Stockage cryptographique et sécurité non sécurisés | Secure Code Warrior
Les données sont la pierre angulaire des entreprises. Ce sont les informations fondamentales nécessaires à la survie, à la rentabilité et à la fourniture de services à leurs clients. Dans cette société de plus en plus axée sur le numérique, les développeurs ont une immense responsabilité en tant que gardiens de ces précieuses informations. Lorsque les développeurs ne protègent pas les données confidentielles, l'entreprise est victime d'un stockage cryptographique non sécurisé.
Voyons comment stocker des données en toute sécurité et ce qui peut se passer si vous ne le faites pas.
Comprendre le stockage cryptographique non sécurisé
Lorsque des attaquants accèdent à un système, ils sont généralement à la recherche de données importantes. Vous savez, le type de données qui peuvent être utilisées pour prendre le contrôle du compte de quelqu'un ou pour exécuter une autre attaque. Parfois, ce type de données est simplement vendu sur le marché noir pour un paiement rapide.
Le stockage cryptographique non sécurisé n'est pas une vulnérabilité unique comme l'injection SQL ou le XSS. Cela est dû au fait que vous ne protégez pas les données que vous devriez protéger de la manière dont vous devez les protéger.
Les informations sensibles doivent être protégées. Lorsque vous stockez des mots de passe et des informations de carte de crédit en texte clair, vous jouez Roulette russe avec votre entreprise.
Si un pirate informatique s'introduit dans votre base de données et vole des données en utilisant Injection SQL, Injection XML ou toute autre attaque, ils auront tout. Cependant, si vous chiffrez vos données, ils auront beaucoup plus de mal à les utiliser réellement.
Il est important de noter que les violations ne sont pas toujours le résultat d'une personne extérieure malveillante. Un initié malhonnête peut également voler facilement des données si elles ne sont pas cryptées. Les employés de votre entreprise n'ont pas besoin de voir tout ce qui se trouve dans la base de données, et des contrôles d'accès inadéquats ou la divulgation de données sensibles peuvent entraîner un vol.
N'oubliez pas non plus que tous les chiffrements ne sont pas égaux. Il est tout aussi dangereux d'utiliser les mauvais algorithmes cryptographiques que de ne pas les utiliser du tout. Les algorithmes faibles connus n'offriront que peu de résistance aux attaquants avertis.
Pourquoi le stockage cryptographique non sécurisé est dangereux
De nombreuses entreprises sont compromises par une autre vulnérabilité (telle qu'une injection SQL) et vous vous retrouvez dans l'impossibilité de masquer les données volées. Cela ne fait qu'empirer une situation terrible.
- Adult Friend Finder a été piraté et 412 millions de comptes ont été divulgués. Les mots de passe des comptes étaient protégés par le faible algorithme de hachage SHA-1. Ils ont été facilement piratés par les attaquants en un mois.
- Uber a été piraté, divulguant 57 millions de dossiers d'utilisateurs et 600 000 dossiers de chauffeurs. Des informations personnelles ont été perdues. Cela s'est produit parce que le compte GitHub d'Uber possédait un référentiel contenant le nom d'utilisateur et le mot de passe du compte AWS d'Uber au grand jour... Pas une bonne idée. La valorisation d'Uber a chuté de 20 milliards de dollars, en grande partie à cause de cette brèche.
- Le PlayStation Network de Sony a été piraté et 77 millions de comptes ont été divulgués. 12 millions de comptes contenaient des informations de carte de crédit non cryptées. Sony a ensuite réglé un recours collectif de 15 millions de dollars pour cette violation.
Le fait de ne pas stocker correctement des données sensibles a clairement de graves conséquences.
Sony a été poursuivi en justice, ce qui représente une amende importante. Cependant, même si vous n'êtes pas poursuivi en justice, les dommages à la réputation et à la réglementation peuvent être catastrophiques pour une entreprise.
Éliminez le stockage cryptographique non sécurisé
Comment les développeurs peuvent-ils empêcher les violations de données comme celles ci-dessus de se produire ?
La première étape consiste à identifier les données qui doivent être cryptées en premier lieu. Après tout, toutes les données ne sont pas identiques. Catégorisez vos données, puis utilisez le chiffrement le cas échéant.
En général, les informations personnelles telles que les numéros de sécurité sociale, les mots de passe et les informations de carte de crédit doivent être protégées. Selon la nature de votre activité, il se peut que vous deviez protéger vos dossiers médicaux ou d'autres informations considérées comme privées.
