Blog

Stockage cryptographique et sécurité non sécurisés Secure Code Warrior

Jaap Karan Singh
Publié le 07 mars 2019

Les données sont l'élément vital des entreprises. Ce sont les informations fondamentales nécessaires pour survivre, gagner de l'argent et fournir des services à leurs clients. Dans cette société de plus en plus axée sur le numérique, les développeurs ont une immense responsabilité en tant que gardiens de ces précieuses informations. Lorsque les développeurs ne protègent pas les données confidentielles, l'entreprise est la proie d'un stockage cryptographique non sécurisé.

Voyons comment stocker les données en toute sécurité et ce qui peut arriver si vous ne le faites pas.

Comprendre le stockage cryptographique non sécurisé

Lorsque des pirates accèdent à un système, ils sont généralement à la recherche de données de valeur. Vous savez, le type de données qui peut être utilisé pour prendre le contrôle du compte d'une personne ou pour exécuter une autre attaque. Parfois, ce type de données est simplement vendu sur le marché noir pour de l'argent rapide.

Le stockage cryptographique non sécurisé n'est pas une vulnérabilité unique comme l'injection SQL ou le XSS. C'est la conséquence d'un manque de protection des données que vous devriez protéger, de la manière dont vous devez les protéger.

Les informations sensibles doivent être protégées. Lorsque vous stockez des mots de passe et des informations sur les cartes de crédit en clair, vous jouez à la roulette russe avec votre entreprise.

Si un pirate s'introduit dans votre base de données et vole des données à l'aide d'une injection SQL, d'une injection XML ou de toute autre attaque, il aura tout ce qu'il faut. En revanche, si vous cryptez vos données, il lui sera beaucoup plus difficile de les utiliser.

Il est important de noter que les violations ne sont pas toujours le fait d'une personne extérieure malveillante. Un initié malveillant peut également voler des données sans difficulté si elles ne sont pas cryptées. Les employés de votre entreprise n'ont pas besoin de voir tout ce qui se trouve dans la base de données, et des contrôles d'accès inadéquats ou des données sensibles exposées peuvent conduire à un vol pur et simple.

N'oubliez pas non plus que tous les cryptages ne sont pas égaux. Il est tout aussi dangereux d'utiliser les mauvais algorithmes cryptographiques que de ne pas les utiliser du tout. Les algorithmes faibles connus n'offriront que peu de résistance aux attaquants avertis.

Pourquoi le stockage cryptographique non sécurisé est-il dangereux ?

De nombreuses entreprises sont compromises par une autre vulnérabilité (telle qu'une injection SQL) et se retrouvent dans l'incapacité de dissimuler les données qui ont été volées. La situation est alors encore plus grave.

  • Le site Adult Friend Finder a fait l'objet d'une intrusion qui a entraîné la fuite de 412 millions de comptes. Les mots de passe de ces comptes étaient protégés par le faible algorithme de hachage SHA-1. Les attaquants ont pu les déchiffrer facilement en l'espace d'un mois.
  • Uber a fait l'objet d'une intrusion qui a entraîné la fuite de 57 millions de dossiers d'utilisateurs et de 600 000 dossiers de chauffeurs. Des informations personnelles ont été perdues. Cela s'est produit parce que le compte GitHub d'Uber contenait un référentiel contenant le nom d'utilisateur et le mot de passe du compte AWS d'Uber... ce qui n'est pas une bonne idée. L'évaluation d'Uber a chuté de 20 milliards de dollars, en grande partie à cause de cette faille.
  • Le réseau PlayStation Network de Sony a fait l'objet d'une intrusion qui a entraîné la fuite de 77 millions de comptes. 12 millions de ces comptes contenaient des informations non cryptées sur les cartes de crédit. Sony a par la suite réglé une action collective de 15 millions de dollars pour cette violation.

Le fait de ne pas stocker correctement des données sensibles a des conséquences graves.

Sony a été poursuivi en justice, ce qui constitue une sanction importante. Toutefois, même si vous n'êtes pas poursuivi, les dommages causés à la réputation et à la réglementation peuvent être catastrophiques pour une entreprise.

