Stockage cryptographique et sécurité non sécurisés Secure Code Warrior
Les données sont l'élément vital des entreprises. Ce sont les informations fondamentales nécessaires pour survivre, gagner de l'argent et fournir des services à leurs clients. Dans cette société de plus en plus axée sur le numérique, les développeurs ont une immense responsabilité en tant que gardiens de ces précieuses informations. Lorsque les développeurs ne protègent pas les données confidentielles, l'entreprise est la proie d'un stockage cryptographique non sécurisé.
Voyons comment stocker les données en toute sécurité et ce qui peut arriver si vous ne le faites pas.
Comprendre le stockage cryptographique non sécurisé
Lorsque des pirates accèdent à un système, ils sont généralement à la recherche de données de valeur. Vous savez, le type de données qui peut être utilisé pour prendre le contrôle du compte d'une personne ou pour exécuter une autre attaque. Parfois, ce type de données est simplement vendu sur le marché noir pour de l'argent rapide.
Le stockage cryptographique non sécurisé n'est pas une vulnérabilité unique comme l'injection SQL ou le XSS. C'est la conséquence d'un manque de protection des données que vous devriez protéger, de la manière dont vous devez les protéger.
Les informations sensibles doivent être protégées. Lorsque vous stockez des mots de passe et des informations sur les cartes de crédit en clair, vous jouez à la roulette russe avec votre entreprise.
Si un pirate s'introduit dans votre base de données et vole des données à l'aide d'une injection SQL, d'une injection XML ou de toute autre attaque, il aura tout ce qu'il faut. En revanche, si vous cryptez vos données, il lui sera beaucoup plus difficile de les utiliser.
Il est important de noter que les violations ne sont pas toujours le fait d'une personne extérieure malveillante. Un initié malveillant peut également voler des données sans difficulté si elles ne sont pas cryptées. Les employés de votre entreprise n'ont pas besoin de voir tout ce qui se trouve dans la base de données, et des contrôles d'accès inadéquats ou des données sensibles exposées peuvent conduire à un vol pur et simple.
N'oubliez pas non plus que tous les cryptages ne sont pas égaux. Il est tout aussi dangereux d'utiliser les mauvais algorithmes cryptographiques que de ne pas les utiliser du tout. Les algorithmes faibles connus n'offriront que peu de résistance aux attaquants avertis.
Pourquoi le stockage cryptographique non sécurisé est-il dangereux ?
De nombreuses entreprises sont compromises par une autre vulnérabilité (telle qu'une injection SQL) et se retrouvent dans l'incapacité de dissimuler les données qui ont été volées. La situation est alors encore plus grave.
- Le site Adult Friend Finder a fait l'objet d'une intrusion qui a entraîné la fuite de 412 millions de comptes. Les mots de passe de ces comptes étaient protégés par le faible algorithme de hachage SHA-1. Les attaquants ont pu les déchiffrer facilement en l'espace d'un mois.
- Uber a fait l'objet d'une intrusion qui a entraîné la fuite de 57 millions de dossiers d'utilisateurs et de 600 000 dossiers de chauffeurs. Des informations personnelles ont été perdues. Cela s'est produit parce que le compte GitHub d'Uber contenait un référentiel contenant le nom d'utilisateur et le mot de passe du compte AWS d'Uber... ce qui n'est pas une bonne idée. L'évaluation d'Uber a chuté de 20 milliards de dollars, en grande partie à cause de cette faille.
- Le réseau PlayStation Network de Sony a fait l'objet d'une intrusion qui a entraîné la fuite de 77 millions de comptes. 12 millions de ces comptes contenaient des informations non cryptées sur les cartes de crédit. Sony a par la suite réglé une action collective de 15 millions de dollars pour cette violation.
Le fait de ne pas stocker correctement des données sensibles a des conséquences graves.
Sony a été poursuivi en justice, ce qui constitue une sanction importante. Toutefois, même si vous n'êtes pas poursuivi, les dommages causés à la réputation et à la réglementation peuvent être catastrophiques pour une entreprise.
