Après ma série d’articles Yunohost et plusieurs instances de Nextcloud, je pense initier une série d’articles "Nextcloud et la sécurité" dans lesquels j’aborderai différents aspects de la sécurité axé sur Nextcloud.
Dans ce premier billet, deux sujets,
Scan.nextcloud.com
Sur le principe du SSL Server Test SSL Server Test qui indique via une notation le niveau de configuration d’un certificat TLS sur un serveur web, Nextcloud propose un scanner en ligne disponible à l’adresse https://scan.nextcloud.com.
Comme indiqué sur le site, l’analyse est strictement basée sur des informations accessibles au public, c’est-à-dire la liste des vulnérabilités connues pertinentes pour les versions d’ownCloud / Nextcloud ainsi que les durcissements / paramètres appliqués qu’il est possible d’analyser sans avoir accès au serveur.
Suite au scan, on a différentes information : une note, des conseils sur le durcissement du système : validation de ce qui est fait, préconisation ce qu’il y a à faire.
Bug bounty
La sécurité c’est aussi se faire auditer et pentester. Pour ce, Nextcloud a lancé un bug bounty à l’adresse suivante :
https://hackerone.com/nextcloud et publié quelques billets d’annonces et de mise à jour sur le sujet :
* Introducing the Nextcloud bug bounty program en juin 2016
* Updates about the Nextcloud Bug Bounty Program en mai 2017
* Nextcloud Conference News : Nextcloud GmbH doubling HackerOne security bug bounties ! en septembre 2019
Pour moi, cela montre une volonté d’être toujours plus sécurisé en toute transparence.
Dans la même rubrique
22 juin – Conférence Nextcloud - le cloud de l’hygiène numérique
5 octobre 2022 – Nextcloud 25 - l’application theming casse l’affichage des CSS
28 avril 2021 – Nextcloud - Suppression des fichiers fournis par défaut dans le dossier utilisateur
23 avril 2021 – Yunohost - Nextcloud - Passer à la version 7.4 de PHP
21 avril 2021 – Nextcloud - Avertissements de sécurité & configuration - MySQL caractères sur 4 octets
