Yunohost, si je pentestais mon instance ?

, par  Genma , popularité : 3%

Je souhaite depuis un moment me mettre au pentesting, à l’analyse de la sécurité d’un système. Comme j’ai une instance virtuelle de Yunohost pour mes tests, je peux l’utiliser pour apprendre les outils de Kali linux (distribution axée sur le pentest). J’ai posté un message en ce sens sur le forum de Yunohost (message en anglais) pour avoir d’autres avis, conseils etc.

Ce qu’il faut comprendre c’est que dire "je valide la sécurité de Yunohost" ne veut rien dire en soi. En effet, une instance Yunohost c’est avant tout un ensemble de briques logiciels :
 Debian : Yunohost s’installe sur une distribution Debian. Si on ne met pas Debian à jour, il peut y avoir des failles de sécurité liée à Debian.
 Yunohost : il y a toute la partie logicielle liée à Yunohost en lui-même (ses scripts d’automatisation etc.)
 Les logiciels autres : les logiciels libres sur lesquels repose Yunohost pour ne pas réinventer la roue et qui s’installent dans l’installation par défaut de Yunohost (nginx, mysql, le sso...)
 Les applications webs : les applications que l’utilisateur choisit d’installer sur son instance, toutes ces applications (officiellement supportée ou non) qu’il est possible d’installer de façon automatisée et intégrée dans Yunohost.

Chacun de ces composants peut être une source de faille de sécurité et donc d’attaque potentielle. Il faut déjà, bien faire les mises à jour de façon régulière. Ca tombe bien Yunohost propose de mettre à jour le système (Debian, Yunohost et les applications installées maintenues de façon officielles) et ce de façon graphique (un bouton dans l’interface d’administration). Il est possible d’automatiser les mises à jour via apt-cron (comme sur n’importe quel serveur Debian, Yunohost ça reste du Debian en dessous).

Le tout est du logiciel libre, le code est auditable et on peut espérer qu’il l’est régulièrement. Pentester Yunohost me permettrait sur le long terme de progresser dans ce domaine, d’améliorer la sécurité du tout si j’étais en mesure de trouver des failles (dans ce cas je remonterai ça à l’équipe de Yunohost ainsi qu’aux développeurs concernés par l’application)... Bref, encore une idée d’un vaste projet dans lequel je voudrais me lancer... et dont je parlerais sur le blog si je me lance. A suivre donc.