Vaincre le stockage cryptographique non sécurisé
Comment les développeurs peuvent-ils prévenir les violations de données telles que celles mentionnées ci-dessus ?
La première étape consiste à identifier les données qui doivent être cryptées en premier lieu. Après tout, toutes les données ne sont pas égales. Classez vos données par catégories, puis utilisez le cryptage lorsque c'est nécessaire.
En général, les informations personnelles telles que les numéros de sécurité sociale, les mots de passe et les données relatives aux cartes de crédit doivent être protégées. En fonction de la nature de votre activité, vous devrez peut-être protéger les dossiers médicaux ou d'autres informations considérées comme privées.
Une fois que vous savez quelles données doivent être protégées, l'étape suivante consiste à utiliser les bons outils pour garantir leur sécurité. En général, il est bon de s'en tenir aux algorithmes cryptographiques qui ont résisté à l'épreuve du temps et sont considérés comme solides.
Quoi qu'il en soit, n'écrivez pas vos propres fonctions cryptographiques. Elles sont susceptibles de contenir des failles que les attaquants peuvent utiliser pour casser le chiffrement.
Pour crypter des données telles que des numéros de sécurité sociale ou des données de cartes de crédit, utilisez AES. Il existe différents modes de fonctionnement pour AES, le mode Galois/Compteur (GCM) étant fortement recommandé au moment de la rédaction du présent document. Un autre conseil est de s'assurer qu'aucun padding n'est utilisé pour les bibliothèques qui vous demandent de choisir un type de padding.
Pour les mots de passe, utilisez un algorithme de hachage car les hachages ne peuvent pas être inversés. Lorsqu'une valeur est fortement hachée, un pirate ne peut pas retrouver le texte original qui a créé cette valeur. Argon2 et Bcryptsont considérés comme de bons choix pour le hachage des mots de passe. N'oubliez pas de toujours "saler" le mot de passe avec une valeur aléatoire avant de le hacher afin qu'il n'y ait pas deux hachages identiques pour le même mot de passe.
Ces fonctions sont implémentées dans les principaux langages et cadres de programmation. Consultez la documentation de votre langage ou cadre spécifique pour savoir comment les utiliser efficacement.
La génération, le stockage et la gestion des clés sont des éléments importants de la cryptographie. Des clés mal gérées peuvent être exposées et utilisées pour décrypter vos données. Certains frameworks facilitent la gestion des clés, comme l'API de protection des données d'ASP.NET. Pour connaître les meilleures pratiques générales en matière de gestion des clés, consultez l'aide-mémoire de l'OWASP.
C'est en stockant vos données en toute sécurité que vous éviterez les violations de données coûteuses et embarrassantes. Dans le pire des cas, si un pirate parvient à voler vos données, il lui sera beaucoup plus difficile de les voir ou de les utiliser à des fins malveillantes.
Cachez vos données à la vue de tous
Passons rapidement en revue les moyens de protéger vos données :
- Catégorisez vos données afin de savoir ce qui doit être protégé.
- Utilisez des algorithmes puissants, validés par l'industrie, pour crypter les données sensibles.
- Stockez vos mots de passe en utilisant des hachages unidirectionnels forts.
Pour approfondir le sujet, consultez nos ressources pédagogiques. Lorsque vous serez prêt à vous lancer et à vous exercer, essayez notre plateforme dans la langue de votre choix. Nous couvrons beaucoup de choses !
Grâce à ces outils, vous pouvez empêcher le vol de vos données et éviter à votre entreprise de perdre de l'argent et de nuire à sa réputation.
Prêt à trouver et à réparer un stockage cryptographique non sécurisé dès maintenant ? Rendez-vous dans l'arène et testez vos compétences [commencer ici]
Dans cette société numérique, les développeurs sont chargés de protéger les informations et les entreprises contre le stockage cryptographique non sécurisé. Apprenez à partir de Secure Code Warrior.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationJaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Les données sont l'élément vital des entreprises. Ce sont les informations fondamentales nécessaires pour survivre, gagner de l'argent et fournir des services à leurs clients. Dans cette société de plus en plus axée sur le numérique, les développeurs ont une immense responsabilité en tant que gardiens de ces précieuses informations. Lorsque les développeurs ne protègent pas les données confidentielles, l'entreprise est la proie d'un stockage cryptographique non sécurisé.
