Discussion :

[vegas]

Bonjour,

je cherche un moyen de sécuriser le mot de passe d'accés à une BD (DB2 et oracle) qui se trouve dans un fichier config.ini utilisé par plusieurs applications.
Sachant que la méthode doit être la même pour toutes mes applications écrites en 3 languages, certaines en Delphi, d'autres en Java ou encore en .NET.

Quelle est la meilleure méthode?

Cryptage symetrique genre AES? Mais dans ce cas le code source contient la clé privé et un désassemblage du source va révéler la clé. Il y a bien des méthodes d'obfuscation, mais elles ont leur limites.

D'autre part, nos clients qui installent toutes ces applications dans leur système vont du coup utiliser tous la même clé privé.
Autant cela ne me gène pas que toutes les applis pour un même client utilisent la même clé privé, autant c'est peut etre embetant que tous mes clients utilisent la même.
Si un client trouve la clé privé, il pourra peut être pirater son concurrent (encore faudra t-il qu'il se connecte physiquement sur un des PC de son concurrent vu que ces applications sont uniquement accessibles sur intranet)
A moins bien sur ce recompiler le source pour chacun de nos clients en incluant une clé privé différente, mais c'est assez moyen...

Bref, sachant qu'il s'agit d'applications lourdes (connectées à une BD sur le serveur de l'intranet) uniquement accessibles sur un intranet, quelle stratégie de sécurité utilis(eri)ez vous concernant le stockage de ce mot de passe?

Je ne cherche pas la sécurité absolue (elle n'existe pas) juste fermer un maximum de porte.

merci pour votre aide.

Vegas

[Thomas Lebrun]

Un hash MD5 ? C'est commun au 3 langages

[vegas]

Un hash MD5 ? C'est commun au 3 langages

non je parle d'un mot de passe d'accés à la BD.
J'en fais quoi de mon mot de passe MD5?? La BD va être bien embété.

Tu confonds avec les mot de passe des users, qui eux sont bien en MD5 (une simple comparaison suffit et impossible de retrouver le mot de passe d'origine).

Une autre idée??
S'il y a des professionnels parmi vous (ou si tu en es un toi meme), comment faites vous pour sécuriser le mot de passe d'accés à la BD d'une application lourde installée chez vos clients??

Vegas

[Thomas Lebrun]

non (une simple comparaison suffit et impossible de retrouver le mot de passe d'origine).

Merci pour le cours sur le MD5 mais je connais

S'il y a des professionnels parmi vous (ou si tu en es un toi meme),

Oui, et encore heureux pour les membres de ce forum

comment faites vous pour sécuriser le mot de passe d'accés à la BD d'une application lourde installée chez vos clients??

Ton problème est particulier dans le sens où tu dois pouvoir crypter/décrypter un mot de passe dans 3 langages différents. Lorsque qu'il s'agit de crypter un MDP, j'utilise un petit algo perso de manipulation de chaînes de caractères (rien de bien compliqué) qui peut tout à fait être recoder en Java/Delphi.
L'inconvénient de cette technique (qui fonctionne cependant à 100%) est la sécurité: étant donné que c'est un algo "maison", il est forcément moins bien sécurisé que les classes fournies par le FX .NET

[vegas]

Merci pour le cours sur le MD5 mais je connais

euh, c'était plutot l'inverse. Mon but était juste de te dire qu'on se comprenait bien et que je connaissais le MD5

Lorsque qu'il s'agit de crypter un MDP, j'utilise un petit algo perso de manipulation de chaînes de caractères (rien de bien compliqué) qui peut tout à fait être recoder en Java/Delphi.

avec Java/Delphi/.NET on peut sans problème utiliser des algos trés connus et trés performants tels que DES, triple DES, AES et j'en passe.
Mais ce que je reproche à cette méthode c'est qu'il suffit de désassembler le code pour retrouver la clé privé ou la méthode de désencryption.
D'ailleurs quelle est la différence entre exposer un mot de passe en Base64encode ou de le crypter avec une clé privé qui se trouve... dans le code?
Bon d'accord le hacker doit s'y connaitre un poil plus mais bon...

Donc je cherche autre chose qu'un cryptage aussi sophistiqué soit il, une technique qui permettrait de se connecter à Oracle, DB2 sans exposer le mot de passe, ou en l'exposant mais de manière sécurisé.

n'y a t-il pas un best practice officiel la dessus??
C'est pourtant quelquechose que l'on retrouve dans 100% des applications lourdes.

une idée?

merci de ton aide

Vegas

[Thomas Lebrun]

Il n'y a pas de méthodes à 100% efficace sur ce point: si un hacker a accès au code source, il pourra toujours trouver un moyen de trouver la clé.

Tu dis toi-même:

Je ne cherche pas la sécurité absolue (elle n'existe pas) juste fermer un maximum de porte.

Je pense donc que tout é été dit