Vaincre le stockage cryptographique non sécurisé

Comment les développeurs peuvent-ils prévenir les violations de données telles que celles mentionnées ci-dessus ?

La première étape consiste à identifier les données qui doivent être cryptées en premier lieu. Après tout, toutes les données ne sont pas égales. Classez vos données par catégories, puis utilisez le cryptage lorsque c'est nécessaire.

En général, les informations personnelles telles que les numéros de sécurité sociale, les mots de passe et les données relatives aux cartes de crédit doivent être protégées. En fonction de la nature de votre activité, vous devrez peut-être protéger les dossiers médicaux ou d'autres informations considérées comme privées.

Une fois que vous savez quelles données doivent être protégées, l'étape suivante consiste à utiliser les bons outils pour garantir leur sécurité. En général, il est bon de s'en tenir aux algorithmes cryptographiques qui ont résisté à l'épreuve du temps et sont considérés comme solides.

Quoi qu'il en soit, n'écrivez pas vos propres fonctions cryptographiques. Elles sont susceptibles de contenir des failles que les attaquants peuvent utiliser pour casser le chiffrement.

Pour crypter des données telles que des numéros de sécurité sociale ou des données de cartes de crédit, utilisez AES. Il existe différents modes de fonctionnement pour AES, le mode Galois/Compteur (GCM) étant fortement recommandé au moment de la rédaction du présent document. Un autre conseil est de s'assurer qu'aucun padding n'est utilisé pour les bibliothèques qui vous demandent de choisir un type de padding.

Pour les mots de passe, utilisez un algorithme de hachage car les hachages ne peuvent pas être inversés. Lorsqu'une valeur est fortement hachée, un pirate ne peut pas retrouver le texte original qui a créé cette valeur. Argon2 et Bcryptsont considérés comme de bons choix pour le hachage des mots de passe. N'oubliez pas de toujours "saler" le mot de passe avec une valeur aléatoire avant de le hacher afin qu'il n'y ait pas deux hachages identiques pour le même mot de passe.

Ces fonctions sont implémentées dans les principaux langages et cadres de programmation. Consultez la documentation de votre langage ou cadre spécifique pour savoir comment les utiliser efficacement.

La génération, le stockage et la gestion des clés sont des éléments importants de la cryptographie. Des clés mal gérées peuvent être exposées et utilisées pour décrypter vos données. Certains frameworks facilitent la gestion des clés, comme l'API de protection des données d'ASP.NET. Pour connaître les meilleures pratiques générales en matière de gestion des clés, consultez l'aide-mémoire de l'OWASP.

C'est en stockant vos données en toute sécurité que vous éviterez les violations de données coûteuses et embarrassantes. Dans le pire des cas, si un pirate parvient à voler vos données, il lui sera beaucoup plus difficile de les voir ou de les utiliser à des fins malveillantes.

Cachez vos données à la vue de tous

Passons rapidement en revue les moyens de protéger vos données :

  • Catégorisez vos données afin de savoir ce qui doit être protégé.
  • Utilisez des algorithmes puissants, validés par l'industrie, pour crypter les données sensibles.
  • Stockez vos mots de passe en utilisant des hachages unidirectionnels forts.

Pour approfondir le sujet, consultez nos ressources pédagogiques. Lorsque vous serez prêt à vous lancer et à vous exercer, essayez notre plateforme dans la langue de votre choix. Nous couvrons beaucoup de choses !

Grâce à ces outils, vous pouvez empêcher le vol de vos données et éviter à votre entreprise de perdre de l'argent et de nuire à sa réputation.

Prêt à trouver et à réparer un stockage cryptographique non sécurisé dès maintenant ? Rendez-vous dans l'arène et testez vos compétences [commencer ici]

Voir la ressource
Voir la ressource

Dans cette société numérique, les développeurs sont chargés de protéger les informations et les entreprises contre le stockage cryptographique non sécurisé. Apprenez à partir de Secure Code Warrior.