Une fois que vous savez quelles données doivent être protégées, l'étape suivante consiste à utiliser les bons outils pour garantir leur sécurité. En général, il est préférable de s'en tenir à des algorithmes cryptographiques qui ont résisté à l'épreuve du temps et sont considérés comme puissants.
Quoi qu'il en soit, n'écrivez pas vos propres fonctions cryptographiques. Ils sont susceptibles de contenir des failles que les attaquants peuvent utiliser pour déchiffrer le chiffrement.
Pour crypter des données telles que les numéros de sécurité sociale ou les données de carte de crédit, utilisez AES. Il existe différents modes de fonctionnement pour l'AES, un mode fortement recommandé au moment de la rédaction est Mode Galois/Compteur (GCM). Une autre astuce consiste à vous assurer qu'aucun remplissage n'est utilisé pour les bibliothèques qui vous demandent de choisir un type de remplissage.
Pour les mots de passe, utilisez un algorithme de hachage pour hacher les mots de passe car les hachages ne peuvent pas être inversés. Étant donné une valeur fortement hachée, un attaquant ne peut pas récupérer le texte original qui a créé la valeur. Argon 2et Bcryptesont considérés comme de bons choix pour le hachage des mots de passe. N'oubliez pas de toujours « saler » le mot de passe avec une valeur aléatoire avant de le hacher afin qu'il n'y ait pas deux hachages identiques pour le même mot de passe.
Ces fonctions seront implémentées pour tous les principaux langages/frameworks de programmation. Consultez la documentation correspondant à votre langage ou à votre framework spécifique pour savoir comment les utiliser efficacement.
La génération, le stockage et la gestion des clés sont des composants importants de la cryptographie. Des clés mal gérées peuvent être exposées et utilisées pour déchiffrer vos données. Certains frameworks facilitent la gestion des clés, tels que API de protection des données d'ASP.NET. Pour connaître les meilleures pratiques générales en matière de gestion des clés, consultez Aide-mémoire de l'OWASP.
Le stockage sécurisé de vos données vous permet d'éviter des violations de données coûteuses et embarrassantes. Dans le pire des cas, si un attaquant parvient à voler vos données, il aura beaucoup plus de mal à les voir ou à les utiliser à des fins malveillantes.
Cachez vos données à la vue de tous
Voyons rapidement comment protéger vos données :
- Classez vos données afin de savoir ce qui nécessite une protection
- Utilisez des algorithmes robustes et approuvés par l'industrie pour chiffrer les données sensibles
- Stockez vos mots de passe à l'aide de hachages unidirectionnels puissants
Pour approfondir le sujet, consultez notre Ressources pédagogiques. Lorsque vous êtes prêt à vous lancer et à vous entraîner, essayez notre plateforme dans la langue de votre choix. Nous couvrons beaucoup de choses !
Grâce à ces outils, vous pouvez empêcher le vol de vos données et empêcher votre entreprise de perdre de l'argent et de nuire à sa réputation.
Êtes-vous prêt à détecter et à corriger le stockage cryptographique non sécurisé dès maintenant ? Dirigez-vous vers l'arène et testez vos compétences [commencez ici]
Dans cette société numérique, les développeurs ont la responsabilité de protéger les informations et les entreprises contre le stockage cryptographique non sécurisé. Apprenez auprès de Secure Code Warrior.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Les données sont la pierre angulaire des entreprises. Ce sont les informations fondamentales nécessaires à la survie, à la rentabilité et à la fourniture de services à leurs clients. Dans cette société de plus en plus axée sur le numérique, les développeurs ont une immense responsabilité en tant que gardiens de ces précieuses informations. Lorsque les développeurs ne protègent pas les données confidentielles, l'entreprise est victime d'un stockage cryptographique non sécurisé.
Voyons comment stocker des données en toute sécurité et ce qui peut se passer si vous ne le faites pas.
Comprendre le stockage cryptographique non sécurisé
Lorsque des attaquants accèdent à un système, ils sont généralement à la recherche de données importantes. Vous savez, le type de données qui peuvent être utilisées pour prendre le contrôle du compte de quelqu'un ou pour exécuter une autre attaque. Parfois, ce type de données est simplement vendu sur le marché noir pour un paiement rapide.
