Discussion :

[bernidupont]

Bonjour,

je souhaiterais installer sur des tablettes une application Java / Hibernate ainsi qu'une base de données SQL.
Les accès à l'application et à la base de données sont protégés par mot de passe : un pour l'accès à l'application, et un autre pour l'accès à la base de données.
L'application installée sur la tablette peut aussi envoyer des mails.

Je me pose 2 questions :

1) l'application est un fichier JAR placé dans un répertoire avec d'autres fichiers de configuration, notamment un fichier db.properties qui gère les accès à la base de données (BDD). Dans ce fichier, le mot de passe de la BDD est crypté. Il est décrypté et utilisé par l'application lors de la connection à la base de données.
Savez-vous s'il est possible à un utilisateur de pouvoir récupérer le mot de passe de la base de données ainsi utilisé ? Si oui, y-a-t-il une meilleure façon de faire pour protéger l'accès ?

2) Idem pour l'envoi de mail, l'application utilise la librairie "com.sun.mail.smtp" où il est spécifié que les échanges SMTP utilise le protocole TLS, grâce à l'initialisation du paramètre "mail.smtp.starttls.enable" pour les échanges. Les identifiants du serveur de BDD (utilisateur / mot de passe) sont dans un fichier smtp.properties. Le mot de passe est crypté dans le fichier et décrypté dans l'application lors de son utilisation.
De la même façon que l'accès à la base de données, pensez-vous qu'il est possible à un utilisateur de retrouver le mot de passe échangé ?
Ou de mettre la main sur les données échangées ?

Merci pour vos réponses, qui j'en suis sûr, me feront encore avancées
Berni.

[wax78]

Salut,

1) S'il decompile le code, la ou tu stocke ta clé de décryptage (je suppute) il y'a des chances qu'il puisse decrypter le mot de passe.

2) Je dirai pareil.

[bernidupont]

Et si j'obfusque le code et que je génère un .exe à la place du .jar ?
Même si la sécurité n'est pas la meilleure au début, je souhaiterais protéger un minimum le logiciel.
Que penses-tu de cette méthode ?

[wax78]

Elle découragera certains, certainement. Mais il y'a aussi d'autres vecteurs d'attaques possible qui ne sont pas du même ordre.

[bernidupont]

Pourrais-tu m'en citer quelques-un stp ?
J'ai aussi pensé à utiliser l'UUID qui permet de rendre unique chaque machine et qui, associé à chaque utilisateur, ne rend pas le logiciel exploitable sans la base de données qui l'accompagne.
Connais-tu une ou deux astuces que je pourrais mettre en oeuvre pour renforcer la protection de la base de données ?

[bernidupont]

Pas de piste ?