Vous souhaitez en savoir plus ?

Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstration
Partager sur :
Auteur
Jaap Karan Singh
Publié le 07 mars 2019

Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.

Partager sur :

Les données sont l'élément vital des entreprises. Ce sont les informations fondamentales nécessaires pour survivre, gagner de l'argent et fournir des services à leurs clients. Dans cette société de plus en plus axée sur le numérique, les développeurs ont une immense responsabilité en tant que gardiens de ces précieuses informations. Lorsque les développeurs ne protègent pas les données confidentielles, l'entreprise est la proie d'un stockage cryptographique non sécurisé.

Voyons comment stocker les données en toute sécurité et ce qui peut arriver si vous ne le faites pas.

Comprendre le stockage cryptographique non sécurisé

Lorsque des pirates accèdent à un système, ils sont généralement à la recherche de données de valeur. Vous savez, le type de données qui peut être utilisé pour prendre le contrôle du compte d'une personne ou pour exécuter une autre attaque. Parfois, ce type de données est simplement vendu sur le marché noir pour de l'argent rapide.

Le stockage cryptographique non sécurisé n'est pas une vulnérabilité unique comme l'injection SQL ou le XSS. C'est la conséquence d'un manque de protection des données que vous devriez protéger, de la manière dont vous devez les protéger.

Les informations sensibles doivent être protégées. Lorsque vous stockez des mots de passe et des informations sur les cartes de crédit en clair, vous jouez à la roulette russe avec votre entreprise.

Si un pirate s'introduit dans votre base de données et vole des données à l'aide d'une injection SQL, d'une injection XML ou de toute autre attaque, il aura tout ce qu'il faut. En revanche, si vous cryptez vos données, il lui sera beaucoup plus difficile de les utiliser.

Il est important de noter que les violations ne sont pas toujours le fait d'une personne extérieure malveillante. Un initié malveillant peut également voler des données sans difficulté si elles ne sont pas cryptées. Les employés de votre entreprise n'ont pas besoin de voir tout ce qui se trouve dans la base de données, et des contrôles d'accès inadéquats ou des données sensibles exposées peuvent conduire à un vol pur et simple.

N'oubliez pas non plus que tous les cryptages ne sont pas égaux. Il est tout aussi dangereux d'utiliser les mauvais algorithmes cryptographiques que de ne pas les utiliser du tout. Les algorithmes faibles connus n'offriront que peu de résistance aux attaquants avertis.

Pourquoi le stockage cryptographique non sécurisé est-il dangereux ?

De nombreuses entreprises sont compromises par une autre vulnérabilité (telle qu'une injection SQL) et se retrouvent dans l'incapacité de dissimuler les données qui ont été volées. La situation est alors encore plus grave.

  • Le site Adult Friend Finder a fait l'objet d'une intrusion qui a entraîné la fuite de 412 millions de comptes. Les mots de passe de ces comptes étaient protégés par le faible algorithme de hachage SHA-1. Les attaquants ont pu les déchiffrer facilement en l'espace d'un mois.
  • Uber a fait l'objet d'une intrusion qui a entraîné la fuite de 57 millions de dossiers d'utilisateurs et de 600 000 dossiers de chauffeurs. Des informations personnelles ont été perdues. Cela s'est produit parce que le compte GitHub d'Uber contenait un référentiel contenant le nom d'utilisateur et le mot de passe du compte AWS d'Uber... ce qui n'est pas une bonne idée. L'évaluation d'Uber a chuté de 20 milliards de dollars, en grande partie à cause de cette faille.
  • Le réseau PlayStation Network de Sony a fait l'objet d'une intrusion qui a entraîné la fuite de 77 millions de comptes. 12 millions de ces comptes contenaient des informations non cryptées sur les cartes de crédit. Sony a par la suite réglé une action collective de 15 millions de dollars pour cette violation.

Le fait de ne pas stocker correctement des données sensibles a des conséquences graves.

Sony a été poursuivi en justice, ce qui constitue une sanction importante. Toutefois, même si vous n'êtes pas poursuivi, les dommages causés à la réputation et à la réglementation peuvent être catastrophiques pour une entreprise.

