Stockage cryptographique et sécurité non sécurisés | Secure Code Warrior
Les données sont la pierre angulaire des entreprises. Ce sont les informations fondamentales nécessaires à la survie, à la rentabilité et à la fourniture de services à leurs clients. Dans cette société de plus en plus axée sur le numérique, les développeurs ont une immense responsabilité en tant que gardiens de ces précieuses informations. Lorsque les développeurs ne protègent pas les données confidentielles, l'entreprise est victime d'un stockage cryptographique non sécurisé.
Voyons comment stocker des données en toute sécurité et ce qui peut se passer si vous ne le faites pas.
Comprendre le stockage cryptographique non sécurisé
Lorsque des attaquants accèdent à un système, ils sont généralement à la recherche de données importantes. Vous savez, le type de données qui peuvent être utilisées pour prendre le contrôle du compte de quelqu'un ou pour exécuter une autre attaque. Parfois, ce type de données est simplement vendu sur le marché noir pour un paiement rapide.
Le stockage cryptographique non sécurisé n'est pas une vulnérabilité unique comme l'injection SQL ou le XSS. Cela est dû au fait que vous ne protégez pas les données que vous devriez protéger de la manière dont vous devez les protéger.
Les informations sensibles doivent être protégées. Lorsque vous stockez des mots de passe et des informations de carte de crédit en texte clair, vous jouez Roulette russe avec votre entreprise.
Si un pirate informatique s'introduit dans votre base de données et vole des données en utilisant Injection SQL, Injection XML ou toute autre attaque, ils auront tout. Cependant, si vous chiffrez vos données, ils auront beaucoup plus de mal à les utiliser réellement.
Il est important de noter que les violations ne sont pas toujours le résultat d'une personne extérieure malveillante. Un initié malhonnête peut également voler facilement des données si elles ne sont pas cryptées. Les employés de votre entreprise n'ont pas besoin de voir tout ce qui se trouve dans la base de données, et des contrôles d'accès inadéquats ou la divulgation de données sensibles peuvent entraîner un vol.
N'oubliez pas non plus que tous les chiffrements ne sont pas égaux. Il est tout aussi dangereux d'utiliser les mauvais algorithmes cryptographiques que de ne pas les utiliser du tout. Les algorithmes faibles connus n'offriront que peu de résistance aux attaquants avertis.
Pourquoi le stockage cryptographique non sécurisé est dangereux
De nombreuses entreprises sont compromises par une autre vulnérabilité (telle qu'une injection SQL) et vous vous retrouvez dans l'impossibilité de masquer les données volées. Cela ne fait qu'empirer une situation terrible.
- Adult Friend Finder a été piraté et 412 millions de comptes ont été divulgués. Les mots de passe des comptes étaient protégés par le faible algorithme de hachage SHA-1. Ils ont été facilement piratés par les attaquants en un mois.
- Uber a été piraté, divulguant 57 millions de dossiers d'utilisateurs et 600 000 dossiers de chauffeurs. Des informations personnelles ont été perdues. Cela s'est produit parce que le compte GitHub d'Uber possédait un référentiel contenant le nom d'utilisateur et le mot de passe du compte AWS d'Uber au grand jour... Pas une bonne idée. La valorisation d'Uber a chuté de 20 milliards de dollars, en grande partie à cause de cette brèche.
- Le PlayStation Network de Sony a été piraté et 77 millions de comptes ont été divulgués. 12 millions de comptes contenaient des informations de carte de crédit non cryptées. Sony a ensuite réglé un recours collectif de 15 millions de dollars pour cette violation.
Le fait de ne pas stocker correctement des données sensibles a clairement de graves conséquences.
Sony a été poursuivi en justice, ce qui représente une amende importante. Cependant, même si vous n'êtes pas poursuivi en justice, les dommages à la réputation et à la réglementation peuvent être catastrophiques pour une entreprise.
Éliminez le stockage cryptographique non sécurisé
Comment les développeurs peuvent-ils empêcher les violations de données comme celles ci-dessus de se produire ?
