation partageable, ou moyen d’écrire un petit tutoriel pour expliquer comment ajouter ces règles, on serait ravi de te faire de la pub pour partager ça à tous les utilisateurs de Kresus !

Bonne soirée,
Benjamin

ZeHiro · Avril 20, 2020, 6:16

Bonsoir,

A noter que weboob va récupérer les modules bancaires sur https://updates.weboob.org
MAis il est tout à fait possible de passer outre, en définissant un repo local (donc en gérant soi-même la mise à jour des modules depuis le repo).

olivier1 · Avril 23, 2020, 6:14

Bonjour @bnjbvr,

pas de soucis, je travaille actuellement dessus, ca fonctionne déjà pour tout dire (je restreint l’accès uniquement aux ip des banques dont j’ai besoin), mais j’ai été obligé de modifier le Dockerfile afin d’y ajouter iptables. La petite difficulté c’est que certains domaines se trouve derrière des loadbalancer (souvent des alb AWS), du coup il faut récupérer dynamiquement ces ip de façon régulière.
Il y aura d’autres fichiers à modifier mais je finalise avant d’expliquer ma solution.
Au final ca serait bien qu’elle soit implémenté dans l’image officielle, je pense que ca rassurerait les personnes qui veulent l’utiliser, car personnellement c’est la 1ere question que je me suis posé.

Merci

Olivier

olivier1 · Avril 23, 2020, 6:18

Bonjour @ZeHiro,

oui j’ai un repo à part pour weboob et j’ai monté un volume docker afin de le sortir du container, du coup je peux faire un git pull directement sur mon serveur au lieu de passer par l’interface.

Merci

Olivier