Vaincre le stockage cryptographique non sécurisé

Comment les développeurs peuvent-ils prévenir les violations de données telles que celles mentionnées ci-dessus ?

La première étape consiste à identifier les données qui doivent être cryptées en premier lieu. Après tout, toutes les données ne sont pas égales. Classez vos données par catégories, puis utilisez le cryptage lorsque c'est nécessaire.

En général, les informations personnelles telles que les numéros de sécurité sociale, les mots de passe et les données relatives aux cartes de crédit doivent être protégées. En fonction de la nature de votre activité, vous devrez peut-être protéger les dossiers médicaux ou d'autres informations considérées comme privées.

Une fois que vous savez quelles données doivent être protégées, l'étape suivante consiste à utiliser les bons outils pour garantir leur sécurité. En général, il est bon de s'en tenir aux algorithmes cryptographiques qui ont résisté à l'épreuve du temps et sont considérés comme solides.

Quoi qu'il en soit, n'écrivez pas vos propres fonctions cryptographiques. Elles sont susceptibles de contenir des failles que les attaquants peuvent utiliser pour casser le chiffrement.

Pour crypter des données telles que des numéros de sécurité sociale ou des données de cartes de crédit, utilisez AES. Il existe différents modes de fonctionnement pour AES, le mode Galois/Compteur (GCM) étant fortement recommandé au moment de la rédaction du présent document. Un autre conseil est de s'assurer qu'aucun padding n'est utilisé pour les bibliothèques qui vous demandent de choisir un type de padding.

Pour les mots de passe, utilisez un algorithme de hachage car les hachages ne peuvent pas être inversés. Lorsqu'une valeur est fortement hachée, un pirate ne peut pas retrouver le texte original qui a créé cette valeur. Argon2 et Bcryptsont considérés comme de bons choix pour le hachage des mots de passe. N'oubliez pas de toujours "saler" le mot de passe avec une valeur aléatoire avant de le hacher afin qu'il n'y ait pas deux hachages identiques pour le même mot de passe.

Ces fonctions sont implémentées dans les principaux langages et cadres de programmation. Consultez la documentation de votre langage ou cadre spécifique pour savoir comment les utiliser efficacement.

La génération, le stockage et la gestion des clés sont des éléments importants de la cryptographie. Des clés mal gérées peuvent être exposées et utilisées pour décrypter vos données. Certains frameworks facilitent la gestion des clés, comme l'API de protection des données d'ASP.NET. Pour connaître les meilleures pratiques générales en matière de gestion des clés, consultez l'aide-mémoire de l'OWASP.

C'est en stockant vos données en toute sécurité que vous éviterez les violations de données coûteuses et embarrassantes. Dans le pire des cas, si un pirate parvient à voler vos données, il lui sera beaucoup plus difficile de les voir ou de les utiliser à des fins malveillantes.

Cachez vos données à la vue de tous

Passons rapidement en revue les moyens de protéger vos données :

  • Catégorisez vos données afin de savoir ce qui doit être protégé.
  • Utilisez des algorithmes puissants, validés par l'industrie, pour crypter les données sensibles.
  • Stockez vos mots de passe en utilisant des hachages unidirectionnels forts.

Pour approfondir le sujet, consultez nos ressources pédagogiques. Lorsque vous serez prêt à vous lancer et à vous exercer, essayez notre plateforme dans la langue de votre choix. Nous couvrons beaucoup de choses !

Grâce à ces outils, vous pouvez empêcher le vol de vos données et éviter à votre entreprise de perdre de l'argent et de nuire à sa réputation.

Prêt à trouver et à réparer un stockage cryptographique non sécurisé dès maintenant ? Rendez-vous dans l'arène et testez vos compétences [commencer ici]

Voir la ressource
Voir la ressource

Remplissez le formulaire ci-dessous pour télécharger le rapport

Nous aimerions que vous nous autorisiez à vous envoyer des informations sur nos produits et/ou sur des sujets liés au codage sécurisé. Nous traiterons toujours vos données personnelles avec le plus grand soin et ne les vendrons jamais à d'autres entreprises à des fins de marketing.