La première étape consiste à identifier les données qui doivent être cryptées en premier lieu. Après tout, toutes les données ne sont pas identiques. Catégorisez vos données, puis utilisez le chiffrement le cas échéant.
En général, les informations personnelles telles que les numéros de sécurité sociale, les mots de passe et les informations de carte de crédit doivent être protégées. Selon la nature de votre activité, il se peut que vous deviez protéger vos dossiers médicaux ou d'autres informations considérées comme privées.
Une fois que vous savez quelles données doivent être protégées, l'étape suivante consiste à utiliser les bons outils pour garantir leur sécurité. En général, il est préférable de s'en tenir à des algorithmes cryptographiques qui ont résisté à l'épreuve du temps et sont considérés comme puissants.
Quoi qu'il en soit, n'écrivez pas vos propres fonctions cryptographiques. Ils sont susceptibles de contenir des failles que les attaquants peuvent utiliser pour déchiffrer le chiffrement.
Pour crypter des données telles que les numéros de sécurité sociale ou les données de carte de crédit, utilisez AES. Il existe différents modes de fonctionnement pour l'AES, un mode fortement recommandé au moment de la rédaction est Mode Galois/Compteur (GCM). Une autre astuce consiste à vous assurer qu'aucun remplissage n'est utilisé pour les bibliothèques qui vous demandent de choisir un type de remplissage.
Pour les mots de passe, utilisez un algorithme de hachage pour hacher les mots de passe car les hachages ne peuvent pas être inversés. Étant donné une valeur fortement hachée, un attaquant ne peut pas récupérer le texte original qui a créé la valeur. Argon 2et Bcryptesont considérés comme de bons choix pour le hachage des mots de passe. N'oubliez pas de toujours « saler » le mot de passe avec une valeur aléatoire avant de le hacher afin qu'il n'y ait pas deux hachages identiques pour le même mot de passe.
Ces fonctions seront implémentées pour tous les principaux langages/frameworks de programmation. Consultez la documentation correspondant à votre langage ou à votre framework spécifique pour savoir comment les utiliser efficacement.
La génération, le stockage et la gestion des clés sont des composants importants de la cryptographie. Des clés mal gérées peuvent être exposées et utilisées pour déchiffrer vos données. Certains frameworks facilitent la gestion des clés, tels que API de protection des données d'ASP.NET. Pour connaître les meilleures pratiques générales en matière de gestion des clés, consultez Aide-mémoire de l'OWASP.
Le stockage sécurisé de vos données vous permet d'éviter des violations de données coûteuses et embarrassantes. Dans le pire des cas, si un attaquant parvient à voler vos données, il aura beaucoup plus de mal à les voir ou à les utiliser à des fins malveillantes.
Cachez vos données à la vue de tous
Voyons rapidement comment protéger vos données :
- Classez vos données afin de savoir ce qui nécessite une protection
- Utilisez des algorithmes robustes et approuvés par l'industrie pour chiffrer les données sensibles
- Stockez vos mots de passe à l'aide de hachages unidirectionnels puissants
Pour approfondir le sujet, consultez notre Ressources pédagogiques. Lorsque vous êtes prêt à vous lancer et à vous entraîner, essayez notre plateforme dans la langue de votre choix. Nous couvrons beaucoup de choses !
Grâce à ces outils, vous pouvez empêcher le vol de vos données et empêcher votre entreprise de perdre de l'argent et de nuire à sa réputation.
Êtes-vous prêt à détecter et à corriger le stockage cryptographique non sécurisé dès maintenant ? Dirigez-vous vers l'arène et testez vos compétences [commencez ici]
Dans cette société numérique, les développeurs ont la responsabilité de protéger les informations et les entreprises contre le stockage cryptographique non sécurisé. Apprenez auprès de Secure Code Warrior.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Les données sont la pierre angulaire des entreprises. Ce sont les informations fondamentales nécessaires à la survie, à la rentabilité et à la fourniture de services à leurs clients. Dans cette société de plus en plus axée sur le numérique, les développeurs ont une immense responsabilité en tant que gardiens de ces précieuses informations. Lorsque les développeurs ne protègent pas les données confidentielles, l'entreprise est victime d'un stockage cryptographique non sécurisé.
