Les dix principales erreurs commises par les développeurs en cryptographie

Chers membres du club,

J'ai le plaisir de vous présenter ce tutoriel de Scott Contini pour vous apprendre les dix principales erreurs à éviter en cryptographie.

Citation:

---

Après avoir effectué des centaines de revues de sécurité de code auprès de sociétés allant de la petite start-up à la grande banque ou à l'opérateur majeur de télécommunications, et après avoir lu des centaines de questions ou de billets sur la sécurité, j'ai établi une liste des dix principaux problèmes de cryptographie que j'ai observés.

---

Bonne lecture ;).

:fleche: Retrouvez les meilleurs cours et tutoriels pour apprendre la sécurité informatique

Bravo pour cet article.

Il y a plusieurs années que je m’intéresse à la sécurité, et j'ai eu beaucoup de mal pour avoir les infos présentes dans cet article.
J'espère que cela améliorera la sécurité des applications.

Pour les API Java qui sont mal concue niveau sécurisé, il suffit de regarder JDBC.
Pour stocker de façon sécurisé un mot de passe, il doit être mis dans un keystore.
Pour ouvrir une connexion en JDBC, il faut un mot de passe, mais il doit est mis en clair, et impossible de le récupérer à partir d'un keystore.

En matière de crypto, il y a une règle simple: ne pas écrire sa crypto soi-même pour une application en production, et utiliser des libs testées, éprouvées et faciles à utiliser. Ça tombe bien, Libsodium vient d'être auditée et a des bindings pour tous les languages ou presque. Il n'y a absolument aucune raison pour ne pas l'utiliser.

Bonjour à tous, je crée un compte pour réagir à ce sujet ..

Je suis étudiant en stage de fin d'étude actuellement chez un éditeur de logiciel spécialisé en identité et authentification. Je suis effaré du manque de connaissances cryptographique qu'on beaucoup de développeurs ici. Beaucoup ne font pas la différence entre une signature et un chiffrement, voir ne comprennent pas du tout la cryptographie asymétrique, et alors il n'est pas question d'essayer de leur expliquer le problème du double DES. Ce qui est inquiétant c'est qu'ils implémentent tous ces algorithmes à longueur de journée ... sans savoir de quoi ça cause.

Alors il y a des personnes qui tiennent la baraque (heureusement), qui font les choix techniques notamment, et qui expliquent à la volée en 5 min la tâche qu'il devra réaliser, au dev en question. Le dev est pas plus avancé, il ne saura pas demain ce qu'il vient de programmer, il ne sait pas aujourd'hui pourquoi il a utilisé telle ou telle librairie, il n'a pas de recul sur son travail. Je trouve dommage qu'il n'y ait pas eu de formation (du moins sur le temps que j'ai passé ici) sur des sujets aussi centraux pour une société fournissant des solution d'authentification..

J'ai conscience que mon cas est particulier mais il me conforte dans mon idée que peu de monde se soucie réellement de la sécurité, du respect de la vie privée, de l'intégrité des données. Alors oui on est sur une vague de prise de conscience depuis quelques mois, on voit fleurir des banderoles "Mon site est sécurisé !! Ayez confiance !!" ...mais que valent ces solutions ?

La cryptographie c'est quoi au juste?

Nous devons pour commencer, définir la cryptographie....

La cryptographie est la science du Coding en clef PGP si mes souvenirs sont bon.

Les emails sont cryptées en PGP, et ne peuvent seulement être lus uniquement par les participants d'une team par exemple.

En cryptographie on crypte les données aussi pour empêcher Monsieur tout le monde d'avoir le droit de l'administrateur pour les lire.

La cryptographie utilise différents langages héxadécimal ou en Shellcode pour pouvoir être compris en Interprétation de langage.


Les x./ en Shellcode peuvent être traduit en langage Assembleur par des Registres ou et du langage littéraire.

La cryptographie utilisent ce qui est très mal vu des Informaticiens, c'est à dire des Codes modifiées qui occupent Monsieur tout le monde sur Internet.

Il faut se méfier des codeurs en cryptographie Qui grâce à du keylogging croisent souvent leur victime sur Internet.

Il faut toujours penser à désinfecter son ordinateur et pouvoir pouquois pas prétendre à faire de l'informatique sur un réseau local.


=======================================================================

kayotik

Une certaine forme de cryptographie ne sert à rien:

quand on ouvre un page comme celle que l'on peut recevoir dans son courriel avec une page d'invitation à jouer à un jeu de Tank par exemple.

N'importe qui peut imiter facilement cette invite avec une copie informatique de la page de celle-ci où d'une autre.

Puis obtenir par là même avec une simple requête PHP les identifiants de connexion email de courriel et mots de passe de n'importe quel gamin, un peut "blousé" par ce procédé.

Consulter le site d'origine ou vérifier l'expéditeur pour plus de conformité certain caractère se prête*aussi très bien à l'imitation de faux email î dont on peut ne pas discerner*l'accent circonflexe et remplacer un expéditeur*par une chaine de caractère masque de son nom d'origine pour trompé sa perception.

Pièce jointe 587717

Citation:

---

Envoyé par sarpoon

Bonjour à tous, je crée un compte pour réagir à ce sujet ..

Je suis étudiant en stage de fin d'étude actuellement chez un éditeur de logiciel spécialisé en identité et authentification. Je suis effaré du manque de connaissances cryptographique qu'on beaucoup de développeurs ici. Beaucoup ne font pas la différence entre une signature et un chiffrement, voir ne comprennent pas du tout la cryptographie asymétrique, et alors il n'est pas question d'essayer de leur expliquer le problème du double DES. Ce qui est inquiétant c'est qu'ils implémentent tous ces algorithmes à longueur de journée ... sans savoir de quoi ça cause.

Alors il y a des personnes qui tiennent la baraque (heureusement), qui font les choix techniques notamment, et qui expliquent à la volée en 5 min la tâche qu'il devra réaliser, au dev en question. Le dev est pas plus avancé, il ne saura pas demain ce qu'il vient de programmer, il ne sait pas aujourd'hui pourquoi il a utilisé telle ou telle librairie, il n'a pas de recul sur son travail. Je trouve dommage qu'il n'y ait pas eu de formation (du moins sur le temps que j'ai passé ici) sur des sujets aussi centraux pour une société fournissant des solution d'authentification..

J'ai conscience que mon cas est particulier mais il me conforte dans mon idée que peu de monde se soucie réellement de la sécurité, du respect de la vie privée, de l'intégrité des données. Alors oui on est sur une vague de prise de conscience depuis quelques mois, on voit fleurir des banderoles "Mon site est sécurisé !! Ayez confiance !!" ...mais que valent ces solutions ?

---

En fait chaque développeur n'a visiblement pas les mêmes connaissances mais chacun peut utilisé aussi un code particulier selon sa formation qui est plus ou moins évoluée. Evidement ce niveau de compétence est différent pour chacun mais un employeur doit savoir distinguer les capacités de chacun pour les utiliser au mieux.