Soumettre
Pour soumettre le formulaire, veuillez activer les cookies "Analytics". N'hésitez pas à les désactiver à nouveau une fois que vous aurez terminé.

Les données sont l'élément vital des entreprises. Ce sont les informations fondamentales nécessaires pour survivre, gagner de l'argent et fournir des services à leurs clients. Dans cette société de plus en plus axée sur le numérique, les développeurs ont une immense responsabilité en tant que gardiens de ces précieuses informations. Lorsque les développeurs ne protègent pas les données confidentielles, l'entreprise est la proie d'un stockage cryptographique non sécurisé.

Voyons comment stocker les données en toute sécurité et ce qui peut arriver si vous ne le faites pas.

Comprendre le stockage cryptographique non sécurisé

Lorsque des pirates accèdent à un système, ils sont généralement à la recherche de données de valeur. Vous savez, le type de données qui peut être utilisé pour prendre le contrôle du compte d'une personne ou pour exécuter une autre attaque. Parfois, ce type de données est simplement vendu sur le marché noir pour de l'argent rapide.

Le stockage cryptographique non sécurisé n'est pas une vulnérabilité unique comme l'injection SQL ou le XSS. C'est la conséquence d'un manque de protection des données que vous devriez protéger, de la manière dont vous devez les protéger.

Les informations sensibles doivent être protégées. Lorsque vous stockez des mots de passe et des informations sur les cartes de crédit en clair, vous jouez à la roulette russe avec votre entreprise.

Si un pirate s'introduit dans votre base de données et vole des données à l'aide d'une injection SQL, d'une injection XML ou de toute autre attaque, il aura tout ce qu'il faut. En revanche, si vous cryptez vos données, il lui sera beaucoup plus difficile de les utiliser.

Il est important de noter que les violations ne sont pas toujours le fait d'une personne extérieure malveillante. Un initié malveillant peut également voler des données sans difficulté si elles ne sont pas cryptées. Les employés de votre entreprise n'ont pas besoin de voir tout ce qui se trouve dans la base de données, et des contrôles d'accès inadéquats ou des données sensibles exposées peuvent conduire à un vol pur et simple.

N'oubliez pas non plus que tous les cryptages ne sont pas égaux. Il est tout aussi dangereux d'utiliser les mauvais algorithmes cryptographiques que de ne pas les utiliser du tout. Les algorithmes faibles connus n'offriront que peu de résistance aux attaquants avertis.

Pourquoi le stockage cryptographique non sécurisé est-il dangereux ?

De nombreuses entreprises sont compromises par une autre vulnérabilité (telle qu'une injection SQL) et se retrouvent dans l'incapacité de dissimuler les données qui ont été volées. La situation est alors encore plus grave.

  • Le site Adult Friend Finder a fait l'objet d'une intrusion qui a entraîné la fuite de 412 millions de comptes. Les mots de passe de ces comptes étaient protégés par le faible algorithme de hachage SHA-1. Les attaquants ont pu les déchiffrer facilement en l'espace d'un mois.
  • Uber a fait l'objet d'une intrusion qui a entraîné la fuite de 57 millions de dossiers d'utilisateurs et de 600 000 dossiers de chauffeurs. Des informations personnelles ont été perdues. Cela s'est produit parce que le compte GitHub d'Uber contenait un référentiel contenant le nom d'utilisateur et le mot de passe du compte AWS d'Uber... ce qui n'est pas une bonne idée. L'évaluation d'Uber a chuté de 20 milliards de dollars, en grande partie à cause de cette faille.
  • Le réseau PlayStation Network de Sony a fait l'objet d'une intrusion qui a entraîné la fuite de 77 millions de comptes. 12 millions de ces comptes contenaient des informations non cryptées sur les cartes de crédit. Sony a par la suite réglé une action collective de 15 millions de dollars pour cette violation.

