OpenERP Sécurité : Les mots de passe des serveurs OpenERP
Par SISalp le jeudi 12 novembre 2009, - Administrer Odoo - Lien permanent
La question est parfois posée aux hébergeurs de savoir si la salle dans laquelle sont placés les serveurs est bien surveillée, bien alimentée, bien connectée etc... Evidemment la réponse est oui, oui et oui chez tous les hébergeurs sérieux. Mais puisque la question de la sécurité est abordée, qu'en est il de vos propres codes d'accès et des mots clés de vos utilisiteurs ? Ceux ci suivent ils une règle précise ? depuis quand en avez vous contrôlé l'application ?
Au moment de mettre OpenERP en fonctionnement dans notre entreprise, posons nous la question des mots de passe d'OpenERP.
Plusieurs mots de passe sont nécessaires pour utiliser OpenERP, et cela peut prêter à confusion. En voici de détail :
Mot de passe super-administrateur pour administrer les bases de données
Pour céer, supprimer, sauvegarder et restaurer une base de données, vous devez utiliser un mot de passe particulier qui ne sert qu'à ça. Ce mot de passe est connu de l'administrateur du service OpenERP sur lequel vous vous connectez.
Vous trouverez plus d'information sur les fonctions de création d'une nouvelle base sur la page Premère utilisation d'un serveur OpenERP
Cas particuliers :
- Le serveur de démonstration et test sisalp.net a comme mot de passe super-administrateur "admin", afin que chacun puisse céer une base de test sur le serveur. En conséquence, si vous restaurez une base réelle sur ce serveur, celle ci peut théoriquement vous être piratée par un tiers qui peut la sauvegardera chez lui à votre insu. Vous pouvez modifier temporairement de mot de passe super-administrateur le temps de votre test, mais ceci n'est pas courtois vis à vis des autres utilisateurs. En tout cas, pensez à le remettre à sa valeur initiale après votre essai.
- Les serveurs OpenERP On-line ONL ou OES vous sont livrés avec un mot de passe très complexe afin de protéger vos bases de données. Ne le remplacez pas par un mot de passe trivial, en particulier si vous y faites figurer des informations non publiques.
Mot de passe de l'utilisateur Administrateur
Pour chaque base de données que vous créez, il existe un utilisateur appelé Administrator, à qui sont attribués tous les droits et dont l'identifiant de connexion est par défaut "admin". Depuis la version 5.0 d'OpenERP, vous décidez vous même du mot de passe de cet utilisateur privilégié. Comme le libellé du champ est le même que pour la saisie du mot de passe super-administrateur, il peut être utile de se reporter à la page Premère utilisation d'un serveur OpenERP
Ne choisissez pas un mot de passe trivial ici non plus, car quiconque aurait accès à votre réseau pourrait prendre connaissance de vos données et les modifier. Cas particuliers :
- Les serveurs OpenERP On-line ONL ou OES sont exposés à internet, et il faut faire attention au mot de passe choisi. SISalp vous conseille d'utiliser les huits premiers caractères du mot de passe super administrateur décrit plus haut suivis éventuellement des caractères de votre choix.
- Si vous utilisez plusieurs bases de données sur un serveur OpenERP, comme vous pouvez le faire sur les serveurs OpenERP On-line ONL ou OES, la chaine de caractères que vous ajoutez pour former le mot de passe doit être différente d'une base de données à l'autre, afin de vous protéger, dans la mesure du possible, d'une erreur de manipulation qui consisterait à effectuer une opération sur une base de données en croyant l'effectuer sur une autre base de données.
Mots de passe des utilisateurs autres que l'administrateur
Chaque utilisateur se voit au départ attribuer un mot de passe par l'Administrateur, mais il peut le modifier par la suite. La sécurité repose alors sur la discipline de chacun et il est utile dans ce cas de définir des règles strictes.