Voyons comment stocker les données en toute sécurité et ce qui peut arriver si vous ne le faites pas.
Comprendre le stockage cryptographique non sécurisé
Lorsque des pirates accèdent à un système, ils sont généralement à la recherche de données de valeur. Vous savez, le type de données qui peut être utilisé pour prendre le contrôle du compte d'une personne ou pour exécuter une autre attaque. Parfois, ce type de données est simplement vendu sur le marché noir pour de l'argent rapide.
Le stockage cryptographique non sécurisé n'est pas une vulnérabilité unique comme l'injection SQL ou le XSS. C'est la conséquence d'un manque de protection des données que vous devriez protéger, de la manière dont vous devez les protéger.
Les informations sensibles doivent être protégées. Lorsque vous stockez des mots de passe et des informations sur les cartes de crédit en clair, vous jouez à la roulette russe avec votre entreprise.
Si un pirate s'introduit dans votre base de données et vole des données à l'aide d'une injection SQL, d'une injection XML ou de toute autre attaque, il aura tout ce qu'il faut. En revanche, si vous cryptez vos données, il lui sera beaucoup plus difficile de les utiliser.
Il est important de noter que les violations ne sont pas toujours le fait d'une personne extérieure malveillante. Un initié malveillant peut également voler des données sans difficulté si elles ne sont pas cryptées. Les employés de votre entreprise n'ont pas besoin de voir tout ce qui se trouve dans la base de données, et des contrôles d'accès inadéquats ou des données sensibles exposées peuvent conduire à un vol pur et simple.
N'oubliez pas non plus que tous les cryptages ne sont pas égaux. Il est tout aussi dangereux d'utiliser les mauvais algorithmes cryptographiques que de ne pas les utiliser du tout. Les algorithmes faibles connus n'offriront que peu de résistance aux attaquants avertis.
Pourquoi le stockage cryptographique non sécurisé est-il dangereux ?
De nombreuses entreprises sont compromises par une autre vulnérabilité (telle qu'une injection SQL) et se retrouvent dans l'incapacité de dissimuler les données qui ont été volées. La situation est alors encore plus grave.
- Le site Adult Friend Finder a fait l'objet d'une intrusion qui a entraîné la fuite de 412 millions de comptes. Les mots de passe de ces comptes étaient protégés par le faible algorithme de hachage SHA-1. Les attaquants ont pu les déchiffrer facilement en l'espace d'un mois.
- Uber a fait l'objet d'une intrusion qui a entraîné la fuite de 57 millions de dossiers d'utilisateurs et de 600 000 dossiers de chauffeurs. Des informations personnelles ont été perdues. Cela s'est produit parce que le compte GitHub d'Uber contenait un référentiel contenant le nom d'utilisateur et le mot de passe du compte AWS d'Uber... ce qui n'est pas une bonne idée. L'évaluation d'Uber a chuté de 20 milliards de dollars, en grande partie à cause de cette faille.
- Le réseau PlayStation Network de Sony a fait l'objet d'une intrusion qui a entraîné la fuite de 77 millions de comptes. 12 millions de ces comptes contenaient des informations non cryptées sur les cartes de crédit. Sony a par la suite réglé une action collective de 15 millions de dollars pour cette violation.
Le fait de ne pas stocker correctement des données sensibles a des conséquences graves.
Sony a été poursuivi en justice, ce qui constitue une sanction importante. Toutefois, même si vous n'êtes pas poursuivi, les dommages causés à la réputation et à la réglementation peuvent être catastrophiques pour une entreprise.
Vaincre le stockage cryptographique non sécurisé
Comment les développeurs peuvent-ils prévenir les violations de données telles que celles mentionnées ci-dessus ?
