Discussion :

[Y.Guillermin]

Bonjour,

L'entreprise dans laquelle je travaille, développe et vend un ERP développé en .Net pour la plateforme Windows.
Nous avons aussi entrepris le développement d'une application Mobile connecté à cet ERP pour que nos clients est accès à la partie CRM en mobilité avec leurs smartphones/tablettes.
Cette application mobile est une application web développée avec le framework Sencha Touch.
Enfin pour permettre l'accès de l'application Mobile aux données de l'ERP, nous avons développé un Service Web en utilisant ASP.Net Web API.

Pour nos clients, il s’agira donc d'une utilisation interne à l'entreprise mais via un accès à travers le Web sur leurs serveurs.
Pour l'instant, l'application mobile et le service web sont accessibles depuis le serveur IIS du client à travers un port spécifique ouvert sur le routeur.
L'authentification de l'application Mobile sur le service Web est réalisée avec de l'Authentification Basic. Pour sécuriser l'échange entre les deux, nous activons aussi le protocole SSL et nous générons nos propres certificats (CA et certificat le serveur Web) étant donné qu'il s'agit d'une utilisation "interne" à l'entreprise.

C'est là qu'interviennent mes questions :

- Quelles méthodes emploieriez-vous pour avoir un accès sécurisé à ce web service, dans le but de garantir la confidentialité des données, et empêcher l'accès à des personnes non autorisées aux serveurs de l'entreprise ? (En considérant ce genre de cas d'utilisation)
- Est-ce que dans notre cas d'utilisation, la sécurité mise en place, le type d'authentification utilisé suffisent ?
- Considérez-vous qu'il faille passer par une autorité de certification pour les certificats ?
- Faut-il obligatoirement passer par une liaison VPN pour plus de sécurité ?

Merci d'avance pour vos réponses et retours d'expériences
Cordialement,
Yvan

[meziantou]

Si tu authentifies tes utilisateurs à l'aide d'un login/password alors HTTP Basic est suffisant. Par contre il faut toujours utiliser HTTPS, sinon les informations d'authentification transitent en clair.
Pour le certificat, la seule contrainte est que le client le reconnaisse comme valide. En entreprise il peut être suffisant d'installer le certificat sur les postes clients.

Faut-il obligatoirement passer par une liaison VPN pour plus de sécurité ?

Pourquoi voudrais-tu mettre un VPN ?

[Y.Guillermin]

Si tu authentifies tes utilisateurs à l'aide d'un login/password alors HTTP Basic est suffisant. Par contre il faut toujours utiliser HTTPS, sinon les informations d'authentification transitent en clair.
Pour le certificat, la seule contrainte est que le client le reconnaisse comme valide. En entreprise il peut être suffisant d'installer le certificat sur les postes clients.


Pourquoi voudrais-tu mettre un VPN ?

Merci pour ta réponse.
Je soumets l'idée du VPN, car je m'interroge justement sur le fait d'avoir un niveau de sécurité suffisant en utilisant uniquement le couple HTTP Basic Auth / SSL.
Le fait d'activer SSL permet de crypter le flux d'informations qui va transiter entre l'application mobile et le service web.
Mais il n'empêche pas à une personne d'accéder au port ouvert sur le routeur/serveur puisque visible sur le web.

J'attends donc des conseils et retour d'expérience pour savoir ce qui est utilisé en général pour ce type de besoins.

Merci.
Yvan

[meziantou]

Mais il n'empêche pas à une personne d'accéder au port ouvert sur le routeur/serveur puisque visible sur le web.

Et alors ? Seul ton web service est visible sur le web. Il suffit de rejeter toutes les requêtes non authentifiées (cela peut se faire à l'aide de l'attribut AuthorizeAttribute).

Si ton entreprise a déjà mis en place un VPN rien ne t'empêche de l'utiliser mais ce n'est pas obligatoire.

[Y.Guillermin]

Et alors ? Seul ton web service est visible sur le web. Il suffit de rejeter toutes les requêtes non authentifiées (cela peut se faire à l'aide de l'attribut AuthorizeAttribute).

Si ton entreprise a déjà mis en place un VPN rien ne t'empêche de l'utiliser mais ce n'est pas obligatoire.

Ok donc pour toi cela est suffisant.
Merci pour tes réponses.
Yvan