Voyons comment stocker des données en toute sécurité et ce qui peut se passer si vous ne le faites pas.
Comprendre le stockage cryptographique non sécurisé
Lorsque des attaquants accèdent à un système, ils sont généralement à la recherche de données importantes. Vous savez, le type de données qui peuvent être utilisées pour prendre le contrôle du compte de quelqu'un ou pour exécuter une autre attaque. Parfois, ce type de données est simplement vendu sur le marché noir pour un paiement rapide.
Le stockage cryptographique non sécurisé n'est pas une vulnérabilité unique comme l'injection SQL ou le XSS. Cela est dû au fait que vous ne protégez pas les données que vous devriez protéger de la manière dont vous devez les protéger.
Les informations sensibles doivent être protégées. Lorsque vous stockez des mots de passe et des informations de carte de crédit en texte clair, vous jouez Roulette russe avec votre entreprise.
Si un pirate informatique s'introduit dans votre base de données et vole des données en utilisant Injection SQL, Injection XML ou toute autre attaque, ils auront tout. Cependant, si vous chiffrez vos données, ils auront beaucoup plus de mal à les utiliser réellement.
Il est important de noter que les violations ne sont pas toujours le résultat d'une personne extérieure malveillante. Un initié malhonnête peut également voler facilement des données si elles ne sont pas cryptées. Les employés de votre entreprise n'ont pas besoin de voir tout ce qui se trouve dans la base de données, et des contrôles d'accès inadéquats ou la divulgation de données sensibles peuvent entraîner un vol.
N'oubliez pas non plus que tous les chiffrements ne sont pas égaux. Il est tout aussi dangereux d'utiliser les mauvais algorithmes cryptographiques que de ne pas les utiliser du tout. Les algorithmes faibles connus n'offriront que peu de résistance aux attaquants avertis.
Pourquoi le stockage cryptographique non sécurisé est dangereux
De nombreuses entreprises sont compromises par une autre vulnérabilité (telle qu'une injection SQL) et vous vous retrouvez dans l'impossibilité de masquer les données volées. Cela ne fait qu'empirer une situation terrible.
- Adult Friend Finder a été piraté et 412 millions de comptes ont été divulgués. Les mots de passe des comptes étaient protégés par le faible algorithme de hachage SHA-1. Ils ont été facilement piratés par les attaquants en un mois.
- Uber a été piraté, divulguant 57 millions de dossiers d'utilisateurs et 600 000 dossiers de chauffeurs. Des informations personnelles ont été perdues. Cela s'est produit parce que le compte GitHub d'Uber possédait un référentiel contenant le nom d'utilisateur et le mot de passe du compte AWS d'Uber au grand jour... Pas une bonne idée. La valorisation d'Uber a chuté de 20 milliards de dollars, en grande partie à cause de cette brèche.
- Le PlayStation Network de Sony a été piraté et 77 millions de comptes ont été divulgués. 12 millions de comptes contenaient des informations de carte de crédit non cryptées. Sony a ensuite réglé un recours collectif de 15 millions de dollars pour cette violation.
Le fait de ne pas stocker correctement des données sensibles a clairement de graves conséquences.
Sony a été poursuivi en justice, ce qui représente une amende importante. Cependant, même si vous n'êtes pas poursuivi en justice, les dommages à la réputation et à la réglementation peuvent être catastrophiques pour une entreprise.
Éliminez le stockage cryptographique non sécurisé
Comment les développeurs peuvent-ils empêcher les violations de données comme celles ci-dessus de se produire ?
La première étape consiste à identifier les données qui doivent être cryptées en premier lieu. Après tout, toutes les données ne sont pas identiques. Catégorisez vos données, puis utilisez le chiffrement le cas échéant.