La première étape consiste à identifier les données qui doivent être cryptées en premier lieu. Après tout, toutes les données ne sont pas égales. Classez vos données par catégories, puis utilisez le cryptage lorsque c'est nécessaire.
En général, les informations personnelles telles que les numéros de sécurité sociale, les mots de passe et les données relatives aux cartes de crédit doivent être protégées. En fonction de la nature de votre activité, vous devrez peut-être protéger les dossiers médicaux ou d'autres informations considérées comme privées.
Une fois que vous savez quelles données doivent être protégées, l'étape suivante consiste à utiliser les bons outils pour garantir leur sécurité. En général, il est bon de s'en tenir aux algorithmes cryptographiques qui ont résisté à l'épreuve du temps et sont considérés comme solides.
Quoi qu'il en soit, n'écrivez pas vos propres fonctions cryptographiques. Elles sont susceptibles de contenir des failles que les attaquants peuvent utiliser pour casser le chiffrement.
Pour crypter des données telles que des numéros de sécurité sociale ou des données de cartes de crédit, utilisez AES. Il existe différents modes de fonctionnement pour AES, le mode Galois/Compteur (GCM) étant fortement recommandé au moment de la rédaction du présent document. Un autre conseil est de s'assurer qu'aucun padding n'est utilisé pour les bibliothèques qui vous demandent de choisir un type de padding.
Pour les mots de passe, utilisez un algorithme de hachage car les hachages ne peuvent pas être inversés. Lorsqu'une valeur est fortement hachée, un pirate ne peut pas retrouver le texte original qui a créé cette valeur. Argon2 et Bcryptsont considérés comme de bons choix pour le hachage des mots de passe. N'oubliez pas de toujours "saler" le mot de passe avec une valeur aléatoire avant de le hacher afin qu'il n'y ait pas deux hachages identiques pour le même mot de passe.
Ces fonctions sont implémentées dans les principaux langages et cadres de programmation. Consultez la documentation de votre langage ou cadre spécifique pour savoir comment les utiliser efficacement.
La génération, le stockage et la gestion des clés sont des éléments importants de la cryptographie. Des clés mal gérées peuvent être exposées et utilisées pour décrypter vos données. Certains frameworks facilitent la gestion des clés, comme l'API de protection des données d'ASP.NET. Pour connaître les meilleures pratiques générales en matière de gestion des clés, consultez l'aide-mémoire de l'OWASP.
C'est en stockant vos données en toute sécurité que vous éviterez les violations de données coûteuses et embarrassantes. Dans le pire des cas, si un pirate parvient à voler vos données, il lui sera beaucoup plus difficile de les voir ou de les utiliser à des fins malveillantes.
Cachez vos données à la vue de tous
Passons rapidement en revue les moyens de protéger vos données :
- Catégorisez vos données afin de savoir ce qui doit être protégé.
- Utilisez des algorithmes puissants, validés par l'industrie, pour crypter les données sensibles.
- Stockez vos mots de passe en utilisant des hachages unidirectionnels forts.
Pour approfondir le sujet, consultez nos ressources pédagogiques. Lorsque vous serez prêt à vous lancer et à vous exercer, essayez notre plateforme dans la langue de votre choix. Nous couvrons beaucoup de choses !
Grâce à ces outils, vous pouvez empêcher le vol de vos données et éviter à votre entreprise de perdre de l'argent et de nuire à sa réputation.
Prêt à trouver et à réparer un stockage cryptographique non sécurisé dès maintenant ? Rendez-vous dans l'arène et testez vos compétences [commencer ici]
Les données sont l'élément vital des entreprises. Ce sont les informations fondamentales nécessaires pour survivre, gagner de l'argent et fournir des services à leurs clients. Dans cette société de plus en plus axée sur le numérique, les développeurs ont une immense responsabilité en tant que gardiens de ces précieuses informations. Lorsque les développeurs ne protègent pas les données confidentielles, l'entreprise est la proie d'un stockage cryptographique non sécurisé.
Voyons comment stocker les données en toute sécurité et ce qui peut arriver si vous ne le faites pas.
