Sécurité & Intégration du Trousseau

Bienvenue dans le guide de sécurité de HarborDB. Cette ressource complète explique comment HarborDB exploite les fonctionnalités de sécurité de macOS — en particulier le Trousseau — pour garder vos identifiants de base de données et vos données en sécurité. Que vous travailliez avec des bases de données de développement locales ou des serveurs de production, comprendre ces fonctionnalités de sécurité est essentiel pour protéger les informations sensibles.

Pourquoi la sécurité est importante

Les connexions aux bases de données contiennent souvent des informations sensibles :

• Noms d'utilisateur et mots de passe pour les serveurs PostgreSQL
• Détails de connexion incluant les noms d'hôte et les ports
• Résultats de requêtes qui peuvent contenir des données confidentielles
• Fichiers d'exportation avec des informations cruciales pour l'entreprise

HarborDB est conçu avec la sécurité comme principe fondamental, utilisant les technologies natives de macOS pour fournir une protection de niveau entreprise sans compromettre la facilité d'utilisation.

Trousseau macOS : Votre coffre-fort numérique

Qu'est-ce que le Trousseau ?

Le Trousseau est le système de gestion des mots de passe intégré à macOS. Considérez-le comme un coffre-fort numérique où macOS stocke :

• Mots de passe pour les applications et sites web
• Clés de chiffrement pour les communications sécurisées
• Certificats pour la vérification d'identité
• Notes sécurisées pour les informations sensibles

Comment le Trousseau protège vos données

1. Chiffrement au repos : Toutes les données du Trousseau sont chiffrées avec le chiffrement AES-256
2. Contrôles d'accès : Chaque application doit demander l'autorisation d'accéder aux éléments du Trousseau
3. Isolation des utilisateurs : Les éléments du Trousseau sont liés à votre compte utilisateur
4. Verrouillage automatique : Le Trousseau se verrouille lorsque votre Mac se met en veille ou se verrouille

HarborDB et l'intégration du Trousseau

Stockage automatique des mots de passe

Lorsque vous enregistrez une connexion dans HarborDB :

1. Le mot de passe est extrait des paramètres de connexion
2. Chiffré et stocké dans le Trousseau de votre utilisateur
3. Le fichier de connexion sauvegarde uniquement les informations non sensibles
4. Lors de la prochaine connexion, HarborDB récupère le mot de passe depuis le Trousseau

Ce qui est stocké où

| Emplacement de stockage | Ce qui est stocké | Niveau de sécurité | | ---------------------------- | -------------------------------------- | -------------------------------- | | Trousseau macOS | Mots de passe uniquement | 🔒 Maximum (AES-256) | | Fichier de connexion | Hôte, port, base de données, nom d'utilisateur | 🔐 Moyen (Permissions de fichiers) | | Mémoire de l'application | Mots de passe déchiffrés pendant la session | 🔐 Élevé (Chiffrement RAM) | | Cache disque | Résultats de requêtes, fichiers temporaires | 🔐 Moyen (FileVault) |

Structure des éléments du Trousseau

Chaque connexion HarborDB crée un élément du Trousseau avec :

• Nom du service : HarborDB
• Nom du compte : connection:[nom_connexion]
• Mot de passe : Votre mot de passe PostgreSQL chiffré
• Groupe d'accès : Limité à l'application HarborDB

Meilleures pratiques de sécurité

1. Gestion des mots de passe

À faire :

• ✅ Utiliser des mots de passe forts et uniques pour chaque base de données
• ✅ Changer les mots de passe périodiquement (tous les 90 jours)
• ✅ Utiliser des gestionnaires de mots de passe pour une sécurité supplémentaire
• ✅ Activer l'authentification à deux facteurs lorsque possible

À éviter :

• ❌ Réutiliser les mêmes mots de passe sur différents serveurs
• ❌ Stocker les mots de passe dans des fichiers en texte brut
• ❌ Partager les mots de passe du Trousseau avec d'autres
• ❌ Utiliser des mots de passe simples ou par défaut

2. Sécurité des connexions

Bases de données locales :

Hôte : localhost ou 127.0.0.1
SSL : Optionnel (la boucle locale est sécurisée)
Trousseau : Recommandé

Serveurs de développement :

Hôte : dev-db.internal
SSL : Prefer ou Require
Trousseau : Requis
Pare-feu : Restreindre au réseau interne

Serveurs de production :

Hôte : prod-db.example.com
SSL : Require ou Verify-Full
Trousseau : Requis
VPN : Recommandé pour l'accès