Le stockage cryptographique non sécurisé n'est pas une vulnérabilité unique comme l'injection SQL ou le XSS. Cela est dû au fait que vous ne protégez pas les données que vous devriez protéger de la manière dont vous devez les protéger.
Les informations sensibles doivent être protégées. Lorsque vous stockez des mots de passe et des informations de carte de crédit en texte clair, vous jouez Roulette russe avec votre entreprise.
Si un pirate informatique s'introduit dans votre base de données et vole des données en utilisant Injection SQL, Injection XML ou toute autre attaque, ils auront tout. Cependant, si vous chiffrez vos données, ils auront beaucoup plus de mal à les utiliser réellement.
Il est important de noter que les violations ne sont pas toujours le résultat d'une personne extérieure malveillante. Un initié malhonnête peut également voler facilement des données si elles ne sont pas cryptées. Les employés de votre entreprise n'ont pas besoin de voir tout ce qui se trouve dans la base de données, et des contrôles d'accès inadéquats ou la divulgation de données sensibles peuvent entraîner un vol.
N'oubliez pas non plus que tous les chiffrements ne sont pas égaux. Il est tout aussi dangereux d'utiliser les mauvais algorithmes cryptographiques que de ne pas les utiliser du tout. Les algorithmes faibles connus n'offriront que peu de résistance aux attaquants avertis.
Pourquoi le stockage cryptographique non sécurisé est dangereux
De nombreuses entreprises sont compromises par une autre vulnérabilité (telle qu'une injection SQL) et vous vous retrouvez dans l'impossibilité de masquer les données volées. Cela ne fait qu'empirer une situation terrible.
- Adult Friend Finder a été piraté et 412 millions de comptes ont été divulgués. Les mots de passe des comptes étaient protégés par le faible algorithme de hachage SHA-1. Ils ont été facilement piratés par les attaquants en un mois.
- Uber a été piraté, divulguant 57 millions de dossiers d'utilisateurs et 600 000 dossiers de chauffeurs. Des informations personnelles ont été perdues. Cela s'est produit parce que le compte GitHub d'Uber possédait un référentiel contenant le nom d'utilisateur et le mot de passe du compte AWS d'Uber au grand jour... Pas une bonne idée. La valorisation d'Uber a chuté de 20 milliards de dollars, en grande partie à cause de cette brèche.
- Le PlayStation Network de Sony a été piraté et 77 millions de comptes ont été divulgués. 12 millions de comptes contenaient des informations de carte de crédit non cryptées. Sony a ensuite réglé un recours collectif de 15 millions de dollars pour cette violation.
Le fait de ne pas stocker correctement des données sensibles a clairement de graves conséquences.
Sony a été poursuivi en justice, ce qui représente une amende importante. Cependant, même si vous n'êtes pas poursuivi en justice, les dommages à la réputation et à la réglementation peuvent être catastrophiques pour une entreprise.
Éliminez le stockage cryptographique non sécurisé
Comment les développeurs peuvent-ils empêcher les violations de données comme celles ci-dessus de se produire ?
La première étape consiste à identifier les données qui doivent être cryptées en premier lieu. Après tout, toutes les données ne sont pas identiques. Catégorisez vos données, puis utilisez le chiffrement le cas échéant.
En général, les informations personnelles telles que les numéros de sécurité sociale, les mots de passe et les informations de carte de crédit doivent être protégées. Selon la nature de votre activité, il se peut que vous deviez protéger vos dossiers médicaux ou d'autres informations considérées comme privées.
Une fois que vous savez quelles données doivent être protégées, l'étape suivante consiste à utiliser les bons outils pour garantir leur sécurité. En général, il est préférable de s'en tenir à des algorithmes cryptographiques qui ont résisté à l'épreuve du temps et sont considérés comme puissants.
Quoi qu'il en soit, n'écrivez pas vos propres fonctions cryptographiques. Ils sont susceptibles de contenir des failles que les attaquants peuvent utiliser pour déchiffrer le chiffrement.
Pour crypter des données telles que les numéros de sécurité sociale ou les données de carte de crédit, utilisez AES. Il existe différents modes de fonctionnement pour l'AES, un mode fortement recommandé au moment de la rédaction est Mode Galois/Compteur (GCM). Une autre astuce consiste à vous assurer qu'aucun remplissage n'est utilisé pour les bibliothèques qui vous demandent de choisir un type de remplissage.