Comprendre le stockage cryptographique non sécurisé
Lorsque des pirates accèdent à un système, ils sont généralement à la recherche de données de valeur. Vous savez, le type de données qui peut être utilisé pour prendre le contrôle du compte d'une personne ou pour exécuter une autre attaque. Parfois, ce type de données est simplement vendu sur le marché noir pour de l'argent rapide.
Le stockage cryptographique non sécurisé n'est pas une vulnérabilité unique comme l'injection SQL ou le XSS. C'est la conséquence d'un manque de protection des données que vous devriez protéger, de la manière dont vous devez les protéger.
Les informations sensibles doivent être protégées. Lorsque vous stockez des mots de passe et des informations sur les cartes de crédit en clair, vous jouez à la roulette russe avec votre entreprise.
Si un pirate s'introduit dans votre base de données et vole des données à l'aide d'une injection SQL, d'une injection XML ou de toute autre attaque, il aura tout ce qu'il faut. En revanche, si vous cryptez vos données, il lui sera beaucoup plus difficile de les utiliser.
Il est important de noter que les violations ne sont pas toujours le fait d'une personne extérieure malveillante. Un initié malveillant peut également voler des données sans difficulté si elles ne sont pas cryptées. Les employés de votre entreprise n'ont pas besoin de voir tout ce qui se trouve dans la base de données, et des contrôles d'accès inadéquats ou des données sensibles exposées peuvent conduire à un vol pur et simple.
N'oubliez pas non plus que tous les cryptages ne sont pas égaux. Il est tout aussi dangereux d'utiliser les mauvais algorithmes cryptographiques que de ne pas les utiliser du tout. Les algorithmes faibles connus n'offriront que peu de résistance aux attaquants avertis.
Pourquoi le stockage cryptographique non sécurisé est-il dangereux ?
De nombreuses entreprises sont compromises par une autre vulnérabilité (telle qu'une injection SQL) et se retrouvent dans l'incapacité de dissimuler les données qui ont été volées. La situation est alors encore plus grave.
- Le site Adult Friend Finder a fait l'objet d'une intrusion qui a entraîné la fuite de 412 millions de comptes. Les mots de passe de ces comptes étaient protégés par le faible algorithme de hachage SHA-1. Les attaquants ont pu les déchiffrer facilement en l'espace d'un mois.
- Uber a fait l'objet d'une intrusion qui a entraîné la fuite de 57 millions de dossiers d'utilisateurs et de 600 000 dossiers de chauffeurs. Des informations personnelles ont été perdues. Cela s'est produit parce que le compte GitHub d'Uber contenait un référentiel contenant le nom d'utilisateur et le mot de passe du compte AWS d'Uber... ce qui n'est pas une bonne idée. L'évaluation d'Uber a chuté de 20 milliards de dollars, en grande partie à cause de cette faille.
- Le réseau PlayStation Network de Sony a fait l'objet d'une intrusion qui a entraîné la fuite de 77 millions de comptes. 12 millions de ces comptes contenaient des informations non cryptées sur les cartes de crédit. Sony a par la suite réglé une action collective de 15 millions de dollars pour cette violation.
Le fait de ne pas stocker correctement des données sensibles a des conséquences graves.
Sony a été poursuivi en justice, ce qui constitue une sanction importante. Toutefois, même si vous n'êtes pas poursuivi, les dommages causés à la réputation et à la réglementation peuvent être catastrophiques pour une entreprise.
Vaincre le stockage cryptographique non sécurisé
Comment les développeurs peuvent-ils prévenir les violations de données telles que celles mentionnées ci-dessus ?
La première étape consiste à identifier les données qui doivent être cryptées en premier lieu. Après tout, toutes les données ne sont pas égales. Classez vos données par catégories, puis utilisez le cryptage lorsque c'est nécessaire.
En général, les informations personnelles telles que les numéros de sécurité sociale, les mots de passe et les données relatives aux cartes de crédit doivent être protégées. En fonction de la nature de votre activité, vous devrez peut-être protéger les dossiers médicaux ou d'autres informations considérées comme privées.