En général, les informations personnelles telles que les numéros de sécurité sociale, les mots de passe et les informations de carte de crédit doivent être protégées. Selon la nature de votre activité, il se peut que vous deviez protéger vos dossiers médicaux ou d'autres informations considérées comme privées.
Une fois que vous savez quelles données doivent être protégées, l'étape suivante consiste à utiliser les bons outils pour garantir leur sécurité. En général, il est préférable de s'en tenir à des algorithmes cryptographiques qui ont résisté à l'épreuve du temps et sont considérés comme puissants.
Quoi qu'il en soit, n'écrivez pas vos propres fonctions cryptographiques. Ils sont susceptibles de contenir des failles que les attaquants peuvent utiliser pour déchiffrer le chiffrement.
Pour crypter des données telles que les numéros de sécurité sociale ou les données de carte de crédit, utilisez AES. Il existe différents modes de fonctionnement pour l'AES, un mode fortement recommandé au moment de la rédaction est Mode Galois/Compteur (GCM). Une autre astuce consiste à vous assurer qu'aucun remplissage n'est utilisé pour les bibliothèques qui vous demandent de choisir un type de remplissage.
Pour les mots de passe, utilisez un algorithme de hachage pour hacher les mots de passe car les hachages ne peuvent pas être inversés. Étant donné une valeur fortement hachée, un attaquant ne peut pas récupérer le texte original qui a créé la valeur. Argon 2et Bcryptesont considérés comme de bons choix pour le hachage des mots de passe. N'oubliez pas de toujours « saler » le mot de passe avec une valeur aléatoire avant de le hacher afin qu'il n'y ait pas deux hachages identiques pour le même mot de passe.
Ces fonctions seront implémentées pour tous les principaux langages/frameworks de programmation. Consultez la documentation correspondant à votre langage ou à votre framework spécifique pour savoir comment les utiliser efficacement.
La génération, le stockage et la gestion des clés sont des composants importants de la cryptographie. Des clés mal gérées peuvent être exposées et utilisées pour déchiffrer vos données. Certains frameworks facilitent la gestion des clés, tels que API de protection des données d'ASP.NET. Pour connaître les meilleures pratiques générales en matière de gestion des clés, consultez Aide-mémoire de l'OWASP.
Le stockage sécurisé de vos données vous permet d'éviter des violations de données coûteuses et embarrassantes. Dans le pire des cas, si un attaquant parvient à voler vos données, il aura beaucoup plus de mal à les voir ou à les utiliser à des fins malveillantes.
Cachez vos données à la vue de tous
Voyons rapidement comment protéger vos données :
- Classez vos données afin de savoir ce qui nécessite une protection
- Utilisez des algorithmes robustes et approuvés par l'industrie pour chiffrer les données sensibles
- Stockez vos mots de passe à l'aide de hachages unidirectionnels puissants
Pour approfondir le sujet, consultez notre Ressources pédagogiques. Lorsque vous êtes prêt à vous lancer et à vous entraîner, essayez notre plateforme dans la langue de votre choix. Nous couvrons beaucoup de choses !
Grâce à ces outils, vous pouvez empêcher le vol de vos données et empêcher votre entreprise de perdre de l'argent et de nuire à sa réputation.
Êtes-vous prêt à détecter et à corriger le stockage cryptographique non sécurisé dès maintenant ? Dirigez-vous vers l'arène et testez vos compétences [commencez ici]
Les données sont la pierre angulaire des entreprises. Ce sont les informations fondamentales nécessaires à la survie, à la rentabilité et à la fourniture de services à leurs clients. Dans cette société de plus en plus axée sur le numérique, les développeurs ont une immense responsabilité en tant que gardiens de ces précieuses informations. Lorsque les développeurs ne protègent pas les données confidentielles, l'entreprise est victime d'un stockage cryptographique non sécurisé.
Voyons comment stocker des données en toute sécurité et ce qui peut se passer si vous ne le faites pas.