Pour les mots de passe, utilisez un algorithme de hachage pour hacher les mots de passe car les hachages ne peuvent pas être inversés. Étant donné une valeur fortement hachée, un attaquant ne peut pas récupérer le texte original qui a créé la valeur. Argon 2et Bcryptesont considérés comme de bons choix pour le hachage des mots de passe. N'oubliez pas de toujours « saler » le mot de passe avec une valeur aléatoire avant de le hacher afin qu'il n'y ait pas deux hachages identiques pour le même mot de passe.
Ces fonctions seront implémentées pour tous les principaux langages/frameworks de programmation. Consultez la documentation correspondant à votre langage ou à votre framework spécifique pour savoir comment les utiliser efficacement.
La génération, le stockage et la gestion des clés sont des composants importants de la cryptographie. Des clés mal gérées peuvent être exposées et utilisées pour déchiffrer vos données. Certains frameworks facilitent la gestion des clés, tels que API de protection des données d'ASP.NET. Pour connaître les meilleures pratiques générales en matière de gestion des clés, consultez Aide-mémoire de l'OWASP.
Le stockage sécurisé de vos données vous permet d'éviter des violations de données coûteuses et embarrassantes. Dans le pire des cas, si un attaquant parvient à voler vos données, il aura beaucoup plus de mal à les voir ou à les utiliser à des fins malveillantes.
Cachez vos données à la vue de tous
Voyons rapidement comment protéger vos données :
- Classez vos données afin de savoir ce qui nécessite une protection
- Utilisez des algorithmes robustes et approuvés par l'industrie pour chiffrer les données sensibles
- Stockez vos mots de passe à l'aide de hachages unidirectionnels puissants
Pour approfondir le sujet, consultez notre Ressources pédagogiques. Lorsque vous êtes prêt à vous lancer et à vous entraîner, essayez notre plateforme dans la langue de votre choix. Nous couvrons beaucoup de choses !
Grâce à ces outils, vous pouvez empêcher le vol de vos données et empêcher votre entreprise de perdre de l'argent et de nuire à sa réputation.
Êtes-vous prêt à détecter et à corriger le stockage cryptographique non sécurisé dès maintenant ? Dirigez-vous vers l'arène et testez vos compétences [commencez ici]
Les données sont la pierre angulaire des entreprises. Ce sont les informations fondamentales nécessaires à la survie, à la rentabilité et à la fourniture de services à leurs clients. Dans cette société de plus en plus axée sur le numérique, les développeurs ont une immense responsabilité en tant que gardiens de ces précieuses informations. Lorsque les développeurs ne protègent pas les données confidentielles, l'entreprise est victime d'un stockage cryptographique non sécurisé.
Voyons comment stocker des données en toute sécurité et ce qui peut se passer si vous ne le faites pas.
Comprendre le stockage cryptographique non sécurisé
Lorsque des attaquants accèdent à un système, ils sont généralement à la recherche de données importantes. Vous savez, le type de données qui peuvent être utilisées pour prendre le contrôle du compte de quelqu'un ou pour exécuter une autre attaque. Parfois, ce type de données est simplement vendu sur le marché noir pour un paiement rapide.
Le stockage cryptographique non sécurisé n'est pas une vulnérabilité unique comme l'injection SQL ou le XSS. Cela est dû au fait que vous ne protégez pas les données que vous devriez protéger de la manière dont vous devez les protéger.
Les informations sensibles doivent être protégées. Lorsque vous stockez des mots de passe et des informations de carte de crédit en texte clair, vous jouez Roulette russe avec votre entreprise.
Si un pirate informatique s'introduit dans votre base de données et vole des données en utilisant Injection SQL, Injection XML ou toute autre attaque, ils auront tout. Cependant, si vous chiffrez vos données, ils auront beaucoup plus de mal à les utiliser réellement.
Il est important de noter que les violations ne sont pas toujours le résultat d'une personne extérieure malveillante. Un initié malhonnête peut également voler facilement des données si elles ne sont pas cryptées. Les employés de votre entreprise n'ont pas besoin de voir tout ce qui se trouve dans la base de données, et des contrôles d'accès inadéquats ou la divulgation de données sensibles peuvent entraîner un vol.
N'oubliez pas non plus que tous les chiffrements ne sont pas égaux. Il est tout aussi dangereux d'utiliser les mauvais algorithmes cryptographiques que de ne pas les utiliser du tout. Les algorithmes faibles connus n'offriront que peu de résistance aux attaquants avertis.
