Depuis quelques temps, certains de nos clients rapportent que leur navigateur, au moment de la saisie de l’identifiant et du mot de passe de Koha affiche le message « cette connexion n’est pas sécurisée »
Les messages vont de la simple interrogation à la franche inquiétude « mon Koha a été piraté ».
Tout d’abord, rassurez-vous, votre Koha n’a pas été piraté. Ensuite, il va falloir faire quelques changements dans votre infrastructure pour qu’il disparaisse, le présent billet a pour but de vous donner des détails.
D’ou vient ce message soudain ?
Faisons un tout petit peu de technique : lorsque vous saisissez un login et un mot de passe sur votre navigateur et que vous validez le formulaire, ledit login et ledit mot de passe circulent « en clair » sur le réseau, jusqu’au serveur Koha. Et donc pourraient être intercepté par un éventuel pirate. Notez qu’il y a plusieurs conditionnels, c’est faisable, mais ce n’est pas à la portée de n’importe qui. Notez aussi que c’est le cas de tous les sites du monde entier, ce n’est pas spécifique à Koha !
Le risque a été jugé acceptable depuis toujours parce que la solution à ce problème était très chère : il fallait passer le site en https et non pas http. Les sites sensibles comme ceux qui font du e-commerce, ou votre banque, utilisent depuis longtemps le https. C’est dans ce mode qu’un petit cadenas (généralement vert et fermé) apparaît. Il indique que tout ce que vous saissez sur votre ordinateur est sécurisé entre vous et le site sur lequel vous êtes. D’un bout à l’autre de la chaîne. Le HTTPS, c’est un peu le camion de transport de fonds: il amène l’argent d’un point à un autre en s’assurant qu’il n’y a pas de risque d’interception !
Passer en HTTPS impose de disposer d’un certificat, validé par une autorité reconnue au niveau mondial (je passe sur les détails techniques). Jusqu’à peu, un tel certificat pouvait coûter 2000€ par an. Bref, cher…
Depuis quelques mois, la situation a changé, avec l’apparition de letsencrypt, une initiative à but non lucratif financée par de nombreux sponsors visant à proposer des certificats gratuits (avec quelques contraintes quand même). Du coup, les différents navigateurs ont -récemment- décidé d’avertir systématiquement leurs utilisateurs lorsqu’ils saisissaient un mot de passe sur un site http. A terme, tout le monde va adopter le https, et les mots de passe ne circuleront plus en clair sur le réseau.
Que faire ?
Tout simplement passer en HTTPS ! Pour cela, il y a 2 options:
- vous décidez de prendre vous-même le certificat (ou bien vous en avez déjà un pour votre collectivité). Dans ce cas, nous pouvons l’installer sur votre serveur (qu’il soit hébergé ou non)
- vous nous confiez l’affaire: nous déployons nos outils sur votre Koha (qu’il soit hébergé ou non par nos soins).
Dans les deux cas, votre site passe en HTTPS, le message n’apparaîtra plus et vos usagers (bibliothécaires comme public) n’auront plus l’alerte. Et les mots de passe seront cryptés de bout en bout.
Combien ça coûte ?
Les certificats letsencrypts sont gratuits, nous ne vous les facturerons évidemment pas. Nous rajouterons simplement à votre contrat de maintenance une somme forfaitaire pour le temps que nous passons à développer, déployer, surveiller, renouveler les certificats.
Paradoxalement, si vous nous fournissez le certificat, cela vous coûtera plus cher : l’opération sera manuelle, elle demandera donc plus de temps.
Pour plus d’information et pour un devis plus précis, envoyez un email à commercial@biblibre.com
