Informations sécurité
Alertes
Voir la page Security information (en anglais) pour les dernières alertes de sécurité
Fonctionnalités de sécurité
Dolibarr intègre les mécanismes de sécurité suivant :
Chiffrement
- Chiffrement des mots de passe utilisateurs en base [*7] [*8].
- Chiffrement possible du mot de passe technique de la base de données dans le Fichier de configuration (conf.php) [*8].
- Forçage du mode HTTPS [*9].
Hacks et cracks
- Support du mode register_globals on ou off (off sérieusement recommandé) [*2].
- Support du mode safe_mode on ou off de PHP (on recommandé) [*3].
- Option de production pour inhiber toute remontée d'information technique comme débogage, info d'erreurs, info de version (Voir le Fichier de configuration) [*6].
- Système de protection anti injection SQL [2*].
- Système de protection anti injection XSS (Cross Site Scripting) [*1].
- Système de protection anti injection SSRF
- Système de protection anti CSRF (Cross Site Request Forgery) [*5]
Notez qu'il reste préférable d'ajouter aussi la protection côté serveur Web en désactivant l'option Apache
AcceptPathInfo Off
Accès pages et fichiers
- Pages et contenus protégées par un système centralisé de vérification des habilitations accordées aux groupes ou utilisateurs pour chaque module fonctionnel [*4] [*10].
- Isolation des fichiers stockés par Dolibarr dans une arborescence différente de la racine web (donc non téléchargeable sans passer par le wrapper) [*3] [*10].
- Système de protection anti scan dir (tout répertoire contient un fichier index pour limiter la visibilité si le serveur web a l'option "Indexes" active. Ne devrait pas) [*3].
Protection login
- Retardateur anti brute force cracking sur la page de login [*7]. Actuellement ce délai est fixe (may pourra devenir exponentiel dans une version future).
- Code graphique optionnel anti robot (CAPTCHA) sur la page de login [*7].
- Restriction des accès au backoffice pour certaines IP uniquement [*7].
- Aucun traçage de mot de passe dans les logs (ni techniques ni fonctionnelles) [*7].
- Système d'audit interne pour journaliser de manière permanente les événements en rapport avec l'administration utilisateurs et les connexions en succès ou en échec.
- Possibilité de tracer un enregistrement en fichier log (Le module Debug Log doit être activé avec au moins le niveau 5 - LOG_NOTICE) après un succès ou un échec de connexion ainsi vou spouvez ajouter une règle fail2ban pour bloquer les brute force cracking. Vous pouvez vérifier les enregistrements avec la syntax :
"YYYY-MM-DD HH:MM:SS (ERROR|NOTICE|INFO|DEBUG) IP functions_dolibarr::check_user_password_.* Authentication KO"
Virus
- Possibilité d'insérer un contrôle antivirus sur tout fichier téléversé (GNU/Linux uniquement) [*3].
Centre d'information Sécurité
- A partir de la version 14, vous trouverez dans le menu Accueil - Outils d'administration - Sécurité, un centre d'information sur la sécurité vous rapporte toutes les recommandations faites et à faire liées à votre installation.
Une CTI pour la sécurité
Une plateforme d'intégration continue exécute des tests unitaires de sécurité et une analyse de code statique à chaque modification de code.
Une empreinte pour chaque version
Notre processus de publication apporte à chaque version un fichier d'empreinte (également disponible en ligne) pour valider tous les fichiers de votre installation locale.
Remonter une faille de sécurité
Pour remonter une vulnérabilité, voir le fichier: https://github.com/Dolibarr/dolibarr/blob/develop/SECURITY.md
Ouvrir l'accès à sa machine / son serveur local vers internet
Une installation chez un hébergeur (généraliste ou spécialisé dolibarr) donne accès à n'importe quelle machine reliée à internet, de manière sécurisée.
Si vous avez fait le choix d'installer dolibarr en local, sur votre machine : il est tout de même possible de partager dolibarr avec d'autres machines.
Deux cas sont à prendre en compte :
- le partage local : seules les machines présentes physiquement sur le même réseau auront accès aux données par leur navigateur. Pour cela il suffit d'attribuer une IP fixe à la machine "serveur" et de paramétrer correctement les antivirus/firewall de cette machine. (ce forum ayant vocation à l'unique utilisation de dolibarr : il faudra vous documenter par vous même sur les paramétrages à mettre en place, ou demander de l'aide sur le forum). Les autres machines auront lors accès à dolibarr avec une adresses similaire à "http://192.168.1.148/xxxxx" où "xxxxxx" est potentiellement le sous répertoire dans le quel vous avez installé dolibarr)
- le partage via internet : la procédure est identique au partage local, il vous faudra en plus :
- paramétrer une redirection de port sur votre accès internet vers le "serveur". Cette ouverture de port n'est pas anodine d'un point de vue sécurité : formez vous correctement ou faites appel à un professionnel.
- avoir une IP fixe de pour votre accès internet, ou une redirection DNS dynamique.
La solution idéale, restera de confier l'hébergement, la sécurité et les sauvegardes de votre dolibarr à un hébergeur professionnel...
Oui : cela à un coût... mais en regard du risque de "tout perdre", il est important de se poser la question !
NB : une installation locale avec des données existantes est très facilement migrable vers ce type d'hébergement.
(*X) Ce mécanisme répond à la criticité numéro X du classement Top Ten de l'OWASP.