Pourquoi le stockage cryptographique non sécurisé est dangereux
De nombreuses entreprises sont compromises par une autre vulnérabilité (telle qu'une injection SQL) et vous vous retrouvez dans l'impossibilité de masquer les données volées. Cela ne fait qu'empirer une situation terrible.
- Adult Friend Finder a été piraté et 412 millions de comptes ont été divulgués. Les mots de passe des comptes étaient protégés par le faible algorithme de hachage SHA-1. Ils ont été facilement piratés par les attaquants en un mois.
- Uber a été piraté, divulguant 57 millions de dossiers d'utilisateurs et 600 000 dossiers de chauffeurs. Des informations personnelles ont été perdues. Cela s'est produit parce que le compte GitHub d'Uber possédait un référentiel contenant le nom d'utilisateur et le mot de passe du compte AWS d'Uber au grand jour... Pas une bonne idée. La valorisation d'Uber a chuté de 20 milliards de dollars, en grande partie à cause de cette brèche.
- Le PlayStation Network de Sony a été piraté et 77 millions de comptes ont été divulgués. 12 millions de comptes contenaient des informations de carte de crédit non cryptées. Sony a ensuite réglé un recours collectif de 15 millions de dollars pour cette violation.
Le fait de ne pas stocker correctement des données sensibles a clairement de graves conséquences.
Sony a été poursuivi en justice, ce qui représente une amende importante. Cependant, même si vous n'êtes pas poursuivi en justice, les dommages à la réputation et à la réglementation peuvent être catastrophiques pour une entreprise.
Éliminez le stockage cryptographique non sécurisé
Comment les développeurs peuvent-ils empêcher les violations de données comme celles ci-dessus de se produire ?
La première étape consiste à identifier les données qui doivent être cryptées en premier lieu. Après tout, toutes les données ne sont pas identiques. Catégorisez vos données, puis utilisez le chiffrement le cas échéant.
En général, les informations personnelles telles que les numéros de sécurité sociale, les mots de passe et les informations de carte de crédit doivent être protégées. Selon la nature de votre activité, il se peut que vous deviez protéger vos dossiers médicaux ou d'autres informations considérées comme privées.
Une fois que vous savez quelles données doivent être protégées, l'étape suivante consiste à utiliser les bons outils pour garantir leur sécurité. En général, il est préférable de s'en tenir à des algorithmes cryptographiques qui ont résisté à l'épreuve du temps et sont considérés comme puissants.
Quoi qu'il en soit, n'écrivez pas vos propres fonctions cryptographiques. Ils sont susceptibles de contenir des failles que les attaquants peuvent utiliser pour déchiffrer le chiffrement.
Pour crypter des données telles que les numéros de sécurité sociale ou les données de carte de crédit, utilisez AES. Il existe différents modes de fonctionnement pour l'AES, un mode fortement recommandé au moment de la rédaction est Mode Galois/Compteur (GCM). Une autre astuce consiste à vous assurer qu'aucun remplissage n'est utilisé pour les bibliothèques qui vous demandent de choisir un type de remplissage.
Pour les mots de passe, utilisez un algorithme de hachage pour hacher les mots de passe car les hachages ne peuvent pas être inversés. Étant donné une valeur fortement hachée, un attaquant ne peut pas récupérer le texte original qui a créé la valeur. Argon 2et Bcryptesont considérés comme de bons choix pour le hachage des mots de passe. N'oubliez pas de toujours « saler » le mot de passe avec une valeur aléatoire avant de le hacher afin qu'il n'y ait pas deux hachages identiques pour le même mot de passe.
Ces fonctions seront implémentées pour tous les principaux langages/frameworks de programmation. Consultez la documentation correspondant à votre langage ou à votre framework spécifique pour savoir comment les utiliser efficacement.
La génération, le stockage et la gestion des clés sont des composants importants de la cryptographie. Des clés mal gérées peuvent être exposées et utilisées pour déchiffrer vos données. Certains frameworks facilitent la gestion des clés, tels que API de protection des données d'ASP.NET. Pour connaître les meilleures pratiques générales en matière de gestion des clés, consultez Aide-mémoire de l'OWASP.