Cas particuliers :
- Sur un serveur standard, l'utilisation des données de démonstration crée un utilisateur demo/demo qui est un point d'entrée sur votre base. Vérifiez que le mot de passe de cet utilisateur est modifié dès la mise en ligne de la plus anodine base de données annexe.
- Sur les serveurs OpenERP On-line ONL, SISalp recommande de former les mots de passe des utilisateurs en les débutant par les 6 premiers caractères du mot de passe super-administrateur, suivis de deux caractères attribués arbitrairement à chaque base de données, suivis des caractères habituels qu'un utilisateur emploie pour ses mots de passe.
Sauvegarde et restauration des bases de données
Lors de la sauvegarde d'une base de données, les informations utilisateur/mot_de_passe apparaissent en clair dans le fichier de sauvegarde. Accéder au fichier obtenu lors de la sauvegarde signifie disposer des mots de passe de tous les utlisateurs.
Lors de la restauration, sur le même ou un autre serveur OpenERP, l'ensemble des mots de passe des utilisateurs de la nouvelle base sont reproduits à l'identique par rapport à la base d'origine. Attention aux erreurs et négligences.
Les précautions particulières à prendre pour gérer les sauvegardes sont les suivantes :
- Un disque amovible USB posé à côté du serveur OpenERP n'est pas approprié pour sauvegarder les données des bases.
- Il ne doit subsister aucune copie de ces sauvegardes sur des postes utilisateurs ou en attachements de mails électroniques si l'environnement n'en est pas parfaitement maîtrisé.
- Un serveur de test ou de formation devient immédiatement une ressource critique à protéger avec soin dès lors qu'il est alimenté avec une copie de la base de données réelle. Attention au mot de passe super-administrateur d'un tel serveur !
- Utiliser en parallèle la base de données principale de l'entreprise et sa copie sur un serveur de test risque d'entraîner des erreurs de manipulation car les mots de passe et le décors sont parfaitement identiques. Seule la mention de bas d'écran permet au spécialiste de faire la différence.
- Pour les utilisateurs qui ont recours à des copies multiples de bases afin de tester et former des collaborateurs sur OpenERP, SISalp déconseille d'utiliser le serveur OpenERP principal de l'entreprise et recommande l'emploi d'un serveur permettant d'utiliser plusieurs serveurs OpenERP indépendants et mutuellement protégés, comme cela est réalisé sur les serveurs OpenERP infogérés à partire de l'offre OpenERP-VDS.
Sécurisation par un système d'authentification externe.
Il est possible de substituer un service d'authentification basé sur ldap au mécanisme des mots de passe d'OpenERP. C'est une opération recommander dans les environnement complexes.
Il faut remarquer cependant que :
- Les mots de passe super-utilisateur décrits précédemment restent indépendants de tout système d'authentification et on doit continuer à les gérer avec une grande prudence,
- Les sauvegardes et restaurations des bases restent porteuses de risques si elles ne sont pas strictement régulées.
Sécurisation globale des accès au serveur par un réseau privé virtuel (VPN)
Tant qu'un serveur est directement exposé à internet, du fait qu'il est hébergé ou bien parce qu'on veut pouvoir y accéder depuis l'extérieur de l'entreprise, il peut être sujet à attaques. Les mots de passe complexes ne servent qu'à faire échouer l'attaque suffisamment longtemps pour que l'attaquant décide d'aller chercher ailleurs un serveur plus facile à pirater.
Dans le cadre des serveurs OpenERP Infogérance Dédié et Haas SISalp préconise l'utilisation d'une option OpenVPN. Cette option est constituée d'un petit boitier développé et géré par la société Prolibre, partenaire SISalp. Ce boitier est placé derrière l'accès internet de l'entreprise et permet d'empêcher tout accès au serveur OpenERP aux tiers non autorisés tout en permettant aux utilisateurs distants de se connecter, tant sur un serveur hébergé que sur un serveur Haas localisé dans l'entreprise.
AdicZion(Aix-en-Provence)
Illustration de haut de page : oeuvre de 
Darshan - Autorisation