Comprendre le stockage cryptographique non sécurisé
Lorsque des attaquants accèdent à un système, ils sont généralement à la recherche de données importantes. Vous savez, le type de données qui peuvent être utilisées pour prendre le contrôle du compte de quelqu'un ou pour exécuter une autre attaque. Parfois, ce type de données est simplement vendu sur le marché noir pour un paiement rapide.
Le stockage cryptographique non sécurisé n'est pas une vulnérabilité unique comme l'injection SQL ou le XSS. Cela est dû au fait que vous ne protégez pas les données que vous devriez protéger de la manière dont vous devez les protéger.
Les informations sensibles doivent être protégées. Lorsque vous stockez des mots de passe et des informations de carte de crédit en texte clair, vous jouez Roulette russe avec votre entreprise.
Si un pirate informatique s'introduit dans votre base de données et vole des données en utilisant Injection SQL, Injection XML ou toute autre attaque, ils auront tout. Cependant, si vous chiffrez vos données, ils auront beaucoup plus de mal à les utiliser réellement.
Il est important de noter que les violations ne sont pas toujours le résultat d'une personne extérieure malveillante. Un initié malhonnête peut également voler facilement des données si elles ne sont pas cryptées. Les employés de votre entreprise n'ont pas besoin de voir tout ce qui se trouve dans la base de données, et des contrôles d'accès inadéquats ou la divulgation de données sensibles peuvent entraîner un vol.
N'oubliez pas non plus que tous les chiffrements ne sont pas égaux. Il est tout aussi dangereux d'utiliser les mauvais algorithmes cryptographiques que de ne pas les utiliser du tout. Les algorithmes faibles connus n'offriront que peu de résistance aux attaquants avertis.
Pourquoi le stockage cryptographique non sécurisé est dangereux
De nombreuses entreprises sont compromises par une autre vulnérabilité (telle qu'une injection SQL) et vous vous retrouvez dans l'impossibilité de masquer les données volées. Cela ne fait qu'empirer une situation terrible.
- Adult Friend Finder a été piraté et 412 millions de comptes ont été divulgués. Les mots de passe des comptes étaient protégés par le faible algorithme de hachage SHA-1. Ils ont été facilement piratés par les attaquants en un mois.
- Uber a été piraté, divulguant 57 millions de dossiers d'utilisateurs et 600 000 dossiers de chauffeurs. Des informations personnelles ont été perdues. Cela s'est produit parce que le compte GitHub d'Uber possédait un référentiel contenant le nom d'utilisateur et le mot de passe du compte AWS d'Uber au grand jour... Pas une bonne idée. La valorisation d'Uber a chuté de 20 milliards de dollars, en grande partie à cause de cette brèche.
- Le PlayStation Network de Sony a été piraté et 77 millions de comptes ont été divulgués. 12 millions de comptes contenaient des informations de carte de crédit non cryptées. Sony a ensuite réglé un recours collectif de 15 millions de dollars pour cette violation.
Le fait de ne pas stocker correctement des données sensibles a clairement de graves conséquences.
Sony a été poursuivi en justice, ce qui représente une amende importante. Cependant, même si vous n'êtes pas poursuivi en justice, les dommages à la réputation et à la réglementation peuvent être catastrophiques pour une entreprise.
Éliminez le stockage cryptographique non sécurisé
Comment les développeurs peuvent-ils empêcher les violations de données comme celles ci-dessus de se produire ?
La première étape consiste à identifier les données qui doivent être cryptées en premier lieu. Après tout, toutes les données ne sont pas identiques. Catégorisez vos données, puis utilisez le chiffrement le cas échéant.
En général, les informations personnelles telles que les numéros de sécurité sociale, les mots de passe et les informations de carte de crédit doivent être protégées. Selon la nature de votre activité, il se peut que vous deviez protéger vos dossiers médicaux ou d'autres informations considérées comme privées.
Une fois que vous savez quelles données doivent être protégées, l'étape suivante consiste à utiliser les bons outils pour garantir leur sécurité. En général, il est préférable de s'en tenir à des algorithmes cryptographiques qui ont résisté à l'épreuve du temps et sont considérés comme puissants.
