Securite reseau
Comment Le Bureau securise les connexions avec les headers CSP, la limitation de debit, TLS et l'authentification WebSocket.
Presentation
Le Bureau applique plusieurs couches de securite reseau. Toutes les connexions sont chiffrees, toutes les requetes sont validees, et tous les endpoints sont proteges contre les attaques web courantes.
Content Security Policy (CSP)
Le Bureau utilise une Content Security Policy basee sur des nonces pour prevenir les attaques de type cross-site scripting (XSS).
- Chaque requete de page genere un nonce cryptographique unique.
- Seuls les scripts incluant ce nonce sont autorises a s'executer.
- La politique utilise
strict-dynamic: les scripts de confiance peuvent charger des scripts supplementaires, mais aucun code inline ne s'execute sans le nonce. - L'evaluation dynamique de code (
eval) est bloquee en production.
Meme si un attaquant parvient a injecter du HTML dans une page, il ne peut pas executer de JavaScript arbitraire.
Limitation de debit
Des limites de debit protegent contre les abus :
| Type d'endpoint | Limite | Fenetre |
|---|---|---|
| Requetes API generales | 120 requetes | 1 minute |
| Echecs d'auth par cle API | 10 tentatives | 60 secondes par IP |
Lorsque vous depassez la limite generale, les requetes retournent HTTP 429 (Too Many Requests). Attendez un instant et reessayez.
Pour l'authentification par cle API, apres 10 tentatives echouees depuis la meme adresse IP en 60 secondes, cette IP est temporairement bloquee. Ce mecanisme bloque les attaques par force brute contre les cles API.
Chiffrement TLS
Tout le trafic entre votre navigateur et Le Bureau est chiffre avec TLS. Cela s'applique a :
- HTTPS -- toutes les pages web et requetes API
- WebSocket (WSS) -- connexions terminal et VNC
- Appels API -- chaque endpoint REST
Il n'y a pas d'endpoints HTTP. Toutes les connexions passent par HTTPS.
En interne, la seule exception a la validation TLS stricte est la connexion entre notre serveur applicatif et l'hyperviseur Proxmox, qui utilise un bypass TLS limite via un client HTTP dedie. Cela n'affecte pas les connexions utilisateur.
Securite WebSocket
Le terminal et le viewer VNC utilisent des connexions WebSocket pour la communication en temps reel. Chaque connexion WebSocket necessite une session valide ; les connexions non authentifiees sont rejetees immediatement. Tout le trafic WebSocket est chiffre via TLS (WSS). Le serveur verifie egalement l'en-tete d'origine pour empecher le detournement de WebSocket cross-site.
Securite VNC
Les connexions VNC a votre bureau sont relayees par notre serveur, votre navigateur ne se connecte donc jamais directement a la VM. Le port VNC n'est pas expose sur Internet. Tout le trafic VNC passe par un canal authentifie et chiffre, et seul le proprietaire du bureau peut se connecter a l'affichage de sa VM.
Protection IP et hote
Le Bureau n'expose pas les adresses IP internes, les noms d'hotes des serveurs ou les details d'infrastructure dans les reponses HTTP. Le header X-Powered-By est desactive. Les messages d'erreur ne divulguent pas les traces de pile ni les chemins internes.
Notes pratiques
- Toutes vos connexions sont chiffrees. Vous n'avez pas besoin d'un VPN.
- Les limites de debit s'appliquent de maniere egale a tous les utilisateurs. Si vous construisez une integration, concevez-la pour gerer les reponses 429 correctement.
- Le CSP peut bloquer les scripts inline si vous integrez du contenu Le Bureau. Contactez-nous si vous avez un cas d'utilisation d'integration necessitant des ajustements de politique.