Stockage cryptographique et sécurité non sécurisés | Secure Code Warrior
Les données sont la pierre angulaire des entreprises. Ce sont les informations fondamentales nécessaires à la survie, à la rentabilité et à la fourniture de services à leurs clients. Dans cette société de plus en plus axée sur le numérique, les développeurs ont une immense responsabilité en tant que gardiens de ces précieuses informations. Lorsque les développeurs ne protègent pas les données confidentielles, l'entreprise est victime d'un stockage cryptographique non sécurisé.
Voyons comment stocker des données en toute sécurité et ce qui peut se passer si vous ne le faites pas.
Comprendre le stockage cryptographique non sécurisé
Lorsque des attaquants accèdent à un système, ils sont généralement à la recherche de données importantes. Vous savez, le type de données qui peuvent être utilisées pour prendre le contrôle du compte de quelqu'un ou pour exécuter une autre attaque. Parfois, ce type de données est simplement vendu sur le marché noir pour un paiement rapide.
Le stockage cryptographique non sécurisé n'est pas une vulnérabilité unique comme l'injection SQL ou le XSS. Cela est dû au fait que vous ne protégez pas les données que vous devriez protéger de la manière dont vous devez les protéger.
Les informations sensibles doivent être protégées. Lorsque vous stockez des mots de passe et des informations de carte de crédit en texte clair, vous jouez Roulette russe avec votre entreprise.
Si un pirate informatique s'introduit dans votre base de données et vole des données en utilisant Injection SQL, Injection XML ou toute autre attaque, ils auront tout. Cependant, si vous chiffrez vos données, ils auront beaucoup plus de mal à les utiliser réellement.
Il est important de noter que les violations ne sont pas toujours le résultat d'une personne extérieure malveillante. Un initié malhonnête peut également voler facilement des données si elles ne sont pas cryptées. Les employés de votre entreprise n'ont pas besoin de voir tout ce qui se trouve dans la base de données, et des contrôles d'accès inadéquats ou la divulgation de données sensibles peuvent entraîner un vol.
N'oubliez pas non plus que tous les chiffrements ne sont pas égaux. Il est tout aussi dangereux d'utiliser les mauvais algorithmes cryptographiques que de ne pas les utiliser du tout. Les algorithmes faibles connus n'offriront que peu de résistance aux attaquants avertis.
Pourquoi le stockage cryptographique non sécurisé est dangereux
De nombreuses entreprises sont compromises par une autre vulnérabilité (telle qu'une injection SQL) et vous vous retrouvez dans l'impossibilité de masquer les données volées. Cela ne fait qu'empirer une situation terrible.
- Adult Friend Finder a été piraté et 412 millions de comptes ont été divulgués. Les mots de passe des comptes étaient protégés par le faible algorithme de hachage SHA-1. Ils ont été facilement piratés par les attaquants en un mois.
- Uber a été piraté, divulguant 57 millions de dossiers d'utilisateurs et 600 000 dossiers de chauffeurs. Des informations personnelles ont été perdues. Cela s'est produit parce que le compte GitHub d'Uber possédait un référentiel contenant le nom d'utilisateur et le mot de passe du compte AWS d'Uber au grand jour... Pas une bonne idée. La valorisation d'Uber a chuté de 20 milliards de dollars, en grande partie à cause de cette brèche.
- Le PlayStation Network de Sony a été piraté et 77 millions de comptes ont été divulgués. 12 millions de comptes contenaient des informations de carte de crédit non cryptées. Sony a ensuite réglé un recours collectif de 15 millions de dollars pour cette violation.
Le fait de ne pas stocker correctement des données sensibles a clairement de graves conséquences.
Sony a été poursuivi en justice, ce qui représente une amende importante. Cependant, même si vous n'êtes pas poursuivi en justice, les dommages à la réputation et à la réglementation peuvent être catastrophiques pour une entreprise.
Éliminez le stockage cryptographique non sécurisé
Comment les développeurs peuvent-ils empêcher les violations de données comme celles ci-dessus de se produire ?
