IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Les dix principales erreurs commises par les développeurs en cryptographie


Sujet :

Sécurité

  1. #1
    Community Manager

    Femme Profil pro
    Étudiant
    Inscrit en
    juin 2015
    Messages
    3 514
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juin 2015
    Messages : 3 514
    Points : 9 223
    Points
    9 223
    Par défaut Les dix principales erreurs commises par les développeurs en cryptographie
    Chers membres du club,

    J'ai le plaisir de vous présenter ce tutoriel de Scott Contini pour vous apprendre les dix principales erreurs à éviter en cryptographie.

    Après avoir effectué des centaines de revues de sécurité de code auprès de sociétés allant de la petite start-up à la grande banque ou à l'opérateur majeur de télécommunications, et après avoir lu des centaines de questions ou de billets sur la sécurité, j'ai établi une liste des dix principaux problèmes de cryptographie que j'ai observés.
    Bonne lecture .

    Retrouvez les meilleurs cours et tutoriels pour apprendre la sécurité informatique
    Vous avez envie de contribuer au sein du Club Developpez.com ? Contactez-nous maintenant !
    Vous êtes passionné, vous souhaitez partager vos connaissances en informatique, vous souhaitez faire partie de la rédaction.
    Il suffit de vous porter volontaire et de nous faire part de vos envies de contributions :
    Rédaction d'articles/cours/tutoriels, Traduction, Contribution dans la FAQ, Rédaction de news, interviews et témoignages, Organisation de défis, de débats et de sondages, Relecture technique, Modération, Correction orthographique, etc.
    Vous avez d'autres propositions de contributions à nous faire ? Vous souhaitez en savoir davantage ? N'hésitez pas à nous approcher.

  2. #2
    Membre régulier
    Profil pro
    Inscrit en
    mars 2003
    Messages
    138
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2003
    Messages : 138
    Points : 120
    Points
    120
    Par défaut
    Bravo pour cet article.

    Il y a plusieurs années que je m’intéresse à la sécurité, et j'ai eu beaucoup de mal pour avoir les infos présentes dans cet article.
    J'espère que cela améliorera la sécurité des applications.

    Pour les API Java qui sont mal concue niveau sécurisé, il suffit de regarder JDBC.
    Pour stocker de façon sécurisé un mot de passe, il doit être mis dans un keystore.
    Pour ouvrir une connexion en JDBC, il faut un mot de passe, mais il doit est mis en clair, et impossible de le récupérer à partir d'un keystore.

  3. #3
    Membre émérite

    Profil pro
    Inscrit en
    mai 2008
    Messages
    1 575
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mai 2008
    Messages : 1 575
    Points : 2 438
    Points
    2 438
    Par défaut
    En matière de crypto, il y a une règle simple: ne pas écrire sa crypto soi-même pour une application en production, et utiliser des libs testées, éprouvées et faciles à utiliser. Ça tombe bien, Libsodium vient d'être auditée et a des bindings pour tous les languages ou presque. Il n'y a absolument aucune raison pour ne pas l'utiliser.

  4. #4
    Futur Membre du Club
    Homme Profil pro
    Étudiant
    Inscrit en
    septembre 2017
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : septembre 2017
    Messages : 1
    Points : 5
    Points
    5
    Par défaut
    Bonjour à tous, je crée un compte pour réagir à ce sujet ..

    Je suis étudiant en stage de fin d'étude actuellement chez un éditeur de logiciel spécialisé en identité et authentification. Je suis effaré du manque de connaissances cryptographique qu'on beaucoup de développeurs ici. Beaucoup ne font pas la différence entre une signature et un chiffrement, voir ne comprennent pas du tout la cryptographie asymétrique, et alors il n'est pas question d'essayer de leur expliquer le problème du double DES. Ce qui est inquiétant c'est qu'ils implémentent tous ces algorithmes à longueur de journée ... sans savoir de quoi ça cause.

    Alors il y a des personnes qui tiennent la baraque (heureusement), qui font les choix techniques notamment, et qui expliquent à la volée en 5 min la tâche qu'il devra réaliser, au dev en question. Le dev est pas plus avancé, il ne saura pas demain ce qu'il vient de programmer, il ne sait pas aujourd'hui pourquoi il a utilisé telle ou telle librairie, il n'a pas de recul sur son travail. Je trouve dommage qu'il n'y ait pas eu de formation (du moins sur le temps que j'ai passé ici) sur des sujets aussi centraux pour une société fournissant des solution d'authentification..

    J'ai conscience que mon cas est particulier mais il me conforte dans mon idée que peu de monde se soucie réellement de la sécurité, du respect de la vie privée, de l'intégrité des données. Alors oui on est sur une vague de prise de conscience depuis quelques mois, on voit fleurir des banderoles "Mon site est sécurisé !! Ayez confiance !!" ...mais que valent ces solutions ?

  5. #5
    Inactif  
    Homme Profil pro
    Développeur informatique
    Inscrit en
    septembre 2020
    Messages
    11
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 21
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : septembre 2020
    Messages : 11
    Points : 0
    Points
    0
    Par défaut
    La cryptographie c'est quoi au juste?

    Nous devons pour commencer, définir la cryptographie....

    La cryptographie est la science du Coding en clef PGP si mes souvenirs sont bon.

    Les emails sont cryptées en PGP, et ne peuvent seulement être lus uniquement par les participants d'une team par exemple.

    En cryptographie on crypte les données aussi pour empêcher Monsieur tout le monde d'avoir le droit de l'administrateur pour les lire.

    La cryptographie utilise différents langages héxadécimal ou en Shellcode pour pouvoir être compris en Interprétation de langage.


    Les x./ en Shellcode peuvent être traduit en langage Assembleur par des Registres ou et du langage littéraire.

    La cryptographie utilisent ce qui est très mal vu des Informaticiens, c'est à dire des Codes modifiées qui occupent Monsieur tout le monde sur Internet.

    Il faut se méfier des codeurs en cryptographie Qui grâce à du keylogging croisent souvent leur victime sur Internet.

    Il faut toujours penser à désinfecter son ordinateur et pouvoir pouquois pas prétendre à faire de l'informatique sur un réseau local.


    =======================================================================

    kayotik

  6. #6
    Membre régulier
    Avatar de denis18
    Homme Profil pro
    Développeur informatique
    Inscrit en
    décembre 2012
    Messages
    63
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Cher (Centre)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Arts - Culture

    Informations forums :
    Inscription : décembre 2012
    Messages : 63
    Points : 95
    Points
    95
    Billets dans le blog
    1
    Par défaut Une certaine forme de cryptographie ne sert à rien...
    Une certaine forme de cryptographie ne sert à rien:

    quand on ouvre un page comme celle que l'on peut recevoir dans son courriel avec une page d'invitation à jouer à un jeu de Tank par exemple.

    N'importe qui peut imiter facilement cette invite avec une copie informatique de la page de celle-ci où d'une autre.

    Puis obtenir par là même avec une simple requête PHP les identifiants de connexion email de courriel et mots de passe de n'importe quel gamin, un peut "blousé" par ce procédé.

    Consulter le site d'origine ou vérifier l'expéditeur pour plus de conformité certain caractère se prête*aussi très bien à l'imitation de faux email î dont on peut ne pas discerner*l'accent circonflexe et remplacer un expéditeur*par une chaine de caractère masque de son nom d'origine pour trompé sa perception.

    Nom : babs.png
Affichages : 219
Taille : 41,7 Ko

  7. #7
    Membre régulier
    Avatar de denis18
    Homme Profil pro
    Développeur informatique
    Inscrit en
    décembre 2012
    Messages
    63
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Cher (Centre)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Arts - Culture

    Informations forums :
    Inscription : décembre 2012
    Messages : 63
    Points : 95
    Points
    95
    Billets dans le blog
    1
    Par défaut En fait chaque développeur n'a visiblement pas les mêmes connaissances
    Citation Envoyé par sarpoon Voir le message
    Bonjour à tous, je crée un compte pour réagir à ce sujet ..

    Je suis étudiant en stage de fin d'étude actuellement chez un éditeur de logiciel spécialisé en identité et authentification. Je suis effaré du manque de connaissances cryptographique qu'on beaucoup de développeurs ici. Beaucoup ne font pas la différence entre une signature et un chiffrement, voir ne comprennent pas du tout la cryptographie asymétrique, et alors il n'est pas question d'essayer de leur expliquer le problème du double DES. Ce qui est inquiétant c'est qu'ils implémentent tous ces algorithmes à longueur de journée ... sans savoir de quoi ça cause.

    Alors il y a des personnes qui tiennent la baraque (heureusement), qui font les choix techniques notamment, et qui expliquent à la volée en 5 min la tâche qu'il devra réaliser, au dev en question. Le dev est pas plus avancé, il ne saura pas demain ce qu'il vient de programmer, il ne sait pas aujourd'hui pourquoi il a utilisé telle ou telle librairie, il n'a pas de recul sur son travail. Je trouve dommage qu'il n'y ait pas eu de formation (du moins sur le temps que j'ai passé ici) sur des sujets aussi centraux pour une société fournissant des solution d'authentification..

    J'ai conscience que mon cas est particulier mais il me conforte dans mon idée que peu de monde se soucie réellement de la sécurité, du respect de la vie privée, de l'intégrité des données. Alors oui on est sur une vague de prise de conscience depuis quelques mois, on voit fleurir des banderoles "Mon site est sécurisé !! Ayez confiance !!" ...mais que valent ces solutions ?

    En fait chaque développeur n'a visiblement pas les mêmes connaissances mais chacun peut utilisé aussi un code particulier selon sa formation qui est plus ou moins évoluée. Evidement ce niveau de compétence est différent pour chacun mais un employeur doit savoir distinguer les capacités de chacun pour les utiliser au mieux.

Discussions similaires

  1. Désactiver les pages d'erreur HTML par défaut
    Par Delprog dans le forum Zend
    Réponses: 1
    Dernier message: 13/07/2010, 10h55
  2. Repérer les types d'erreurs levées par Python
    Par rambc dans le forum Général Python
    Réponses: 14
    Dernier message: 09/10/2009, 01h04
  3. Quels sont les formats graphiques supportés nativement par les navigateurs
    Par Plopcool dans le forum Balisage (X)HTML et validation W3C
    Réponses: 1
    Dernier message: 08/03/2009, 20h17
  4. Réponses: 3
    Dernier message: 28/09/2007, 12h44
  5. Réponses: 7
    Dernier message: 24/01/2007, 17h05

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo