Chiffrement et durcissement de la sécurité

Une sécurité maximale pour vos données et vos communications

La sécurité est un élément essentiel pour les utilisateurs de Nextcloud.

Afin d'assurer la protection de vos données, Nextcloud utilise un chiffrement de niveau militaire et des fonctionnalités de sécurité avancées. Pour assister les administrateurs, des vérifications automatiques sont en place et l'avertissent en cas de failles potentielles.

Conseils de sécurité

Nous facilitons au maximum la sécurisation de votre système.

in action

Vérifications automatisées et conseils

Nextcloud détecte les problèmes potentiels lors de son installation et envoie un avertissement lorsqu'il trouve des fichiers inconnus ou modifiés. Les administrateurs peuvent trouver des conseils de sécurité et des avertissements dans la page de configuration.

Les administrateurs peuvent définir des règles de complexité des mots de passe pour Nextcloud, limiter ou désactiver le partage, imposer des dates d'expiration et des mots de passe sur les partages, désactiver la prévisualisation et bien plus encore.

Vous trouverez plus d'informations sur le durcissement de votre installation Nextcloud dans notre guide de durcissement

Nous mettons à votre disposition le Nextcloud Security Scanner pour vérifier la sécurité de votre serveur de cloud privé.

Chiffrement côté serveur

Chiffrement

Le chiffrement vous garantit le plus haut degré de confidentialité et de sécurité qui soit

in action

Chiffrement des données en transfert

Nextcloud applique la norme industrielle TLS pour chiffrer les données en transit. L'utilisation de systèmes de type Object Storage comme Amazon S3 ou d'autres systèmes de stockage externes peut être sécurisée par le chiffrement côté serveur.

Chiffrez les données au repos

Le chiffrement côté serveur peut également être utilisé sur le stockage local. Cependant, comme c'est toujours le cas pour le chiffrement côté serveur, les clés de chiffrement seront présentes dans la mémoire du serveur Nextcloud pendant la période où l'utilisateur est connecté et pourraient être récupérées par un pirate informatique déterminé. C'est pourquoi nous veillons à ce que les clés ne soient pas stockées en clair sur un stockage permanent et que les clés au repos soient chiffrées à l'aide d'un chiffrement robuste.

Chiffrez d'un client à l'autre

End-to-end Encryption client-side is available from Nextcloud desktop client 3.0 and newer as a folder-level option to keep extremely sensitive data fully secure even in case of a full server breach. The server facilitates key exchange for syncing between devices and sharing but has Zero Knowledge, that is, never has access to any of the data or keys in unencrypted form. Lire plus sur le sujet ici.

virus attack tree

Modèles de menaces et arbres d'attaques

il y a plusieurs décisions importantes à prendre concernant le chiffrement dans Nextcloud, avec leurs avantages et inconvénients respectifs. Découvrez notre billet de blog (lien ci-dessous) pour plus de détails.

Le chiffrement dans Nextcloud

in action

Chiffrement côté serveur avec gestion flexible des clés

Nextcloud prend en charge la gestion des clés de chiffrement enfichables. Si vous disposez d'un serveur de clés externe ou d'un module matériel de sécurité, vous pouvez les faire fonctionner avec Nextcloud.

Notre gestion par défaut des clés de chiffrement permet aux administrateurs de définir une clé de récupération à l'échelle du système pour les fichiers chiffrés. Ainsi, même lorsque les utilisateurs perdent leur mot de passe, les fichiers peuvent toujours être déchiffrés. Les fichiers chiffrés peuvent être partagés, mais après avoir modifié les paramètres de chiffrement, les partages devront être effectués à nouveau. Grâce à nos outils de ligne de commande, les données peuvent être chiffrées, déchiffrées ou rechiffrées si nécessaire.

En cas de besoin de chiffrer les données au repos pour des raisons de régulations ou de normes, et si vous n'avez pas spécifiquement besoin de sécuriser ces données pour les besoins de votre entreprise, le chiffrement local des données en utilisant notre gestion de clés intégrée peut satisfaire aux exigences de conformité.

Apprenez à mettre en place le chiffrement côté serveur dans notre documentation

in action

Chiffrement de bout en bout intégré dans les clients

Nextcloud propose une solution intégrée de niveau entreprise pour le chiffrement de bout en bout. Elle permet aux utilisateurs de choisir un ou plusieurs dossiers sur leur bureau ou leur client mobile pour un chiffrement de bout en bout. Les dossiers peuvent être partagés avec d'autres utilisateurs et synchronisés entre les périphériques mais ne sont jamais lisibles par le serveur.

Cette solution est simple d'utilisation mais extrêmement sécurisée grâce à l'application du principe de preuve à divulgation nulle de connaissance au serveur ainsi qu'au principe de la protection de l'identité par la cryptographie. Elle permet de ne pas compromettre la sécurité en évitant d'utiliser un navigateur pour chiffrer ou déchiffrer des fichiers, navigateur qui recevrait le code depuis le serveur. De plus, il n'est pas nécessaire de chiffrer tous les dossiers de la même façon : la décision de chiffrer ou non peut se prendre par dossier. Le partage est sécurisé sans qu'il ne soit nécessaire d'échanger des mots de passe et les fichiers n'ont pas besoin d'être re-chiffrés et rechargés lorsque les droits d'accès des autres utilisateurs sont modifiés.