La première étape consiste à identifier les données qui doivent être cryptées en premier lieu. Après tout, toutes les données ne sont pas identiques. Catégorisez vos données, puis utilisez le chiffrement le cas échéant.
En général, les informations personnelles telles que les numéros de sécurité sociale, les mots de passe et les informations de carte de crédit doivent être protégées. Selon la nature de votre activité, il se peut que vous deviez protéger vos dossiers médicaux ou d'autres informations considérées comme privées.
Une fois que vous savez quelles données doivent être protégées, l'étape suivante consiste à utiliser les bons outils pour garantir leur sécurité. En général, il est préférable de s'en tenir à des algorithmes cryptographiques qui ont résisté à l'épreuve du temps et sont considérés comme puissants.
Quoi qu'il en soit, n'écrivez pas vos propres fonctions cryptographiques. Ils sont susceptibles de contenir des failles que les attaquants peuvent utiliser pour déchiffrer le chiffrement.
Pour crypter des données telles que les numéros de sécurité sociale ou les données de carte de crédit, utilisez AES. Il existe différents modes de fonctionnement pour l'AES, un mode fortement recommandé au moment de la rédaction est Mode Galois/Compteur (GCM). Une autre astuce consiste à vous assurer qu'aucun remplissage n'est utilisé pour les bibliothèques qui vous demandent de choisir un type de remplissage.
Pour les mots de passe, utilisez un algorithme de hachage pour hacher les mots de passe car les hachages ne peuvent pas être inversés. Étant donné une valeur fortement hachée, un attaquant ne peut pas récupérer le texte original qui a créé la valeur. Argon 2et Bcryptesont considérés comme de bons choix pour le hachage des mots de passe. N'oubliez pas de toujours « saler » le mot de passe avec une valeur aléatoire avant de le hacher afin qu'il n'y ait pas deux hachages identiques pour le même mot de passe.
Ces fonctions seront implémentées pour tous les principaux langages/frameworks de programmation. Consultez la documentation correspondant à votre langage ou à votre framework spécifique pour savoir comment les utiliser efficacement.
La génération, le stockage et la gestion des clés sont des composants importants de la cryptographie. Des clés mal gérées peuvent être exposées et utilisées pour déchiffrer vos données. Certains frameworks facilitent la gestion des clés, tels que API de protection des données d'ASP.NET. Pour connaître les meilleures pratiques générales en matière de gestion des clés, consultez Aide-mémoire de l'OWASP.
Le stockage sécurisé de vos données vous permet d'éviter des violations de données coûteuses et embarrassantes. Dans le pire des cas, si un attaquant parvient à voler vos données, il aura beaucoup plus de mal à les voir ou à les utiliser à des fins malveillantes.
Cachez vos données à la vue de tous
Voyons rapidement comment protéger vos données :
- Classez vos données afin de savoir ce qui nécessite une protection
- Utilisez des algorithmes robustes et approuvés par l'industrie pour chiffrer les données sensibles
- Stockez vos mots de passe à l'aide de hachages unidirectionnels puissants
Pour approfondir le sujet, consultez notre Ressources pédagogiques. Lorsque vous êtes prêt à vous lancer et à vous entraîner, essayez notre plateforme dans la langue de votre choix. Nous couvrons beaucoup de choses !
Grâce à ces outils, vous pouvez empêcher le vol de vos données et empêcher votre entreprise de perdre de l'argent et de nuire à sa réputation.
Êtes-vous prêt à détecter et à corriger le stockage cryptographique non sécurisé dès maintenant ? Dirigez-vous vers l'arène et testez vos compétences [commencez ici]
Dans cette société numérique, les développeurs ont la responsabilité de protéger les informations et les entreprises contre le stockage cryptographique non sécurisé. Apprenez auprès de Secure Code Warrior.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchen
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Les données sont la pierre angulaire des entreprises. Ce sont les informations fondamentales nécessaires à la survie, à la rentabilité et à la fourniture de services à leurs clients. Dans cette société de plus en plus axée sur le numérique, les développeurs ont une immense responsabilité en tant que gardiens de ces précieuses informations. Lorsque les développeurs ne protègent pas les données confidentielles, l'entreprise est victime d'un stockage cryptographique non sécurisé.