Le fait de ne pas stocker correctement des données sensibles a des conséquences graves.

Sony a été poursuivi en justice, ce qui constitue une sanction importante. Toutefois, même si vous n'êtes pas poursuivi, les dommages causés à la réputation et à la réglementation peuvent être catastrophiques pour une entreprise.

Vaincre le stockage cryptographique non sécurisé

Comment les développeurs peuvent-ils prévenir les violations de données telles que celles mentionnées ci-dessus ?

La première étape consiste à identifier les données qui doivent être cryptées en premier lieu. Après tout, toutes les données ne sont pas égales. Classez vos données par catégories, puis utilisez le cryptage lorsque c'est nécessaire.

En général, les informations personnelles telles que les numéros de sécurité sociale, les mots de passe et les données relatives aux cartes de crédit doivent être protégées. En fonction de la nature de votre activité, vous devrez peut-être protéger les dossiers médicaux ou d'autres informations considérées comme privées.

Une fois que vous savez quelles données doivent être protégées, l'étape suivante consiste à utiliser les bons outils pour garantir leur sécurité. En général, il est bon de s'en tenir aux algorithmes cryptographiques qui ont résisté à l'épreuve du temps et sont considérés comme solides.

Quoi qu'il en soit, n'écrivez pas vos propres fonctions cryptographiques. Elles sont susceptibles de contenir des failles que les attaquants peuvent utiliser pour casser le chiffrement.

Pour crypter des données telles que des numéros de sécurité sociale ou des données de cartes de crédit, utilisez AES. Il existe différents modes de fonctionnement pour AES, le mode Galois/Compteur (GCM) étant fortement recommandé au moment de la rédaction du présent document. Un autre conseil est de s'assurer qu'aucun padding n'est utilisé pour les bibliothèques qui vous demandent de choisir un type de padding.

Pour les mots de passe, utilisez un algorithme de hachage car les hachages ne peuvent pas être inversés. Lorsqu'une valeur est fortement hachée, un pirate ne peut pas retrouver le texte original qui a créé cette valeur. Argon2 et Bcryptsont considérés comme de bons choix pour le hachage des mots de passe. N'oubliez pas de toujours "saler" le mot de passe avec une valeur aléatoire avant de le hacher afin qu'il n'y ait pas deux hachages identiques pour le même mot de passe.

Ces fonctions sont implémentées dans les principaux langages et cadres de programmation. Consultez la documentation de votre langage ou cadre spécifique pour savoir comment les utiliser efficacement.

La génération, le stockage et la gestion des clés sont des éléments importants de la cryptographie. Des clés mal gérées peuvent être exposées et utilisées pour décrypter vos données. Certains frameworks facilitent la gestion des clés, comme l'API de protection des données d'ASP.NET. Pour connaître les meilleures pratiques générales en matière de gestion des clés, consultez l'aide-mémoire de l'OWASP.

C'est en stockant vos données en toute sécurité que vous éviterez les violations de données coûteuses et embarrassantes. Dans le pire des cas, si un pirate parvient à voler vos données, il lui sera beaucoup plus difficile de les voir ou de les utiliser à des fins malveillantes.

Cachez vos données à la vue de tous

Passons rapidement en revue les moyens de protéger vos données :

  • Catégorisez vos données afin de savoir ce qui doit être protégé.
  • Utilisez des algorithmes puissants, validés par l'industrie, pour crypter les données sensibles.
  • Stockez vos mots de passe en utilisant des hachages unidirectionnels forts.

Pour approfondir le sujet, consultez nos ressources pédagogiques. Lorsque vous serez prêt à vous lancer et à vous exercer, essayez notre plateforme dans la langue de votre choix. Nous couvrons beaucoup de choses !

Grâce à ces outils, vous pouvez empêcher le vol de vos données et éviter à votre entreprise de perdre de l'argent et de nuire à sa réputation.

Prêt à trouver et à réparer un stockage cryptographique non sécurisé dès maintenant ? Rendez-vous dans l'arène et testez vos compétences [commencer ici]

Accès aux ressources

Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Voir le rapportRéservez une démonstration
Partager sur :
Vous souhaitez en savoir plus ?

