Discussion :

[arundel]

Bonjour à tous,
J’ai une base Access (2016) fractionnée en frontale et dorsale. Comme la dorsale contient des tables avec informations sensibles, je l’ai chiffrée avec la procédure standard figurant dans le backstage.
Voilà ce qu’il se passe :
• Je lance la frontale qui me demande le mot de passe. Normal.
• Je donne volontairement un mauvais mot de passe qui est rejeté comme non valide. Normal.
• Je sors du message d’erreur par l’option « Fin »
• Et là je m’aperçois que je peux quand même ouvrir la table liée par un double clic dans le volet de navigation affichant les objets.
J’ai donc aussi chiffré la base frontale. Même défaut ! Que le mot de passe saisi soit bon ou mauvais, on peut toujours ouvrir la table liée via le navigateur !
La solution ultime serait de masquer le navigateur ou retreindre l’affichage de la liste des tables. Mais est-ce suffisamment robuste ? Un pirate connaissant Access peut modifier l’option et démasquer les tables.
Que me conseillez-vous pour protéger les infos sensibles ?
Dans l’attente de vos suggestions.
Bien cordialement.

[marot_r]

Bonjour.

Le mot de passe est probablement codé en "dur" ET en clair dans le lien, si tu n'as rien fait c'est le comportement par défaut.

Pour vérifier exécute le code VBA suivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

debug.print currentdb.TableDefs("NomUneTableLiee").connect

Si le mot de passe est là tu vas le voir.

Je crois que pour empêcher cela il faut supprimer les liens puis les recréer et cocher "Ne pas mémoriser le mot de passe" à un moment donné.

Et non masquer le volet de navigation ne te protège pas vraiment en 5mn de recherche sur Google tu peux trouver comment le faire réapparaitre.

Une meilleur protection est de faire une restriction d'accès au fichier au niveau du répertoire ... voit avec ton admin réseau préféré pour les détails.

A+

[arundel]

Merci Marot, tes conseils sont toujours très pertinents.

1. J'ai fait le test indiqué et effectivement le mot de passe apparait en dur dans la propriété connect. Pas étonnant car dans l'établissement de la liaison j'ai renseigné le paramètre ";PWD=" & strPw où strPw contient le mot de passe saisi.

J'ai été contraint de le faire sinon je reçois le message "Erreur d'exécution 3031 - Mot de passe non valide" au moment du RefreshLink. Je n'ai pas trouvé comment interdire la mémorisation du mot de passe lors du rétablissement de la liaison. Peux-tu préciser où trouver cette option stp ?

2. Concernant l'efficacité de la protection par mot de passe j'ai trouvé sur le web cette vidéo particulièrement intéressante qui explique comment sécuriser la frontale vis-à-vis des tentatives de contournement :

3. Enfin je vais regarder comment utiliser une fonction hashage (par exemple SHA 256) d'un mot de passe en clair de 1000 caractères (à renseigner par copier/coller à partir d'un fichier texte dissimulé). Une tentative de crack par force brute risque de faire rougir le compteur Linky ...

Qu'en penses-tu ?

Bien cordialement.