Quoi qu'il en soit, n'écrivez pas vos propres fonctions cryptographiques. Ils sont susceptibles de contenir des failles que les attaquants peuvent utiliser pour déchiffrer le chiffrement.
Pour crypter des données telles que les numéros de sécurité sociale ou les données de carte de crédit, utilisez AES. Il existe différents modes de fonctionnement pour l'AES, un mode fortement recommandé au moment de la rédaction est Mode Galois/Compteur (GCM). Une autre astuce consiste à vous assurer qu'aucun remplissage n'est utilisé pour les bibliothèques qui vous demandent de choisir un type de remplissage.
Pour les mots de passe, utilisez un algorithme de hachage pour hacher les mots de passe car les hachages ne peuvent pas être inversés. Étant donné une valeur fortement hachée, un attaquant ne peut pas récupérer le texte original qui a créé la valeur. Argon 2et Bcryptesont considérés comme de bons choix pour le hachage des mots de passe. N'oubliez pas de toujours « saler » le mot de passe avec une valeur aléatoire avant de le hacher afin qu'il n'y ait pas deux hachages identiques pour le même mot de passe.
Ces fonctions seront implémentées pour tous les principaux langages/frameworks de programmation. Consultez la documentation correspondant à votre langage ou à votre framework spécifique pour savoir comment les utiliser efficacement.
La génération, le stockage et la gestion des clés sont des composants importants de la cryptographie. Des clés mal gérées peuvent être exposées et utilisées pour déchiffrer vos données. Certains frameworks facilitent la gestion des clés, tels que API de protection des données d'ASP.NET. Pour connaître les meilleures pratiques générales en matière de gestion des clés, consultez Aide-mémoire de l'OWASP.
Le stockage sécurisé de vos données vous permet d'éviter des violations de données coûteuses et embarrassantes. Dans le pire des cas, si un attaquant parvient à voler vos données, il aura beaucoup plus de mal à les voir ou à les utiliser à des fins malveillantes.
Cachez vos données à la vue de tous
Voyons rapidement comment protéger vos données :
- Classez vos données afin de savoir ce qui nécessite une protection
- Utilisez des algorithmes robustes et approuvés par l'industrie pour chiffrer les données sensibles
- Stockez vos mots de passe à l'aide de hachages unidirectionnels puissants
Pour approfondir le sujet, consultez notre Ressources pédagogiques. Lorsque vous êtes prêt à vous lancer et à vous entraîner, essayez notre plateforme dans la langue de votre choix. Nous couvrons beaucoup de choses !
Grâce à ces outils, vous pouvez empêcher le vol de vos données et empêcher votre entreprise de perdre de l'argent et de nuire à sa réputation.
Êtes-vous prêt à détecter et à corriger le stockage cryptographique non sécurisé dès maintenant ? Dirigez-vous vers l'arène et testez vos compétences [commencez ici]
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez consulter le rapportVeuillez réserver une démonstration.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Les données sont la pierre angulaire des entreprises. Ce sont les informations fondamentales nécessaires à la survie, à la rentabilité et à la fourniture de services à leurs clients. Dans cette société de plus en plus axée sur le numérique, les développeurs ont une immense responsabilité en tant que gardiens de ces précieuses informations. Lorsque les développeurs ne protègent pas les données confidentielles, l'entreprise est victime d'un stockage cryptographique non sécurisé.
Voyons comment stocker des données en toute sécurité et ce qui peut se passer si vous ne le faites pas.
Comprendre le stockage cryptographique non sécurisé
Lorsque des attaquants accèdent à un système, ils sont généralement à la recherche de données importantes. Vous savez, le type de données qui peuvent être utilisées pour prendre le contrôle du compte de quelqu'un ou pour exécuter une autre attaque. Parfois, ce type de données est simplement vendu sur le marché noir pour un paiement rapide.