Voyons comment stocker des données en toute sécurité et ce qui peut se passer si vous ne le faites pas.
Comprendre le stockage cryptographique non sécurisé
Lorsque des attaquants accèdent à un système, ils sont généralement à la recherche de données importantes. Vous savez, le type de données qui peuvent être utilisées pour prendre le contrôle du compte de quelqu'un ou pour exécuter une autre attaque. Parfois, ce type de données est simplement vendu sur le marché noir pour un paiement rapide.
Le stockage cryptographique non sécurisé n'est pas une vulnérabilité unique comme l'injection SQL ou le XSS. Cela est dû au fait que vous ne protégez pas les données que vous devriez protéger de la manière dont vous devez les protéger.
Les informations sensibles doivent être protégées. Lorsque vous stockez des mots de passe et des informations de carte de crédit en texte clair, vous jouez Roulette russe avec votre entreprise.
Si un pirate informatique s'introduit dans votre base de données et vole des données en utilisant Injection SQL, Injection XML ou toute autre attaque, ils auront tout. Cependant, si vous chiffrez vos données, ils auront beaucoup plus de mal à les utiliser réellement.
Il est important de noter que les violations ne sont pas toujours le résultat d'une personne extérieure malveillante. Un initié malhonnête peut également voler facilement des données si elles ne sont pas cryptées. Les employés de votre entreprise n'ont pas besoin de voir tout ce qui se trouve dans la base de données, et des contrôles d'accès inadéquats ou la divulgation de données sensibles peuvent entraîner un vol.
N'oubliez pas non plus que tous les chiffrements ne sont pas égaux. Il est tout aussi dangereux d'utiliser les mauvais algorithmes cryptographiques que de ne pas les utiliser du tout. Les algorithmes faibles connus n'offriront que peu de résistance aux attaquants avertis.
Pourquoi le stockage cryptographique non sécurisé est dangereux
De nombreuses entreprises sont compromises par une autre vulnérabilité (telle qu'une injection SQL) et vous vous retrouvez dans l'impossibilité de masquer les données volées. Cela ne fait qu'empirer une situation terrible.
- Adult Friend Finder a été piraté et 412 millions de comptes ont été divulgués. Les mots de passe des comptes étaient protégés par le faible algorithme de hachage SHA-1. Ils ont été facilement piratés par les attaquants en un mois.
- Uber a été piraté, divulguant 57 millions de dossiers d'utilisateurs et 600 000 dossiers de chauffeurs. Des informations personnelles ont été perdues. Cela s'est produit parce que le compte GitHub d'Uber possédait un référentiel contenant le nom d'utilisateur et le mot de passe du compte AWS d'Uber au grand jour... Pas une bonne idée. La valorisation d'Uber a chuté de 20 milliards de dollars, en grande partie à cause de cette brèche.
- Le PlayStation Network de Sony a été piraté et 77 millions de comptes ont été divulgués. 12 millions de comptes contenaient des informations de carte de crédit non cryptées. Sony a ensuite réglé un recours collectif de 15 millions de dollars pour cette violation.
Le fait de ne pas stocker correctement des données sensibles a clairement de graves conséquences.
Sony a été poursuivi en justice, ce qui représente une amende importante. Cependant, même si vous n'êtes pas poursuivi en justice, les dommages à la réputation et à la réglementation peuvent être catastrophiques pour une entreprise.
Éliminez le stockage cryptographique non sécurisé
Comment les développeurs peuvent-ils empêcher les violations de données comme celles ci-dessus de se produire ?