3. Sécurité des fichiers

1. Stocker les fichiers de connexion dans des emplacements sécurisés
2. Utiliser FileVault pour le chiffrement complet du disque
3. Sauvegarder régulièrement le Trousseau (via Time Machine)
4. Sécuriser les dossiers d'exportation avec les permissions appropriées

Touch ID et intégration biométrique

Utiliser Touch ID avec HarborDB

Si votre Mac possède Touch ID (ou Face ID sur les modèles plus récents), vous pouvez renforcer la sécurité :

1. Activer Touch ID pour le Trousseau dans les Paramètres système
2. HarborDB demandera l'empreinte digitale lors de l'accès aux mots de passe
3. Retour au mot de passe si la biométrie échoue

Configuration de l'authentification biométrique

1. Ouvrir Paramètres système → Touch ID & Mot de passe
2. Ajouter vos empreintes digitales (jusqu'à 3)
3. Cocher "Trousseau" dans la liste des utilisations
4. Redémarrer HarborDB pour que les changements prennent effet

Avantages de l'intégration biométrique

• Convenance : Pas besoin de taper le mot de passe principal
• Sécurité : Unique à vous (ne peut pas être partagé)
• Vitesse : Plus rapide que la saisie de mot de passe
• Piste d'audit : Chaque accès est identifié de manière unique

FileVault et chiffrement du disque

Qu'est-ce que FileVault ?

FileVault est la fonctionnalité de chiffrement complet du disque de macOS :

• Chiffre le disque de démarrage entier
• Protège les données au repos
• Transparent pour les applications
• Requis pour certaines normes de conformité

Activation de FileVault

1. Ouvrir Paramètres système → Confidentialité et sécurité
2. Cliquer sur FileVault
3. Cliquer sur Activer
4. Choisir la méthode de récupération (iCloud ou clé de récupération)
5. Attendre que le chiffrement se termine (processus en arrière-plan)

Comment FileVault protège les données HarborDB

Avec FileVault activé :

• Les fichiers de connexion sont chiffrés sur le disque
• Les fichiers d'exportation sont protégés
• Les fichiers temporaires ne peuvent pas être récupérés
• Les fichiers de cache sont sécurisés même si le Mac est volé

Sécurité réseau (SSL/TLS)

Comprendre SSL/TLS

SSL (Secure Sockets Layer) et TLS (Transport Layer Security) chiffrent les données en transit :

HarborDB (macOS) → Tunnel chiffré → Serveur PostgreSQL

Modes SSL dans HarborDB

| Mode | Niveau de sécurité | Cas d'utilisation | | --------------- | ------------------ | ------------------------------------- | | Désactiver | ❌ Aucun | Développement local uniquement | | Autoriser | ⚠️ Faible | Préférer non chiffré | | Préférer | ✅ Moyen | Par défaut pour la plupart des cas | | Exiger | ✅ Élevé | Serveurs distants | | Vérifier-CA | ✅✅ Élevé | Vérifier l'autorité de certification | | Vérifier-Complet | ✅✅✅ Très élevé | Validation complète du certificat |

Configuration SSL dans HarborDB

1. Modifier la connexion dans HarborDB
2. Sélectionner le mode SSL dans le menu déroulant
3. Importer les certificats si vous utilisez Vérifier-Complet
4. Tester la connexion pour vérifier la négociation SSL

Gestion des certificats

Pour les environnements d'entreprise :

• Importer les certificats CA dans Accès au trousseau
• Utiliser des certificats client pour le TLS mutuel
• Configurer des alertes d'expiration de certificat
• Mettre à jour régulièrement les certificats révoqués

Dépannage des problèmes courants

Problèmes d'accès au Trousseau

"HarborDB ne peut pas accéder au Trousseau"

1. Vérifier les permissions :

   # Ouvrir Accès au trousseau
   open /Applications/Utilities/Keychain\ Access.app
   

2. Réinitialiser les permissions de HarborDB :

   • Supprimer et réajouter la connexion
   • Accorder la permission lorsque demandé

3. Réparer le Trousseau :

   • Ouvrir Accès au trousseau
   • Sélectionner le trousseau "Login"
   • Fichier → "Premiers secours du trousseau"

"Mot de passe non trouvé dans le Trousseau"

1. Vérifier que le nom de connexion n'a pas changé
2. Vérifier plusieurs Trousseaux (Login, System, iCloud)
3. Reconstruire l'index du Trousseau :

   security delete-keychain ~/Library/Keychains/login.keychain-db
   # Recréera au prochain login
   