Le stockage cryptographique non sécurisé n'est pas une vulnérabilité unique comme l'injection SQL ou le XSS. Cela est dû au fait que vous ne protégez pas les données que vous devriez protéger de la manière dont vous devez les protéger.
Les informations sensibles doivent être protégées. Lorsque vous stockez des mots de passe et des informations de carte de crédit en texte clair, vous jouez Roulette russe avec votre entreprise.
Si un pirate informatique s'introduit dans votre base de données et vole des données en utilisant Injection SQL, Injection XML ou toute autre attaque, ils auront tout. Cependant, si vous chiffrez vos données, ils auront beaucoup plus de mal à les utiliser réellement.
Il est important de noter que les violations ne sont pas toujours le résultat d'une personne extérieure malveillante. Un initié malhonnête peut également voler facilement des données si elles ne sont pas cryptées. Les employés de votre entreprise n'ont pas besoin de voir tout ce qui se trouve dans la base de données, et des contrôles d'accès inadéquats ou la divulgation de données sensibles peuvent entraîner un vol.
N'oubliez pas non plus que tous les chiffrements ne sont pas égaux. Il est tout aussi dangereux d'utiliser les mauvais algorithmes cryptographiques que de ne pas les utiliser du tout. Les algorithmes faibles connus n'offriront que peu de résistance aux attaquants avertis.
Pourquoi le stockage cryptographique non sécurisé est dangereux
De nombreuses entreprises sont compromises par une autre vulnérabilité (telle qu'une injection SQL) et vous vous retrouvez dans l'impossibilité de masquer les données volées. Cela ne fait qu'empirer une situation terrible.
- Adult Friend Finder a été piraté et 412 millions de comptes ont été divulgués. Les mots de passe des comptes étaient protégés par le faible algorithme de hachage SHA-1. Ils ont été facilement piratés par les attaquants en un mois.
- Uber a été piraté, divulguant 57 millions de dossiers d'utilisateurs et 600 000 dossiers de chauffeurs. Des informations personnelles ont été perdues. Cela s'est produit parce que le compte GitHub d'Uber possédait un référentiel contenant le nom d'utilisateur et le mot de passe du compte AWS d'Uber au grand jour... Pas une bonne idée. La valorisation d'Uber a chuté de 20 milliards de dollars, en grande partie à cause de cette brèche.
- Le PlayStation Network de Sony a été piraté et 77 millions de comptes ont été divulgués. 12 millions de comptes contenaient des informations de carte de crédit non cryptées. Sony a ensuite réglé un recours collectif de 15 millions de dollars pour cette violation.
Le fait de ne pas stocker correctement des données sensibles a clairement de graves conséquences.
Sony a été poursuivi en justice, ce qui représente une amende importante. Cependant, même si vous n'êtes pas poursuivi en justice, les dommages à la réputation et à la réglementation peuvent être catastrophiques pour une entreprise.
Éliminez le stockage cryptographique non sécurisé
Comment les développeurs peuvent-ils empêcher les violations de données comme celles ci-dessus de se produire ?
La première étape consiste à identifier les données qui doivent être cryptées en premier lieu. Après tout, toutes les données ne sont pas identiques. Catégorisez vos données, puis utilisez le chiffrement le cas échéant.
En général, les informations personnelles telles que les numéros de sécurité sociale, les mots de passe et les informations de carte de crédit doivent être protégées. Selon la nature de votre activité, il se peut que vous deviez protéger vos dossiers médicaux ou d'autres informations considérées comme privées.
Une fois que vous savez quelles données doivent être protégées, l'étape suivante consiste à utiliser les bons outils pour garantir leur sécurité. En général, il est préférable de s'en tenir à des algorithmes cryptographiques qui ont résisté à l'épreuve du temps et sont considérés comme puissants.
Quoi qu'il en soit, n'écrivez pas vos propres fonctions cryptographiques. Ils sont susceptibles de contenir des failles que les attaquants peuvent utiliser pour déchiffrer le chiffrement.