Notre solution est adaptée à l'utilisation en entreprise et peut prendre en charge un module matériel de sécurité pour l'émission de certificats, donnant accès à un journal d'audit complet et permettant en option aux administrateurs de créer une clé de récupération maîtresse hors ligne.

Découvrez les détails du chiffrement de bout en bout dans les clients ici.

Chiffrement de bout-en-bout

Mesures de sécurité passive

En plus des mesures de sécurité active telles que l'authentification et le chiffrement, Nextcloud protège vos données par défaut, sans aucune intervention de l'administrateur.

Recognized quality

Protection contre les attaques par force brute

Notre fonction Brute Force Protection enregistre les tentatives de connexion invalides et ralentit les tentatives multiples à partir d'une seule adresse IP (ou plage IPv6). Cette fonction est activée par défaut et protège vos données contre un attaquant qui tenterait de deviner un ou plusieurs mots de passe utilisateurs.

Les jetons de réinitialisation de mot de passe sont invalidés lorsque des informations critiques comme l'adresse e-mail de l'utilisateur ont été modifiées pour protéger contre les attaques de phishing.

Nextcloud demande aux administrateurs système de confirmer le mot de passe pour les actions critiques de sécurité.

Limite de débit

Notre fonction Rate Limiting permet à un développeur ou une développeuse de spécifier à quelle fréquence une plage IP ou un utilisateur peuvent envoyer une requête au cours d'une période donnée. Cela peut être utile pour les appels d'IPA coûteux, pour empêcher les utilisateurs d'accéder à trop de données dans une plus petite période de temps ou pour durcir les protections contre les attaques par force brute. Cette fonction est utilisée par les applications Nextcloud pour protéger les utilisateurs contre le spam et la surcharge.

Découvrez notre article de blog sur les mesures de sécurité.

Renforcement de la sécurité

Nextcloud implémente un large éventail de fonctions de renforcement de sécurité supplémentaires, notamment :

  •  Content Security Policy 3.0

      Content Security Policy est une fonction HTTP qui permet au serveur de définir des restrictions spécifiques pour une ressource lorsqu'elle est ouverte dans un navigateur. Par exemple, vous pouvez ainsi décider de ne permettre le chargement d'images ou de JavaScript qu'à partir de cibles spécifiques.

      La version 3.0 de cet outil est la version la plus récente et la plus stricte de ce standard, augmentant ainsi les obstacles à l'exploitation d'une vulnérabilité Cross-Site Scripting par les attaquants.

  • Same-Site Cookies

      Same-Site cookies est une mesure de sécurité supportée par les navigateurs modernes qui prévient l'exploitation de vulnérabilités CSRF et contribue à la protection de votre confidentialité. Nextcloud impose la présence des cookies same-site à chaque requête en forçant leur utilisation dans l'intergiciel en charge de la requête.

      Nous incluons le préfixe __Host au cookie (si supporté par le navigateur et le serveur). Cela atténue les vulnérabilités aux injections de cookies au sein de logiciels tiers potentiels partageant le même domaine de deuxième niveau.

Pour en savoir plus sur les fonctions de durcissement, consultez notre article de blog.

password settings

Obligation de mots de passe sécurisés

Il est extrêmement important de mettre en place une politique de mots de passe fort, et Nextcloud applique les standards les plus stricts à cet égard.

Nos standards de sécurité vont au-delà des normes habituelles : nous vérifions que les mots de passe choisis ne font pas partie des mots de passe publiquement compromis en nous rapprochant de la base de données du célèbre chercheur en sécurité Troy Hunt. Cette fonctionnalité est optionnelle mais fortement recommandée : elle permet de s'assurer qu'un utilisateur ne puisse pas réutiliser un mot de passe compromis. Découvrez comment protéger vos utilisateurs avec cette fonctionnalité sur notre blog.

Découvrez notre billet de blog sur HaveIBeenPwned check

Détection de connexions suspectes basée sur le machine learning

Nextcloud intègre une technologie de machine learning qui éduque un réseau neuronal en fonction des connexions réussies sur l'instance et l'utilise pour classer les tentatives de connexion. Si le réseau neuronal détecte une connexion classée comme suspecte par le modèle éduqué, il en informe l'utilisateur et enregistre une entrée dans le journal pour l'administrateur système.

Lorsque l'utilisateur est averti, il peut mettre fin à la session suspecte et procéder à la réinitialisation du mot de passe. L'administrateur peut également prendre des mesures, comme désactiver les comptes utilisateurs ou forcer les utilisateurs à choisir un nouveau mot de passe.

Bien évidemment, la solution est conçue pour protéger la confidentialité et toutes les données restent sur votre serveur !

Apprenez-en davantage dans notre article de blog

Vous avez besoin d'une sécurité optimale ?

Nextcloud Enterprise fournit un accès anticipé aux alertes de sécurité, mises à jour et corrections.

Nextcloud vous permet de vous concentrer sur votre travail, en veillant à ce que vos données restent confidentielles et entièrement sous votre contrôle !

Vous avez désactivé javascript. Nous essayons de faire en sorte que les bases de notre site web fonctionnent, mais certaines fonctionnalités seront manquantes.

Ce site Web utilise des cookies. En visitant notre site, vous acceptez notre politique de confidentialité. J'accepte