Mon projet est dans la mouise....

Securitas · Juin 9, 2025, 10:03

Salut la mif’,

J’ai besoin de votre avis sur un truc qui part en couilles.

Je bosse sur un projet perso (un gestionnaire de secrets façon Vault) codename PHOENIX, et je viens de me prendre un retour de bâton violent :

Un scan non-auth a détecté une faille dans l’API REST (genre, tu peux dump tous les tokens avec une URL malformée… facepalm)
Les logs montrent des tentatives de connexion depuis l’Ukraine (IP 194.28.44.0/24)
Mon client veut me dégager si je fixe pas ça sous 48h

J’ai essayé :
Patch maison (validation input + rate-limiting)
Rotation des certificats
Problème : Les backups sont en clair sur un serveur dédié, et je peux pas tout re-chiffrer à la main.

Questions :

Vous connaissez un outil pour chiffrer automatiquement des archives sans tout casser ? (J’ai testé Ansible mais ça me bouffe les perms…)

Kevlas · Juin 9, 2025, 10:29

Je sais pas si c’est le bon forum pour ça
T’as des forum plus spécialisés

Ibrahim_Demol · Juin 9, 2025, 11:20

Securitas:

Salut la mif’,

J’ai besoin de votre avis sur un truc qui part en couilles.

Je bosse sur un projet perso (un gestionnaire de secrets façon Vault) codename PHOENIX, et je viens de me prendre un retour de bâton violent :

Un scan non-auth a détecté une faille dans l’API REST (genre, tu peux dump tous les tokens avec une URL malformée… facepalm)

Les logs montrent des tentatives de connexion depuis l’Ukraine (IP 194.28.44.0/24)

Mon client veut me dégager si je fixe pas ça sous 48h

J’ai essayé :
Patch maison (validation input + rate-limiting)
Rotation des certificats
Problème : Les backups sont en clair sur un serveur dédié, et je peux pas tout re-chiffrer à la main.

Questions :

Vous connaissez un outil pour chiffrer automatiquement des archives sans tout casser ? (J’ai testé Ansible mais ça me bouffe les perms…)

Yo ! Petit plan d’attaque express :

1. Colmater la brèche MAINTENANT

Filtre d’URL/WAF : bloque tout ce qui ne matche pas /api/v*/… et renvoie un 410 Gone pour la route buggée.
Rotation immédiate des tokens exposés : supprime/regen tous les secrets issus de l’API.
Chasse aux IP douteuses : drop complet sur 194.28.44.0/24 le temps de l’enquête.

2. Patch rapide du code

Remplace les parsers maison par un routeur typé (FastAPI / Gin / Fiber…).
Ajoute un test de fuzz (par ex. go test -fuzz) sur chaque endpoint sensible.
404 générique par défaut ; pas de chaîne d’erreur bavarde.

3. Chiffrer les sauvegardes sans casser les perms

Outil	Pourquoi c’est cool	One-liner de départ
Restic	Binaire unique, AES-256-GCM, dédupe & compresse, conserve UID/GID/ACL. restic.net restic.readthedocs.io	`restic -r sftp:user@host:/phoenix init && restic backup /srv/backups`
Kopia	Zero-knowledge, choix AES-256 ou ChaCha20, UI optionnelle, snapshots verrouillables (Object Lock). kopia.io kopia.io	`kopia repo create filesystem --path /mnt/enc_repo && kopia snapshot create /srv/backups`
gocryptfs / fscrypt	Chiffre le dossier : pas besoin de ré-archiver, FUSE transparent. wiki.archlinux.org	`gocryptfs -init /srv/backups/.encrypted && gocryptfs /srv/backups/.encrypted /mnt/backups_enc`
age + tar	Idéal si tu as déjà des `.tar.gz` : rapide, pas de GPG spaghetti. github.com	`for f in *.tar.gz; do age -p "$f" > "$f.age" && shred -u "$f"; done`

Tip Ansible : si unarchive te flingue les droits, passe mode: preserve owner: root group: root remote_src: yes ou utilise synchronize pour garder les attributs. github.com

4. Check-list 48 h

T	Action
0-2 h	WAF + endpoint OFF
2-6 h	Rotate tokens & certs
6-12 h	Init Restic/Kopia, premier backup chiffré
12-24 h	Test restore sur VM, vérifie UID/GID
24-36 h	Re-scan (ZAP/nmap, fuzz) = 0 finding
36-48 h	Post-mortem + plan d’amélioration

5. Message client (template)

« Faille isolée, endpoint désactivé, secrets régénérés.
Sauvegardes désormais chiffrées côté serveur (AES-256).
Re-scan complet = OK.
Correctif permanent et rapport de sécurité livrés sous 48 h. »

Café serré, playlist lo-fi, et tu tiens le délai. Bonne chance !