Le stockage sécurisé de vos données vous permet d'éviter des violations de données coûteuses et embarrassantes. Dans le pire des cas, si un attaquant parvient à voler vos données, il aura beaucoup plus de mal à les voir ou à les utiliser à des fins malveillantes.
Cachez vos données à la vue de tous
Voyons rapidement comment protéger vos données :
- Classez vos données afin de savoir ce qui nécessite une protection
- Utilisez des algorithmes robustes et approuvés par l'industrie pour chiffrer les données sensibles
- Stockez vos mots de passe à l'aide de hachages unidirectionnels puissants
Pour approfondir le sujet, consultez notre Ressources pédagogiques. Lorsque vous êtes prêt à vous lancer et à vous entraîner, essayez notre plateforme dans la langue de votre choix. Nous couvrons beaucoup de choses !
Grâce à ces outils, vous pouvez empêcher le vol de vos données et empêcher votre entreprise de perdre de l'argent et de nuire à sa réputation.
Êtes-vous prêt à détecter et à corriger le stockage cryptographique non sécurisé dès maintenant ? Dirigez-vous vers l'arène et testez vos compétences [commencez ici]
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
レポートを表示するデモを予約する
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Les données sont la pierre angulaire des entreprises. Ce sont les informations fondamentales nécessaires à la survie, à la rentabilité et à la fourniture de services à leurs clients. Dans cette société de plus en plus axée sur le numérique, les développeurs ont une immense responsabilité en tant que gardiens de ces précieuses informations. Lorsque les développeurs ne protègent pas les données confidentielles, l'entreprise est victime d'un stockage cryptographique non sécurisé.
Voyons comment stocker des données en toute sécurité et ce qui peut se passer si vous ne le faites pas.
Comprendre le stockage cryptographique non sécurisé
Lorsque des attaquants accèdent à un système, ils sont généralement à la recherche de données importantes. Vous savez, le type de données qui peuvent être utilisées pour prendre le contrôle du compte de quelqu'un ou pour exécuter une autre attaque. Parfois, ce type de données est simplement vendu sur le marché noir pour un paiement rapide.
Le stockage cryptographique non sécurisé n'est pas une vulnérabilité unique comme l'injection SQL ou le XSS. Cela est dû au fait que vous ne protégez pas les données que vous devriez protéger de la manière dont vous devez les protéger.
Les informations sensibles doivent être protégées. Lorsque vous stockez des mots de passe et des informations de carte de crédit en texte clair, vous jouez Roulette russe avec votre entreprise.
Si un pirate informatique s'introduit dans votre base de données et vole des données en utilisant Injection SQL, Injection XML ou toute autre attaque, ils auront tout. Cependant, si vous chiffrez vos données, ils auront beaucoup plus de mal à les utiliser réellement.
Il est important de noter que les violations ne sont pas toujours le résultat d'une personne extérieure malveillante. Un initié malhonnête peut également voler facilement des données si elles ne sont pas cryptées. Les employés de votre entreprise n'ont pas besoin de voir tout ce qui se trouve dans la base de données, et des contrôles d'accès inadéquats ou la divulgation de données sensibles peuvent entraîner un vol.
N'oubliez pas non plus que tous les chiffrements ne sont pas égaux. Il est tout aussi dangereux d'utiliser les mauvais algorithmes cryptographiques que de ne pas les utiliser du tout. Les algorithmes faibles connus n'offriront que peu de résistance aux attaquants avertis.
Pourquoi le stockage cryptographique non sécurisé est dangereux
De nombreuses entreprises sont compromises par une autre vulnérabilité (telle qu'une injection SQL) et vous vous retrouvez dans l'impossibilité de masquer les données volées. Cela ne fait qu'empirer une situation terrible.
- Adult Friend Finder a été piraté et 412 millions de comptes ont été divulgués. Les mots de passe des comptes étaient protégés par le faible algorithme de hachage SHA-1. Ils ont été facilement piratés par les attaquants en un mois.
- Uber a été piraté, divulguant 57 millions de dossiers d'utilisateurs et 600 000 dossiers de chauffeurs. Des informations personnelles ont été perdues. Cela s'est produit parce que le compte GitHub d'Uber possédait un référentiel contenant le nom d'utilisateur et le mot de passe du compte AWS d'Uber au grand jour... Pas une bonne idée. La valorisation d'Uber a chuté de 20 milliards de dollars, en grande partie à cause de cette brèche.
