Joplin : améliorer la sécurité du lien Nextcloud

Posté le 03. Janvier 2023 • 4 minutes • 715 mots • Autres langues: English

Je débute cet article en vous souhaitant à toutes et tous une magnifique année 2023 : santé, bonheur et épanouissement 🥳 !

Je ne vais pas vous refaire une présentation de Joplin, cette excellente application libre de prise de notes au format Markdown. Je vais plutôt vous présenter une alternative pour connecter Joplin à votre instance Nextcloud afin de limiter l’accès à vos données au strict nécessaire.

La synchronisation standard entre Joplin et Nextcloud

Dans l’application Joplin, que ce soit Mobile (iOS/Android) ou Desktop (Linux/Mac/Windows), vous pouvez connecter Joplin à un compte Nextcloud, ce qui a l’avantage de :

sauvegarder vos notes
synchroniser vos notes sur tous vos appareils

Pour cela, la FAQ de Joplin, tout comme bon nombre de tutoriels, vous conseillera d’utiliser le serveur de fichier WebDAV de Nextcloud et de configurer Joplin de cette façon :

URL WebDAV : https://your-nextcloud.com/remote.php/dav/files/username/JoplinFolder
Nom d’utilisateur : username de votre compte Nextcloud
Mot de passe : password de votre compte Nextcloud

Si vous avez activé la double authentification sur votre instance Nextcloud, il faudra générer un mot de passe d'application et le rentrer en lieu et place du mot de passe dans Joplin.

Cette méthode fonctionne mais je la trouve très imparfaite car vos applications Joplin possèdent un accès complet en lecture/écriture sur l’ensemble de vos données de votre compte Nextcloud. Nous allons voir comment améliorer cela.

Sachez que Joplin ne hash pas les mot de passes dans la base SQLITE (sur l'application Linux seulement). Si vous perdez une device sur laquelle est installée Joplin, il est très simple de récupérer le mot de passe de votre cloud dans la base SQLITE. Si vous chiffrez vos notes, vous trouverez aussi la masterkey en clair d'ailleurs...

Joplin not encrypt

UPDATE 04/01/2023 :

🙏 Appel à contributions 🙏

Après discussions sur le Discord de Joplin, il s'avère que les mot de passes sont en clair dans la base de données SQLite uniquement sur l'application Linux. L'application ne gère pas la keychain Linux. Si vous avez les compétences techniques pour améliorer cela, contribuez ici : https://github.com/laurent22/joplin/

Donner un accès limité à Joplin sur votre compte Nextcloud

Vos notes Joplin sont toutes regroupées dans un seul dossier sur votre compte Nextcloud. L’objectif est que l’application Joplin ne puisse pas accéder à quoi que ce soit d’autre que ce dossier.

Pour cela, on peut utiliser les fonctionnalités de partage et de WebDAV de Nextcloud afin d’éviter de se connecter à Joplin directement via notre compte personnel Nextcloud.

A - Réglez votre instance Nextcloud

Pour que cette méthode fonctionne, les partages publics Nextcloud doivent être accessibles par WebDAV. C’est une option courante et généralement activée sur les serveurs Nextcloud.

Toutefois, si vous êtes administrateur, ou si vous souhaitez demander à l’administrateur d’activer cette fonctionnalité, elle se trouve dans Administration > Partage > Cloud Fédéré. Cochez la case :

“Autoriser les utilisateurs de ce serveur à envoyer des partages vers d’autres serveurs”

Partage fédéré Nextcloud

B - Partagez votre dossier Joplin

Faites ensuite un partage sur votre dossier de notes Joplin, et réglez les paramètres selon votre convenance. N’oubliez pas d’ajouter un mot de passe sur le partage :

Partage Nextcloud

Une fois le partage effectué, vous obtiendrez une URL du type :

https://your-nextcloud.com/s/xF4CDBt5mRCid83

Notez bien cette URL, car c’est la dernière partie (xF4CDBt5mRCid83) qui vous servira en tant que username dans l’application Joplin.

C - Connectez votre application Joplin

Dans l’application Joplin (Desktop/mobile), voici les informations à entrer :

URL WebDAV : https://your-nextcloud.com/public.php/webdav/
Nom d’utilisateur : la dernière partie de l’URL (ici : xF4CDBt5mRCid83)
Mot de passe : mot de passe du partage Nextcloud (ici : UxMb6WFMqkoQ)

Attention à l’URL de votre Nextcloud qui doit bien se terminer par /public.php/webdav.

Joplin configuration

Conclusion

Je trouve que cette méthode de connexion entre Joplin et Nextcloud est un gain de sécurité en limitant considérablement l’accès à votre compte Nextcloud (ce qui est toujours bien quand c’est possible). De plus, cette méthode va étendre les possibilités de partage des notes grâce à Nextcloud permettant ainsi de :

créer un accès par device si vous le souhaitez (en créant plusieurs liens)
créer un ou plusieurs accès “lecture seule” (partage de votre dossier Joplin à des amis ou collègues ?)
créer un accès limité dans le temps en mettant une date d’expiration

C’est donc, pour moi, le meilleur moyen d’utiliser Joplin couplé avec Nextcloud. A bientôt !