Discussion :

[Vonziz]

Bonjour à tous,

Désolé si le sujet a déjà été évoqué mais il ne me semble pas car j'ai fais quelques recherches.

Je cherche un moyen (via un API) d'encrypter et de décrypter un mot de passe.

J'ai trouvé uniquement des algorithmes d'encryptage mais sans décryptage jusque là (type MD5).

Merci d'avance pour vos réponse.

[Bluedeep]

On encrypte pas un mot de passe, cela ne sert à rien : ca ne fait que repousser le problème du stockage de mot de passe vers celui du stockage de la clef.

On hash un mot de passe, on stock la valeur de hash, et quand on veut valider le mot de passe, on calcul le hash dessus et on compare avec le hash stocké.

[Vonziz]

Ce que tu décris ne répond pas du tout à mon besoin car cela compare des chaînes encryptées.

J'ai besoin d'encrypter un mot de passe pour qu'un utilisateur lambda ne puisse pas voir le mot de passe d'une connectionString Oracle stockée dans un fichier init. Il faut obligatoirement que je décrypte cette chaîne avant de faire mes traitements métier dans mon applicatif.

Merci de répondre dans le cadre de la question soulevée, ça serait vraiment sympa.

(NB : Evite les phrases du genre "On encrypte pas un mot de passe, cela ne sert à rien." sans connaître réellement le besoin de l'interlocuteur, c'est très désagréable à lire... J'apprécie cependant le fait que tu répondes au post).

[Bluedeep]

(NB : Evite les phrases du genre "On encrypte pas un mot de passe, cela ne sert à rien." sans connaître réellement le besoin de l'interlocuteur, c'est très désagréable à lire... J'apprécie cependant le fait du réponde au post).

Alors commence par réfléchier à ton stockage de clef (car que tu le veuilles ou non, tu ne fais que repousser le problème) et reviens nous voir à ce moment; sinon c'est mettre la charrue avant les boeufs.

[Vonziz]

Je ne vois pas le problème vis à vis du stockage de clé... J'ai un fichier init et il doit contenir des environnement de connexion Oracle, je dois donc avoir des mots de passe pour m'y connecter.

Je suis donc obliger dans les stocker dans un fichier init pour faciliter la configuration de l'application (pouvoir ajouter et enlever des environnements sans recompiler le projet).

J'ai simplement besoin que l'utilisateur n'ait pas la main directement sur ce mot de passe et que le mot de passe soit décrypté dans l'exe... Je ne prétend en aucun cas que cela soit optimal d'un point de vue sécurité.

[Antho42]

Je ne sais pas si ça peut t'aider mais cet article :
http://www.obviex.com/Samples/Encryption.aspx ?

[Vonziz]

Cela répond parfaitement à mon besoin Antho42, je te remercie. :-)

D'un point de vue sécurité, ça semble fiable cet algorithme ou pas? ^^

Merci encore.

[Antho42]

Aucun problème

Niveau sécurité, je ne veux pas m'avancer mais je pense que oui.
J'ai déjà fait de la crypto en Java avec les librairies Cipher disponibles dans la platerforme Java et le principe utilisé pour la clé symétrique est le même

[Vonziz]

Oui c'est le principe du colis scellé par un cadenas qui circule dans un réseau libre.

Tout le monde peut voir ce colis, peut le toucher, sait comment poser le cadenas et l'enlever mais uniquement le récepteur et le destinataire ont la clé pour l'ouvrir!

Ah quelle belle invention que l'encryptage AES... ^^

[g_tarik0010]

Je ne vois pas le problème vis à vis du stockage de clé... J'ai un fichier init et il doit contenir des environnement de connexion Oracle, je dois donc avoir des mots de passe pour m'y connecter.

Je suis donc obliger dans les stocker dans un fichier init pour faciliter la configuration de l'application (pouvoir ajouter et enlever des environnements sans recompiler le projet).

J'ai simplement besoin que l'utilisateur n'ait pas la main directement sur ce mot de passe et que le mot de passe soit décrypté dans l'exe... Je ne prétend en aucun cas que cela soit optimal d'un point de vue sécurité.

Mais sans utiliser un obfuscator sur ton exe, un utilisateur eclairé pourra facilement avoir ta clé, ainsi le cryptage n'aurais servi à rien

[StormimOn]

Mais sans utiliser un obfuscator sur ton exe, un utilisateur eclairé pourra facilement avoir ta clé, ainsi le cryptage n'aurais servi à rien

Même avec un obfuscateur le problème reste entier. L'obfuscateur ne fait que renommer les variables, classe, ... Mais une chaîne de caractères restera clairement lisible. On peut à ce moment utiliser un module en C/C++ (code non managé donc) afin de rendre la récupération de la clé plus délicate.

[Vonziz]

Je vous rejoins tout à fait sur le fait qu'un utilisateur averti pourra décompiler l'exe afin d'accéder à la clé privé de décryptage, c'est un fait.

Cependant, comme je l'ai précisé, mon objectif n'est pas de rendre mon encryptage inviolable mais de limiter l'accès direct à mon mot de passe.

Le débat reste cependant intéressant si quelqu'un a des idées de renforcement d'encryptage qui restent tout de même intéressantes d'un point de vue Temps passé / Gain en sécurité.

Dans mon cadre précis : est-il possible de se connecter à Oracle avec un mot de passe encrypté? (en lui disant, je te donne un mot de passe encrypté en MD5 via une option)

[StormimOn]

Je ne pense que cela soit possible, mais de toute façon cela ne changerait rien. Le hash du mot de passe serait visible dans le code et on retombe alors sur la même problématique qu'avec le mot de passe.