- Le PlayStation Network de Sony a été piraté et 77 millions de comptes ont été divulgués. 12 millions de comptes contenaient des informations de carte de crédit non cryptées. Sony a ensuite réglé un recours collectif de 15 millions de dollars pour cette violation.
Le fait de ne pas stocker correctement des données sensibles a clairement de graves conséquences.
Sony a été poursuivi en justice, ce qui représente une amende importante. Cependant, même si vous n'êtes pas poursuivi en justice, les dommages à la réputation et à la réglementation peuvent être catastrophiques pour une entreprise.
Éliminez le stockage cryptographique non sécurisé
Comment les développeurs peuvent-ils empêcher les violations de données comme celles ci-dessus de se produire ?
La première étape consiste à identifier les données qui doivent être cryptées en premier lieu. Après tout, toutes les données ne sont pas identiques. Catégorisez vos données, puis utilisez le chiffrement le cas échéant.
En général, les informations personnelles telles que les numéros de sécurité sociale, les mots de passe et les informations de carte de crédit doivent être protégées. Selon la nature de votre activité, il se peut que vous deviez protéger vos dossiers médicaux ou d'autres informations considérées comme privées.
Une fois que vous savez quelles données doivent être protégées, l'étape suivante consiste à utiliser les bons outils pour garantir leur sécurité. En général, il est préférable de s'en tenir à des algorithmes cryptographiques qui ont résisté à l'épreuve du temps et sont considérés comme puissants.
Quoi qu'il en soit, n'écrivez pas vos propres fonctions cryptographiques. Ils sont susceptibles de contenir des failles que les attaquants peuvent utiliser pour déchiffrer le chiffrement.
Pour crypter des données telles que les numéros de sécurité sociale ou les données de carte de crédit, utilisez AES. Il existe différents modes de fonctionnement pour l'AES, un mode fortement recommandé au moment de la rédaction est Mode Galois/Compteur (GCM). Une autre astuce consiste à vous assurer qu'aucun remplissage n'est utilisé pour les bibliothèques qui vous demandent de choisir un type de remplissage.
Pour les mots de passe, utilisez un algorithme de hachage pour hacher les mots de passe car les hachages ne peuvent pas être inversés. Étant donné une valeur fortement hachée, un attaquant ne peut pas récupérer le texte original qui a créé la valeur. Argon 2et Bcryptesont considérés comme de bons choix pour le hachage des mots de passe. N'oubliez pas de toujours « saler » le mot de passe avec une valeur aléatoire avant de le hacher afin qu'il n'y ait pas deux hachages identiques pour le même mot de passe.
Ces fonctions seront implémentées pour tous les principaux langages/frameworks de programmation. Consultez la documentation correspondant à votre langage ou à votre framework spécifique pour savoir comment les utiliser efficacement.
La génération, le stockage et la gestion des clés sont des composants importants de la cryptographie. Des clés mal gérées peuvent être exposées et utilisées pour déchiffrer vos données. Certains frameworks facilitent la gestion des clés, tels que API de protection des données d'ASP.NET. Pour connaître les meilleures pratiques générales en matière de gestion des clés, consultez Aide-mémoire de l'OWASP.
Le stockage sécurisé de vos données vous permet d'éviter des violations de données coûteuses et embarrassantes. Dans le pire des cas, si un attaquant parvient à voler vos données, il aura beaucoup plus de mal à les voir ou à les utiliser à des fins malveillantes.
Cachez vos données à la vue de tous
Voyons rapidement comment protéger vos données :
- Classez vos données afin de savoir ce qui nécessite une protection
- Utilisez des algorithmes robustes et approuvés par l'industrie pour chiffrer les données sensibles
- Stockez vos mots de passe à l'aide de hachages unidirectionnels puissants
Pour approfondir le sujet, consultez notre Ressources pédagogiques. Lorsque vous êtes prêt à vous lancer et à vous entraîner, essayez notre plateforme dans la langue de votre choix. Nous couvrons beaucoup de choses !
Grâce à ces outils, vous pouvez empêcher le vol de vos données et empêcher votre entreprise de perdre de l'argent et de nuire à sa réputation.
Êtes-vous prêt à détecter et à corriger le stockage cryptographique non sécurisé dès maintenant ? Dirigez-vous vers l'arène et testez vos compétences [commencez ici]
目次
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約するダウンロード
%20(1).avif)
.avif)
