Introduction
Afin de pouvoir administrer votre application Go.Learn, certaines conditions techniques et de sécurité sont à garder à l’esprit. Cet article détaille les notes de sécurité et apporte les réponses aux questions les plus fréquentes relatives à la sécurité de l’application Go.Learn.
Notes Relatives à la Sécurité de l’Application
Mise en Réseau
- La transmission de données est sécurisée via un protocole HTTPS. Tout en utilisant une solution ECS standard, le certificat est délivré par Go Daddy Secure Certificate Authority (s’ouvre dans un nouvel onglet) et utilise une cryptographie 2048-bit RSA ainsi qu’un hachage SHA-256 pour la signature des données. Les utilisateurs peuvent utiliser leurs propres certificats dans le cas de domaines personnalisés. Le protocole HTTP n’est pas pris en charge pour les domaines personnalisés sur Go.Learn.
Stockage des Données
- Les informations d’accès à l’application sont enregistrées dans le Trousseau de façon sécurisée et sont accessibles uniquement depuis l’application.
- Les mots de passe ne sont jamais enregistrés localement.
- La fonction de connexion hors-ligne utilise des fonctions de hachage afin de permettre l’accès.
- Les données des cours, contenus pédagogiques et contributions téléchargées afin de lire le contenu en mode hors-ligne sont enregistrées de manière sécurisée dans le stockage isolé. Ces données ne sont pas enregistrées dans la mémoire SD. Veuillez noter que vous ne pouvez pas accéder à ce contenu depuis une autre application.
SSO
- Les tokens SSO ne sont jamais enregistrés dans le cadre de l’application Go.Learn. Les tokens SSO sont immédiatement convertis en clés d’accès HTTPS puis détruits en retirés de la mémoire de l’appareil.
Droits Go.Learn
Référez-vous au tableau Go.Learn Permissions table (PDF, 25KB) pour connaître les droits requis pour l’application Go.Learn.
Questions & Réponses Sécurité
Cette section regroupe les questions les plus fréquentes sur la sécurité de l’application Go.Learn. Si votre Responsable de la sécurité des systèmes d’information demande une documentation plus détaillée vous pouvez, en tant que Superadmin, contacter Docebo à l’aide de votre Centre d’Assistance ou en contactant directement votre Account Manager si votre abonnement comprend cette option.
Informations Générales
Quel langage de programmation et/ou framework a été utilisé pour créer l’application ?
L’application est écrite en langage Javascript et framework React Native.
L’application s’appuie sur de nombreuses bibliothèques tierces mais celles-ci ne sont pas toujours à jour avec la dernière version. Pourquoi ?
La mise à jour des bibliothèques est une opération qui échappe partiellement au contrôle de Docebo. Dans le cadre des applications React Native, vous ne pouvez pas contrôler directement les dépendances d’une application. Vous pouvez uniquement choisir les packages que vous souhaitez ajouter à l’application à l’aide du RNPM (React Native Package Manager). Ce package manager décide ensuite quelles bibliothèques (et versions) sont incluses dans l’application en fonction des packages que vous utilisez de manière à éviter les conflits.
L’application est-elle protégée par une technique de prévention de l’altération du code ?
Oui, l’application Android est protégée par ProGuard, alors que l’application iOS est protégée de manière implicite par son environnement.
L’application met-elle en place des contrôles afin d’empêcher l’accès non autorisé aux ressources payantes (portefeuille, SMS, appels, etc.)
L’application n’a accès à aucun de ces services, elle ne demande donc même pas des droits pour accéder à ces ressources.
Quelles sont les pratiques de traitement de données ? Quelles données sont collectées à travers l’application et comment sont-elles utilisées ?
L’application mobile Docebo est une partie intégrante de la plateforme Docebo, ainsi elle est conforme aux pratiques décrites dans ce document : Docebo Data Processes Addendum (PDF, 255KB).
La responsabilité de fournir toutes les informations relatives à la vie privée aux utilisateurs incombe aux clients Docebo Learn qui sont responsables du traitement des données (Data Controllers) (voir la page 1 de l’Addendum) s’agissant des données des utilisateurs finaux (Data Subjects) collectées par la plateforme Docebo. La Politique de Confidentialité peut être définie par dans la plateforme par les Administrateurs et Docebo joue toujours le rôle de Data Processor.
Authentification Utilisateur
L’authentification de l’utilisateur est-elle requise ?
Oui, bien sûr.
Comment l’utilisateur s’authentifie-t-il ?
Le nom d’utilisateur et le mot de passe sont requis. Alternativement le Single Sign-On (SSO) est pris en charge.
Des mots de passe sont-ils enregistrés sur le client ?
Non, absolument pas. Même en cas de connexion hors-ligne, l’application enregistre le SHA256 irréversible du mot de passe.
La clé de chiffrement est-elle dérivée - même de manière sécurisée - des identifiants de connexion de l’utilisateur ?
Non, absolument pas.
L’application enregistre-t-elle les identifiants de connexion de l’utilisateur ? Le cas échéant, comment sont-ils enregistrés ? Comment l’application enregistre-t-elle les clés de session, les mots de passe, les données d’inscription de l’appareil, etc.
L’application n’enregistre jamais de mot de passe localement. Toutes les autres données sensibles sont enregistrées dans le trousseau du système.
Que pourrait faire un pirate s'il obtenait les informations d'identification de l'utilisateur ?
Un pirate pourrait utiliser la clé d’accès pour faire des appels API, se connecter à la plateforme, télécharger du contenu pédagogique et suivre des cours.