La première étape consiste à identifier les données qui doivent être cryptées en premier lieu. Après tout, toutes les données ne sont pas identiques. Catégorisez vos données, puis utilisez le chiffrement le cas échéant.
En général, les informations personnelles telles que les numéros de sécurité sociale, les mots de passe et les informations de carte de crédit doivent être protégées. Selon la nature de votre activité, il se peut que vous deviez protéger vos dossiers médicaux ou d'autres informations considérées comme privées.
Une fois que vous savez quelles données doivent être protégées, l'étape suivante consiste à utiliser les bons outils pour garantir leur sécurité. En général, il est préférable de s'en tenir à des algorithmes cryptographiques qui ont résisté à l'épreuve du temps et sont considérés comme puissants.
Quoi qu'il en soit, n'écrivez pas vos propres fonctions cryptographiques. Ils sont susceptibles de contenir des failles que les attaquants peuvent utiliser pour déchiffrer le chiffrement.
Pour crypter des données telles que les numéros de sécurité sociale ou les données de carte de crédit, utilisez AES. Il existe différents modes de fonctionnement pour l'AES, un mode fortement recommandé au moment de la rédaction est Mode Galois/Compteur (GCM). Une autre astuce consiste à vous assurer qu'aucun remplissage n'est utilisé pour les bibliothèques qui vous demandent de choisir un type de remplissage.
Pour les mots de passe, utilisez un algorithme de hachage pour hacher les mots de passe car les hachages ne peuvent pas être inversés. Étant donné une valeur fortement hachée, un attaquant ne peut pas récupérer le texte original qui a créé la valeur. Argon 2et Bcryptesont considérés comme de bons choix pour le hachage des mots de passe. N'oubliez pas de toujours « saler » le mot de passe avec une valeur aléatoire avant de le hacher afin qu'il n'y ait pas deux hachages identiques pour le même mot de passe.
Ces fonctions seront implémentées pour tous les principaux langages/frameworks de programmation. Consultez la documentation correspondant à votre langage ou à votre framework spécifique pour savoir comment les utiliser efficacement.
La génération, le stockage et la gestion des clés sont des composants importants de la cryptographie. Des clés mal gérées peuvent être exposées et utilisées pour déchiffrer vos données. Certains frameworks facilitent la gestion des clés, tels que API de protection des données d'ASP.NET. Pour connaître les meilleures pratiques générales en matière de gestion des clés, consultez Aide-mémoire de l'OWASP.
Le stockage sécurisé de vos données vous permet d'éviter des violations de données coûteuses et embarrassantes. Dans le pire des cas, si un attaquant parvient à voler vos données, il aura beaucoup plus de mal à les voir ou à les utiliser à des fins malveillantes.
Cachez vos données à la vue de tous
Voyons rapidement comment protéger vos données :
- Classez vos données afin de savoir ce qui nécessite une protection
- Utilisez des algorithmes robustes et approuvés par l'industrie pour chiffrer les données sensibles
- Stockez vos mots de passe à l'aide de hachages unidirectionnels puissants
Pour approfondir le sujet, consultez notre Ressources pédagogiques. Lorsque vous êtes prêt à vous lancer et à vous entraîner, essayez notre plateforme dans la langue de votre choix. Nous couvrons beaucoup de choses !
Grâce à ces outils, vous pouvez empêcher le vol de vos données et empêcher votre entreprise de perdre de l'argent et de nuire à sa réputation.
Êtes-vous prêt à détecter et à corriger le stockage cryptographique non sécurisé dès maintenant ? Dirigez-vous vers l'arène et testez vos compétences [commencez ici]
Les données sont la pierre angulaire des entreprises. Ce sont les informations fondamentales nécessaires à la survie, à la rentabilité et à la fourniture de services à leurs clients. Dans cette société de plus en plus axée sur le numérique, les développeurs ont une immense responsabilité en tant que gardiens de ces précieuses informations. Lorsque les développeurs ne protègent pas les données confidentielles, l'entreprise est victime d'un stockage cryptographique non sécurisé.