Problèmes de connexion SSL

"Échec de la négociation SSL"

1. Vérifier la configuration SSL de PostgreSQL :

   # Dans postgresql.conf
   ssl = on
   ssl_cert_file = 'server.crt'
   ssl_key_file = 'server.key'
   

2. Vérifier la validité du certificat :

   openssl x509 -in server.crt -text -noout
   

3. Essayer un mode SSL différent (Exiger → Préférer)

Problèmes de sécurité généraux

Erreurs "Permission refusée"

1. Vérifier les permissions des fichiers :

   ls -la ~/Library/Application\ Support/HarborDB/
   

2. Réinitialiser les permissions de HarborDB :

   • Déplacer le fichier de préférences
   • Redémarrer HarborDB

3. Vérifier les permissions du disque :

   diskutil verifyVolume /
   

Fonctionnalités de sécurité avancées

Configuration personnalisée du Trousseau

Pour les utilisateurs avancés :

1. Créer un Trousseau dédié pour HarborDB :

   security create-keychain -P harbor.keychain
   security set-keychain-settings harbor.keychain
   

2. Définir un délai d'expiration plus court pour les connexions sensibles :

   security set-keychain-settings -t 300 harbor.keychain
   

3. Verrouiller le Trousseau lorsqu'il n'est pas utilisé :

   security lock-keychain harbor.keychain
   

Audit et surveillance

1. Activer la journalisation des connexions dans les Préférences

2. Examiner les journaux d'accès au Trousseau :

   log show --predicate 'subsystem == "com.apple.security"'
   

3. Configurer des alertes pour les connexions échouées

4. Examiner régulièrement les journaux d'accès aux fichiers exportés

Considérations de conformité

Conformité GDPR/CCPA :

• Chiffrement des données personnelles au repos et en transit
• Journalisation des accès et pistes d'audit
• Politiques de conservation des données pour les exportations

Conformité HIPAA :

• Chiffrement complet du disque (FileVault)
• Délai d'expiration de session pour les connexions inactives
• Suppression sécurisée des fichiers temporaires

Conformité PCI DSS :

• Ne jamais stocker les numéros de carte de crédit dans les requêtes
• Masquer les données sensibles dans les exportations
• Évaluations de sécurité régulières

Liste de vérification de sécurité

Pratiques quotidiennes

• [ ] Verrouiller le Mac lorsqu'on s'éloigne
• [ ] Vérifier la sécurité de la connexion avant utilisation
• [ ] Vérifier les mises à jour de sécurité macOS
• [ ] Examiner les tentatives de connexion récentes

Pratiques hebdomadaires

• [ ] Examiner les emplacements des fichiers exportés
• [ ] Vérifier le Trousseau pour les entrées obsolètes
• [ ] Vérifier que FileVault est actif
• [ ] Sauvegarder les configurations de sécurité

Pratiques mensuelles

• [ ] Faire tourner les mots de passe de base de données
• [ ] Examiner les certificats SSL
• [ ] Auditer les permissions de connexion
• [ ] Tester les procédures de reprise après sinistre

Obtenir de l'aide

Incidents de sécurité

Si vous suspectez un problème de sécurité :

1. Actions immédiates :

   • Changer les mots de passe de base de données affectés
   • Révoquer les certificats compromis
   • Activer la journalisation supplémentaire

2. Contacter le support avec :

   • Période de l'incident
   • Connexions affectées
   • Tous les messages d'erreur
   • Étapes déjà entreprises

Consultation en sécurité

Pour les besoins de sécurité d'entreprise :

• Évaluations de sécurité personnalisées
• Conseils de conformité (GDPR, HIPAA, PCI DSS)
• Intégration avec les systèmes de sécurité d'entreprise
• Formation pour les membres de l'équipe

Ressources supplémentaires

• Guide de sécurité de la plateforme Apple
• Documentation de sécurité PostgreSQL
• Guide de support HarborDB
• Fonctionnalités de sécurité macOS

---

La sécurité est une responsabilité partagée. En comprenant et en utilisant correctement les fonctionnalités de sécurité de macOS avec HarborDB, vous créez une défense robuste contre les violations de données et les accès non autorisés. N'oubliez pas : les bonnes pratiques de sécurité deviennent des habitudes qui protègent vos données chaque jour.

Dernière mise à jour : {{current_date}}