Partager sur :
Auteur
Jaap Karan Singh
Publié le 07 mars 2019

Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.

Partager sur :

Les données sont l'élément vital des entreprises. Ce sont les informations fondamentales nécessaires pour survivre, gagner de l'argent et fournir des services à leurs clients. Dans cette société de plus en plus axée sur le numérique, les développeurs ont une immense responsabilité en tant que gardiens de ces précieuses informations. Lorsque les développeurs ne protègent pas les données confidentielles, l'entreprise est la proie d'un stockage cryptographique non sécurisé.

Voyons comment stocker les données en toute sécurité et ce qui peut arriver si vous ne le faites pas.

Comprendre le stockage cryptographique non sécurisé

Lorsque des pirates accèdent à un système, ils sont généralement à la recherche de données de valeur. Vous savez, le type de données qui peut être utilisé pour prendre le contrôle du compte d'une personne ou pour exécuter une autre attaque. Parfois, ce type de données est simplement vendu sur le marché noir pour de l'argent rapide.

Le stockage cryptographique non sécurisé n'est pas une vulnérabilité unique comme l'injection SQL ou le XSS. C'est la conséquence d'un manque de protection des données que vous devriez protéger, de la manière dont vous devez les protéger.

Les informations sensibles doivent être protégées. Lorsque vous stockez des mots de passe et des informations sur les cartes de crédit en clair, vous jouez à la roulette russe avec votre entreprise.

Si un pirate s'introduit dans votre base de données et vole des données à l'aide d'une injection SQL, d'une injection XML ou de toute autre attaque, il aura tout ce qu'il faut. En revanche, si vous cryptez vos données, il lui sera beaucoup plus difficile de les utiliser.

Il est important de noter que les violations ne sont pas toujours le fait d'une personne extérieure malveillante. Un initié malveillant peut également voler des données sans difficulté si elles ne sont pas cryptées. Les employés de votre entreprise n'ont pas besoin de voir tout ce qui se trouve dans la base de données, et des contrôles d'accès inadéquats ou des données sensibles exposées peuvent conduire à un vol pur et simple.

N'oubliez pas non plus que tous les cryptages ne sont pas égaux. Il est tout aussi dangereux d'utiliser les mauvais algorithmes cryptographiques que de ne pas les utiliser du tout. Les algorithmes faibles connus n'offriront que peu de résistance aux attaquants avertis.

Pourquoi le stockage cryptographique non sécurisé est-il dangereux ?

De nombreuses entreprises sont compromises par une autre vulnérabilité (telle qu'une injection SQL) et se retrouvent dans l'incapacité de dissimuler les données qui ont été volées. La situation est alors encore plus grave.

  • Le site Adult Friend Finder a fait l'objet d'une intrusion qui a entraîné la fuite de 412 millions de comptes. Les mots de passe de ces comptes étaient protégés par le faible algorithme de hachage SHA-1. Les attaquants ont pu les déchiffrer facilement en l'espace d'un mois.
  • Uber a fait l'objet d'une intrusion qui a entraîné la fuite de 57 millions de dossiers d'utilisateurs et de 600 000 dossiers de chauffeurs. Des informations personnelles ont été perdues. Cela s'est produit parce que le compte GitHub d'Uber contenait un référentiel contenant le nom d'utilisateur et le mot de passe du compte AWS d'Uber... ce qui n'est pas une bonne idée. L'évaluation d'Uber a chuté de 20 milliards de dollars, en grande partie à cause de cette faille.
  • Le réseau PlayStation Network de Sony a fait l'objet d'une intrusion qui a entraîné la fuite de 77 millions de comptes. 12 millions de ces comptes contenaient des informations non cryptées sur les cartes de crédit. Sony a par la suite réglé une action collective de 15 millions de dollars pour cette violation.

Le fait de ne pas stocker correctement des données sensibles a des conséquences graves.

