Discussion :

[Nono1nd]

Bonjour à tous,

Je dois créer une application android qui communiquera avec une base de données mysql sur un serveur en ligne.
J'utilise donc un webservice REST qui me renvoie du JSON.

Jusque là tous va fonctionne bien le problème c'est que je passe à ce webservice une requête sql en POST ce qui veut dire que si quelqu'un passe une requête également il pourra récupérer toutes les données qui contiennent des adresses mail par exemple. Je dois donc sécuriser ce webservice.

J'ai pensé à 2 solutions, identifier l'appareil qui envoie la requête avec un identifiant unique de l'appareil Android (Settings.Secure.ANDROID_ID). Ou alors ajouter dans le code source un mot de passe qui permettrait d'identifier l'application qui fait la requête. Seulement je ne sais pas si il est possible pour une personne mal intentionné de récupérer ce mot de passe stocké en dure dans le code.

Sinon auriez vous d'autres solutions à me proposer ? Par exemple chiffré le résultat de la requête ou je ne sais quoi ?

Merci de m'avoir lu et de m'apporter une réponse si vous pensez en avoir les compétences

[Oussapik]

Stocker un mot de passe en dur dans le code est de toute façon une mauvaise façon de faire Le mot de passe ne doit jamais être visible

Ce que tu peux faire, c'est :
- Passer ton service en HTTPS si ce n'est pas déjà fait. ça ne va pas résoudre tous tes problèmes de sécurité, mais déjà une partie.
- Authentifie tes utilisateurs. Comme cela, si un jeton d'authentification est envoyé à travers ton service, tu peux contrôler ce que l'utilisateur à le droit de voir ou non avant de lui envoyer une réponse.

[Nono1nd]

Le https n'est pas encore fait mais c'est prévu pour la suite des opérations
Sinon pour l'identification par mot de passe ce n'est pas possible, l'utilisateur n'a pas à saisir des informations pour récupérer ces données (précisé dans le cahier des charges). Mais si le mot de passe est en dur dans le code, personne ne pourra le lire si ?
Petite précision également, l'appli ne sera pas disponible sur le market.

[Oussapik]

Si le mot de passe est précisé en dur dans l'application, alors il est récupérable en décompilant le code
De plus, pour qu'un mot de passe soit un minimum sécurisé, il doit être changé "fréquemment"... Chose que tu ne pourras pas faire si tu mets le mot de passe en dur.

Donc si je résume : les données doivent être sécurisées de sorte que seuls certaines personnes aient accès à certaines données, mais il n'est pas possible de prévoir un système pour déterminer qui se connecte (principe d'authentification) ?

Si ton backend est une API, tu peux aussi prévoir que en backend, un clé d'application soit générée pour chaque client et que cette clé puisse être obtenue via un appel sur le serveur nécessitant un process de validation. Ensuite, chaque appel comprendra une référence à cette clé afin de valider que l'utilisateur à les droits. C'est un peu plus complexe à mettre en oeuvre, mais ça permettrait de sécuriser un minimum tes données.

[Nono1nd]

Le principe n'est pas réellement ca, en fait l'application ne sera pas distribué sur le store et seul quelques appareils disposeront de cette application. Et les données doivent être récupérer uniquement de ces appareils. C'est pour ca que j'avais pensé à un identifiant unique pour chaque appareil. C'est cet identifiant qui réaliserai l'authentification en fait.

[nicroman]

Oui mais cet identifiant:
1. Il faut l'obtenir (donc un code sur la bécane qui va fournir l'identifiant au webservice pour enregistrement... Cette partie là reste toujours problématique).
2. L'identifiant "Android" peut changer (le miens change à chaque remise à 0 du terminal).

[Nono1nd]

Les tablettes sur lesquelles seront installés les applications ne seront sans doute jamais remis à zéro donc je pense que c'est la manière la plus simple et la plus rapide de sécuriser le webService.
Au pire on peut pas récupérer l'adresse mac d'un appareil android ?

[nicroman]

Jamais remises à zero ? donc jamais mises à jour ?

Comme je l'ai dis, reste la transmission de cet identifiant au service ... Comment prouver qu'une personne de confiance "rajoute" cet identifiant et non un plaisantin ?

Ensuite, pour l'adresse MAC, oui on peut l'utiliser, comme on peut la modifier

[Nono1nd]

Si, les appareils pourront êtres mis à jour mais ceux ci dispose déjà du dernier android (4.4) et comme l'application a une durée de vie limité si on doit faire une mise à jour on changera les identifiants, ca ne sera pas à faire bien souvent donc ca pose pas vraiment de soucis.
Pour ajouter les identifiants dans le back office, il y aura un service d'identification, donc une personne sans le login ni mot de passe de ce service ne pourra pas ajouter d'identifiants. Ca devrait suffire à sécuriser non ?
Oui l'adresse MAC est modifiable mais dans ce cas ca voudrait dire que la personne à trouvé l'url du web services et qu'il connait l'adresse MAC d'un appareil qui se connecte sur ce web service, ce qui à tout de même peut de chance d'arriver, mais pas impossible je te l'accorde

[grunk]

Un article intéressant sur la question :
http://www.thebuzzmedia.com/designin...uthentication/

Pour résumer :
- On utilise une clé API pour identifier le client (ce que tu fait +/- avec Settings.Secure.ANDROID_ID)
- On signe la requête envoyée avec un ensemble de données (uniques) pour s'assurer que le client qui envoi au serveur est bien celui qu'il prétend être.

[Nono1nd]

Ca marche je vais faire un truc comme ca alors
Merci à vous trois !!!

[judi2h]

Un article intéressant sur la question :
http://www.thebuzzmedia.com/designin...uthentication/

Pour résumer :
- On utilise une clé API pour identifier le client (ce que tu fait +/- avec Settings.Secure.ANDROID_ID)
- On signe la requête envoyée avec un ensemble de données (uniques) pour s'assurer que le client qui envoi au serveur est bien celui qu'il prétend être.

Puis-je avoir un peu plus d'explication sur ça. merci