Pour crypter des données telles que les numéros de sécurité sociale ou les données de carte de crédit, utilisez AES. Il existe différents modes de fonctionnement pour l'AES, un mode fortement recommandé au moment de la rédaction est Mode Galois/Compteur (GCM). Une autre astuce consiste à vous assurer qu'aucun remplissage n'est utilisé pour les bibliothèques qui vous demandent de choisir un type de remplissage.
Pour les mots de passe, utilisez un algorithme de hachage pour hacher les mots de passe car les hachages ne peuvent pas être inversés. Étant donné une valeur fortement hachée, un attaquant ne peut pas récupérer le texte original qui a créé la valeur. Argon 2et Bcryptesont considérés comme de bons choix pour le hachage des mots de passe. N'oubliez pas de toujours « saler » le mot de passe avec une valeur aléatoire avant de le hacher afin qu'il n'y ait pas deux hachages identiques pour le même mot de passe.
Ces fonctions seront implémentées pour tous les principaux langages/frameworks de programmation. Consultez la documentation correspondant à votre langage ou à votre framework spécifique pour savoir comment les utiliser efficacement.
La génération, le stockage et la gestion des clés sont des composants importants de la cryptographie. Des clés mal gérées peuvent être exposées et utilisées pour déchiffrer vos données. Certains frameworks facilitent la gestion des clés, tels que API de protection des données d'ASP.NET. Pour connaître les meilleures pratiques générales en matière de gestion des clés, consultez Aide-mémoire de l'OWASP.
Le stockage sécurisé de vos données vous permet d'éviter des violations de données coûteuses et embarrassantes. Dans le pire des cas, si un attaquant parvient à voler vos données, il aura beaucoup plus de mal à les voir ou à les utiliser à des fins malveillantes.
Cachez vos données à la vue de tous
Voyons rapidement comment protéger vos données :
- Classez vos données afin de savoir ce qui nécessite une protection
- Utilisez des algorithmes robustes et approuvés par l'industrie pour chiffrer les données sensibles
- Stockez vos mots de passe à l'aide de hachages unidirectionnels puissants
Pour approfondir le sujet, consultez notre Ressources pédagogiques. Lorsque vous êtes prêt à vous lancer et à vous entraîner, essayez notre plateforme dans la langue de votre choix. Nous couvrons beaucoup de choses !
Grâce à ces outils, vous pouvez empêcher le vol de vos données et empêcher votre entreprise de perdre de l'argent et de nuire à sa réputation.
Êtes-vous prêt à détecter et à corriger le stockage cryptographique non sécurisé dès maintenant ? Dirigez-vous vers l'arène et testez vos compétences [commencez ici]
Table des matières
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior là pour aider votre organisation à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité informatique ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Veuillez réserver une démonstration.TéléchargerRessources pour vous aider à démarrer
Thèmes et contenus de formation sur le code sécurisé
Notre contenu de pointe évolue constamment pour s'adapter à l'évolution constante du paysage du développement de logiciels tout en tenant compte de votre rôle. Des sujets couvrant tout, de l'IA à l'injection XQuery, proposés pour une variété de postes, allant des architectes aux ingénieurs en passant par les chefs de produit et l'assurance qualité. Découvrez un aperçu de ce que notre catalogue de contenu a à offrir par sujet et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour vous aider à démarrer
Cybermon est de retour : les missions Beat the Boss sont désormais disponibles sur demande.
Cybermon 2025 : Vaincre le Boss est désormais accessible toute l'année dans SCW. Mettez en œuvre des défis de sécurité avancés liés à l'IA et au LLM afin de renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès leur conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes d'ingénieurs peuvent se préparer grâce à des pratiques de sécurité dès la conception, à la prévention des vulnérabilités et au renforcement des capacités des développeurs.
Facilitateur 1 : Critères de réussite clairement définis et mesurables
Enabler 1 inaugure notre série en 10 parties intitulée « Enablers of Success » en démontrant comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'assurer la maturité à long terme des programmes.