Sony a été poursuivi en justice, ce qui constitue une sanction importante. Toutefois, même si vous n'êtes pas poursuivi, les dommages causés à la réputation et à la réglementation peuvent être catastrophiques pour une entreprise.

Vaincre le stockage cryptographique non sécurisé

Comment les développeurs peuvent-ils prévenir les violations de données telles que celles mentionnées ci-dessus ?

La première étape consiste à identifier les données qui doivent être cryptées en premier lieu. Après tout, toutes les données ne sont pas égales. Classez vos données par catégories, puis utilisez le cryptage lorsque c'est nécessaire.

En général, les informations personnelles telles que les numéros de sécurité sociale, les mots de passe et les données relatives aux cartes de crédit doivent être protégées. En fonction de la nature de votre activité, vous devrez peut-être protéger les dossiers médicaux ou d'autres informations considérées comme privées.

Une fois que vous savez quelles données doivent être protégées, l'étape suivante consiste à utiliser les bons outils pour garantir leur sécurité. En général, il est bon de s'en tenir aux algorithmes cryptographiques qui ont résisté à l'épreuve du temps et sont considérés comme solides.

Quoi qu'il en soit, n'écrivez pas vos propres fonctions cryptographiques. Elles sont susceptibles de contenir des failles que les attaquants peuvent utiliser pour casser le chiffrement.

Pour crypter des données telles que des numéros de sécurité sociale ou des données de cartes de crédit, utilisez AES. Il existe différents modes de fonctionnement pour AES, le mode Galois/Compteur (GCM) étant fortement recommandé au moment de la rédaction du présent document. Un autre conseil est de s'assurer qu'aucun padding n'est utilisé pour les bibliothèques qui vous demandent de choisir un type de padding.

Pour les mots de passe, utilisez un algorithme de hachage car les hachages ne peuvent pas être inversés. Lorsqu'une valeur est fortement hachée, un pirate ne peut pas retrouver le texte original qui a créé cette valeur. Argon2 et Bcryptsont considérés comme de bons choix pour le hachage des mots de passe. N'oubliez pas de toujours "saler" le mot de passe avec une valeur aléatoire avant de le hacher afin qu'il n'y ait pas deux hachages identiques pour le même mot de passe.

Ces fonctions sont implémentées dans les principaux langages et cadres de programmation. Consultez la documentation de votre langage ou cadre spécifique pour savoir comment les utiliser efficacement.

La génération, le stockage et la gestion des clés sont des éléments importants de la cryptographie. Des clés mal gérées peuvent être exposées et utilisées pour décrypter vos données. Certains frameworks facilitent la gestion des clés, comme l'API de protection des données d'ASP.NET. Pour connaître les meilleures pratiques générales en matière de gestion des clés, consultez l'aide-mémoire de l'OWASP.

C'est en stockant vos données en toute sécurité que vous éviterez les violations de données coûteuses et embarrassantes. Dans le pire des cas, si un pirate parvient à voler vos données, il lui sera beaucoup plus difficile de les voir ou de les utiliser à des fins malveillantes.

Cachez vos données à la vue de tous

Passons rapidement en revue les moyens de protéger vos données :

  • Catégorisez vos données afin de savoir ce qui doit être protégé.
  • Utilisez des algorithmes puissants, validés par l'industrie, pour crypter les données sensibles.
  • Stockez vos mots de passe en utilisant des hachages unidirectionnels forts.

Pour approfondir le sujet, consultez nos ressources pédagogiques. Lorsque vous serez prêt à vous lancer et à vous exercer, essayez notre plateforme dans la langue de votre choix. Nous couvrons beaucoup de choses !

Grâce à ces outils, vous pouvez empêcher le vol de vos données et éviter à votre entreprise de perdre de l'argent et de nuire à sa réputation.

Prêt à trouver et à réparer un stockage cryptographique non sécurisé dès maintenant ? Rendez-vous dans l'arène et testez vos compétences [commencer ici]

Table des matières

Voir la ressource
Vous souhaitez en savoir plus ?

Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstrationTélécharger
Partager sur :
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles