Bonjour à tous,
Je développe actuellement un petit outil Java permettant de transférer automatiquement des fichiers d'un point A vers un point B.
Dans le but d'éviter que tout utilisateur ayant accès à l'application puisse envoyer des fichiers, j'ai mis en place un module d'authentification à l'Active Directory.
Principe de ce module :
L'utilisateur ouvre l'application Java déployé en local et renseigne son login/password.
Ensuite, j'utilise un "compte de service Active Directory" pour ouvrir une connexion à l'AD et vérifier que les credentials sont corrects.
Si tout est valide, l'utilisateur accède aux fonctionnalités de l'application.
Le problème :
Pour utiliser le compte de service et interroger l'Active Directory, j'ai renseigné les credentials du compte service dans un fichier de configuration externe.
Ces informations ont été crypté par mon programme mais la clé permettant de chiffrer/déchiffrer ces informations est bien visible dans le code source du projet.
Ma question :
Quelle est la meilleure solution, open source si possible, pour protéger au mieux cette clé ?
À priori je laisse toujours une trace derrière moi pour retrouver cette clé.
Précision :
- Mon programme est déployé côté client, ne contient pas de base de données.
- Protéger le dossier d'installation n'est pas une sécurité suffisante.
- j'ai déjà essayé plusieurs obfuscator comme Proguard mais ils ne masquent pas les constantes.
N'hésitez pas s'il vous manque des informations,
Je vous remercie tous d'avance pour votre aide.
Logan
Partager