Les dix principales erreurs commises par les développeurs en cryptographie
Chers membres du club,
J'ai le plaisir de vous présenter ce tutoriel de Scott Contini pour vous apprendre les dix principales erreurs à éviter en cryptographie.
Citation:
Après avoir effectué des centaines de revues de sécurité de code auprès de sociétés allant de la petite start-up à la grande banque ou à l'opérateur majeur de télécommunications, et après avoir lu des centaines de questions ou de billets sur la sécurité, j'ai établi une liste des dix principaux problèmes de cryptographie que j'ai observés.
Bonne lecture ;).
:fleche: Retrouvez les meilleurs cours et tutoriels pour apprendre la sécurité informatique
1 pièce(s) jointe(s)
Une certaine forme de cryptographie ne sert à rien...
Une certaine forme de cryptographie ne sert à rien:
quand on ouvre un page comme celle que l'on peut recevoir dans son courriel avec une page d'invitation à jouer à un jeu de Tank par exemple.
N'importe qui peut imiter facilement cette invite avec une copie informatique de la page de celle-ci où d'une autre.
Puis obtenir par là même avec une simple requête PHP les identifiants de connexion email de courriel et mots de passe de n'importe quel gamin, un peut "blousé" par ce procédé.
Consulter le site d'origine ou vérifier l'expéditeur pour plus de conformité certain caractère se prête*aussi très bien à l'imitation de faux email î dont on peut ne pas discerner*l'accent circonflexe et remplacer un expéditeur*par une chaine de caractère masque de son nom d'origine pour trompé sa perception.
Pièce jointe 587717
En fait chaque développeur n'a visiblement pas les mêmes connaissances
Citation:
Envoyé par
sarpoon
Bonjour à tous, je crée un compte pour réagir à ce sujet ..
Je suis étudiant en stage de fin d'étude actuellement chez un éditeur de logiciel spécialisé en identité et authentification. Je suis effaré du manque de connaissances cryptographique qu'on beaucoup de développeurs ici. Beaucoup ne font pas la différence entre une signature et un chiffrement, voir ne comprennent pas du tout la cryptographie asymétrique, et alors il n'est pas question d'essayer de leur expliquer le problème du double DES. Ce qui est inquiétant c'est qu'ils implémentent tous ces algorithmes à longueur de journée ... sans savoir de quoi ça cause.
Alors il y a des personnes qui tiennent la baraque (heureusement), qui font les choix techniques notamment, et qui expliquent à la volée en 5 min la tâche qu'il devra réaliser, au dev en question. Le dev est pas plus avancé, il ne saura pas demain ce qu'il vient de programmer, il ne sait pas aujourd'hui pourquoi il a utilisé telle ou telle librairie, il n'a pas de recul sur son travail. Je trouve dommage qu'il n'y ait pas eu de formation (du moins sur le temps que j'ai passé ici) sur des sujets aussi centraux pour une société fournissant des solution d'authentification..
J'ai conscience que mon cas est particulier mais il me conforte dans mon idée que peu de monde se soucie réellement de la sécurité, du respect de la vie privée, de l'intégrité des données. Alors oui on est sur une vague de prise de conscience depuis quelques mois, on voit fleurir des banderoles "Mon site est sécurisé !! Ayez confiance !!" ...mais que valent ces solutions ?
En fait chaque développeur n'a visiblement pas les mêmes connaissances mais chacun peut utilisé aussi un code particulier selon sa formation qui est plus ou moins évoluée. Evidement ce niveau de compétence est différent pour chacun mais un employeur doit savoir distinguer les capacités de chacun pour les utiliser au mieux.