Une fois que vous savez quelles données doivent être protégées, l'étape suivante consiste à utiliser les bons outils pour garantir leur sécurité. En général, il est bon de s'en tenir aux algorithmes cryptographiques qui ont résisté à l'épreuve du temps et sont considérés comme solides.
Quoi qu'il en soit, n'écrivez pas vos propres fonctions cryptographiques. Elles sont susceptibles de contenir des failles que les attaquants peuvent utiliser pour casser le chiffrement.
Pour crypter des données telles que des numéros de sécurité sociale ou des données de cartes de crédit, utilisez AES. Il existe différents modes de fonctionnement pour AES, le mode Galois/Compteur (GCM) étant fortement recommandé au moment de la rédaction du présent document. Un autre conseil est de s'assurer qu'aucun padding n'est utilisé pour les bibliothèques qui vous demandent de choisir un type de padding.
Pour les mots de passe, utilisez un algorithme de hachage car les hachages ne peuvent pas être inversés. Lorsqu'une valeur est fortement hachée, un pirate ne peut pas retrouver le texte original qui a créé cette valeur. Argon2 et Bcryptsont considérés comme de bons choix pour le hachage des mots de passe. N'oubliez pas de toujours "saler" le mot de passe avec une valeur aléatoire avant de le hacher afin qu'il n'y ait pas deux hachages identiques pour le même mot de passe.
Ces fonctions sont implémentées dans les principaux langages et cadres de programmation. Consultez la documentation de votre langage ou cadre spécifique pour savoir comment les utiliser efficacement.
La génération, le stockage et la gestion des clés sont des éléments importants de la cryptographie. Des clés mal gérées peuvent être exposées et utilisées pour décrypter vos données. Certains frameworks facilitent la gestion des clés, comme l'API de protection des données d'ASP.NET. Pour connaître les meilleures pratiques générales en matière de gestion des clés, consultez l'aide-mémoire de l'OWASP.
C'est en stockant vos données en toute sécurité que vous éviterez les violations de données coûteuses et embarrassantes. Dans le pire des cas, si un pirate parvient à voler vos données, il lui sera beaucoup plus difficile de les voir ou de les utiliser à des fins malveillantes.
Cachez vos données à la vue de tous
Passons rapidement en revue les moyens de protéger vos données :
- Catégorisez vos données afin de savoir ce qui doit être protégé.
- Utilisez des algorithmes puissants, validés par l'industrie, pour crypter les données sensibles.
- Stockez vos mots de passe en utilisant des hachages unidirectionnels forts.
Pour approfondir le sujet, consultez nos ressources pédagogiques. Lorsque vous serez prêt à vous lancer et à vous exercer, essayez notre plateforme dans la langue de votre choix. Nous couvrons beaucoup de choses !
Grâce à ces outils, vous pouvez empêcher le vol de vos données et éviter à votre entreprise de perdre de l'argent et de nuire à sa réputation.
Prêt à trouver et à réparer un stockage cryptographique non sécurisé dès maintenant ? Rendez-vous dans l'arène et testez vos compétences [commencer ici]
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationJaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Les données sont l'élément vital des entreprises. Ce sont les informations fondamentales nécessaires pour survivre, gagner de l'argent et fournir des services à leurs clients. Dans cette société de plus en plus axée sur le numérique, les développeurs ont une immense responsabilité en tant que gardiens de ces précieuses informations. Lorsque les développeurs ne protègent pas les données confidentielles, l'entreprise est la proie d'un stockage cryptographique non sécurisé.
Voyons comment stocker les données en toute sécurité et ce qui peut arriver si vous ne le faites pas.
Comprendre le stockage cryptographique non sécurisé
Lorsque des pirates accèdent à un système, ils sont généralement à la recherche de données de valeur. Vous savez, le type de données qui peut être utilisé pour prendre le contrôle du compte d'une personne ou pour exécuter une autre attaque. Parfois, ce type de données est simplement vendu sur le marché noir pour de l'argent rapide.
Le stockage cryptographique non sécurisé n'est pas une vulnérabilité unique comme l'injection SQL ou le XSS. C'est la conséquence d'un manque de protection des données que vous devriez protéger, de la manière dont vous devez les protéger.
Les informations sensibles doivent être protégées. Lorsque vous stockez des mots de passe et des informations sur les cartes de crédit en clair, vous jouez à la roulette russe avec votre entreprise.
Si un pirate s'introduit dans votre base de données et vole des données à l'aide d'une injection SQL, d'une injection XML ou de toute autre attaque, il aura tout ce qu'il faut. En revanche, si vous cryptez vos données, il lui sera beaucoup plus difficile de les utiliser.
Il est important de noter que les violations ne sont pas toujours le fait d'une personne extérieure malveillante. Un initié malveillant peut également voler des données sans difficulté si elles ne sont pas cryptées. Les employés de votre entreprise n'ont pas besoin de voir tout ce qui se trouve dans la base de données, et des contrôles d'accès inadéquats ou des données sensibles exposées peuvent conduire à un vol pur et simple.
N'oubliez pas non plus que tous les cryptages ne sont pas égaux. Il est tout aussi dangereux d'utiliser les mauvais algorithmes cryptographiques que de ne pas les utiliser du tout. Les algorithmes faibles connus n'offriront que peu de résistance aux attaquants avertis.
Pourquoi le stockage cryptographique non sécurisé est-il dangereux ?
De nombreuses entreprises sont compromises par une autre vulnérabilité (telle qu'une injection SQL) et se retrouvent dans l'incapacité de dissimuler les données qui ont été volées. La situation est alors encore plus grave.
- Le site Adult Friend Finder a fait l'objet d'une intrusion qui a entraîné la fuite de 412 millions de comptes. Les mots de passe de ces comptes étaient protégés par le faible algorithme de hachage SHA-1. Les attaquants ont pu les déchiffrer facilement en l'espace d'un mois.
- Uber a fait l'objet d'une intrusion qui a entraîné la fuite de 57 millions de dossiers d'utilisateurs et de 600 000 dossiers de chauffeurs. Des informations personnelles ont été perdues. Cela s'est produit parce que le compte GitHub d'Uber contenait un référentiel contenant le nom d'utilisateur et le mot de passe du compte AWS d'Uber... ce qui n'est pas une bonne idée. L'évaluation d'Uber a chuté de 20 milliards de dollars, en grande partie à cause de cette faille.
- Le réseau PlayStation Network de Sony a fait l'objet d'une intrusion qui a entraîné la fuite de 77 millions de comptes. 12 millions de ces comptes contenaient des informations non cryptées sur les cartes de crédit. Sony a par la suite réglé une action collective de 15 millions de dollars pour cette violation.
Le fait de ne pas stocker correctement des données sensibles a des conséquences graves.
Sony a été poursuivi en justice, ce qui constitue une sanction importante. Toutefois, même si vous n'êtes pas poursuivi, les dommages causés à la réputation et à la réglementation peuvent être catastrophiques pour une entreprise.
Vaincre le stockage cryptographique non sécurisé
Comment les développeurs peuvent-ils prévenir les violations de données telles que celles mentionnées ci-dessus ?
La première étape consiste à identifier les données qui doivent être cryptées en premier lieu. Après tout, toutes les données ne sont pas égales. Classez vos données par catégories, puis utilisez le cryptage lorsque c'est nécessaire.
En général, les informations personnelles telles que les numéros de sécurité sociale, les mots de passe et les données relatives aux cartes de crédit doivent être protégées. En fonction de la nature de votre activité, vous devrez peut-être protéger les dossiers médicaux ou d'autres informations considérées comme privées.
Une fois que vous savez quelles données doivent être protégées, l'étape suivante consiste à utiliser les bons outils pour garantir leur sécurité. En général, il est bon de s'en tenir aux algorithmes cryptographiques qui ont résisté à l'épreuve du temps et sont considérés comme solides.
Quoi qu'il en soit, n'écrivez pas vos propres fonctions cryptographiques. Elles sont susceptibles de contenir des failles que les attaquants peuvent utiliser pour casser le chiffrement.
Pour crypter des données telles que des numéros de sécurité sociale ou des données de cartes de crédit, utilisez AES. Il existe différents modes de fonctionnement pour AES, le mode Galois/Compteur (GCM) étant fortement recommandé au moment de la rédaction du présent document. Un autre conseil est de s'assurer qu'aucun padding n'est utilisé pour les bibliothèques qui vous demandent de choisir un type de padding.
Pour les mots de passe, utilisez un algorithme de hachage car les hachages ne peuvent pas être inversés. Lorsqu'une valeur est fortement hachée, un pirate ne peut pas retrouver le texte original qui a créé cette valeur. Argon2 et Bcryptsont considérés comme de bons choix pour le hachage des mots de passe. N'oubliez pas de toujours "saler" le mot de passe avec une valeur aléatoire avant de le hacher afin qu'il n'y ait pas deux hachages identiques pour le même mot de passe.
Ces fonctions sont implémentées dans les principaux langages et cadres de programmation. Consultez la documentation de votre langage ou cadre spécifique pour savoir comment les utiliser efficacement.
La génération, le stockage et la gestion des clés sont des éléments importants de la cryptographie. Des clés mal gérées peuvent être exposées et utilisées pour décrypter vos données. Certains frameworks facilitent la gestion des clés, comme l'API de protection des données d'ASP.NET. Pour connaître les meilleures pratiques générales en matière de gestion des clés, consultez l'aide-mémoire de l'OWASP.
C'est en stockant vos données en toute sécurité que vous éviterez les violations de données coûteuses et embarrassantes. Dans le pire des cas, si un pirate parvient à voler vos données, il lui sera beaucoup plus difficile de les voir ou de les utiliser à des fins malveillantes.
Cachez vos données à la vue de tous
Passons rapidement en revue les moyens de protéger vos données :
- Catégorisez vos données afin de savoir ce qui doit être protégé.
- Utilisez des algorithmes puissants, validés par l'industrie, pour crypter les données sensibles.
- Stockez vos mots de passe en utilisant des hachages unidirectionnels forts.
Pour approfondir le sujet, consultez nos ressources pédagogiques. Lorsque vous serez prêt à vous lancer et à vous exercer, essayez notre plateforme dans la langue de votre choix. Nous couvrons beaucoup de choses !
Grâce à ces outils, vous pouvez empêcher le vol de vos données et éviter à votre entreprise de perdre de l'argent et de nuire à sa réputation.
Prêt à trouver et à réparer un stockage cryptographique non sécurisé dès maintenant ? Rendez-vous dans l'arène et testez vos compétences [commencer ici]
Table des matières
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
DigitalOcean réduit sa dette de sécurité avec Secure Code Warrior
L'utilisation par DigitalOcean de la formation Secure Code Warrior a considérablement réduit la dette de sécurité, permettant aux équipes de se concentrer davantage sur l'innovation et la productivité. L'amélioration de la sécurité a renforcé la qualité des produits et l'avantage concurrentiel de l'entreprise. À l'avenir, le score de confiance SCW les aidera à améliorer leurs pratiques de sécurité et à continuer à stimuler l'innovation.
Ressources pour vous aider à démarrer
La note de confiance révèle la valeur des initiatives d'amélioration de la sécurité par la conception
Nos recherches ont montré que la formation au code sécurisé fonctionne. Le Trust Score, qui utilise un algorithme s'appuyant sur plus de 20 millions de points de données d'apprentissage issus du travail de plus de 250 000 apprenants dans plus de 600 organisations, révèle son efficacité à réduire les vulnérabilités et la manière de rendre l'initiative encore plus efficace.
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Les avantages de l'évaluation des compétences des développeurs en matière de sécurité
L'importance croissante accordée au code sécurisé et aux principes de conception sécurisée exige que les développeurs soient formés à la cybersécurité dès le début du cycle de développement durable, et que des outils tels que le Trust Score de Secure Code Warriorles aident à mesurer et à améliorer leurs progrès.
Assurer le succès des initiatives de conception sécurisée de l'entreprise
Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données.