Voyons comment stocker des données en toute sécurité et ce qui peut se passer si vous ne le faites pas.
Comprendre le stockage cryptographique non sécurisé
Lorsque des attaquants accèdent à un système, ils sont généralement à la recherche de données importantes. Vous savez, le type de données qui peuvent être utilisées pour prendre le contrôle du compte de quelqu'un ou pour exécuter une autre attaque. Parfois, ce type de données est simplement vendu sur le marché noir pour un paiement rapide.
Le stockage cryptographique non sécurisé n'est pas une vulnérabilité unique comme l'injection SQL ou le XSS. Cela est dû au fait que vous ne protégez pas les données que vous devriez protéger de la manière dont vous devez les protéger.
Les informations sensibles doivent être protégées. Lorsque vous stockez des mots de passe et des informations de carte de crédit en texte clair, vous jouez Roulette russe avec votre entreprise.
Si un pirate informatique s'introduit dans votre base de données et vole des données en utilisant Injection SQL, Injection XML ou toute autre attaque, ils auront tout. Cependant, si vous chiffrez vos données, ils auront beaucoup plus de mal à les utiliser réellement.
Il est important de noter que les violations ne sont pas toujours le résultat d'une personne extérieure malveillante. Un initié malhonnête peut également voler facilement des données si elles ne sont pas cryptées. Les employés de votre entreprise n'ont pas besoin de voir tout ce qui se trouve dans la base de données, et des contrôles d'accès inadéquats ou la divulgation de données sensibles peuvent entraîner un vol.
N'oubliez pas non plus que tous les chiffrements ne sont pas égaux. Il est tout aussi dangereux d'utiliser les mauvais algorithmes cryptographiques que de ne pas les utiliser du tout. Les algorithmes faibles connus n'offriront que peu de résistance aux attaquants avertis.
Pourquoi le stockage cryptographique non sécurisé est dangereux
De nombreuses entreprises sont compromises par une autre vulnérabilité (telle qu'une injection SQL) et vous vous retrouvez dans l'impossibilité de masquer les données volées. Cela ne fait qu'empirer une situation terrible.
- Adult Friend Finder a été piraté et 412 millions de comptes ont été divulgués. Les mots de passe des comptes étaient protégés par le faible algorithme de hachage SHA-1. Ils ont été facilement piratés par les attaquants en un mois.
- Uber a été piraté, divulguant 57 millions de dossiers d'utilisateurs et 600 000 dossiers de chauffeurs. Des informations personnelles ont été perdues. Cela s'est produit parce que le compte GitHub d'Uber possédait un référentiel contenant le nom d'utilisateur et le mot de passe du compte AWS d'Uber au grand jour... Pas une bonne idée. La valorisation d'Uber a chuté de 20 milliards de dollars, en grande partie à cause de cette brèche.
- Le PlayStation Network de Sony a été piraté et 77 millions de comptes ont été divulgués. 12 millions de comptes contenaient des informations de carte de crédit non cryptées. Sony a ensuite réglé un recours collectif de 15 millions de dollars pour cette violation.
Le fait de ne pas stocker correctement des données sensibles a clairement de graves conséquences.
Sony a été poursuivi en justice, ce qui représente une amende importante. Cependant, même si vous n'êtes pas poursuivi en justice, les dommages à la réputation et à la réglementation peuvent être catastrophiques pour une entreprise.
Éliminez le stockage cryptographique non sécurisé
Comment les développeurs peuvent-ils empêcher les violations de données comme celles ci-dessus de se produire ?
La première étape consiste à identifier les données qui doivent être cryptées en premier lieu. Après tout, toutes les données ne sont pas identiques. Catégorisez vos données, puis utilisez le chiffrement le cas échéant.
En général, les informations personnelles telles que les numéros de sécurité sociale, les mots de passe et les informations de carte de crédit doivent être protégées. Selon la nature de votre activité, il se peut que vous deviez protéger vos dossiers médicaux ou d'autres informations considérées comme privées.
Une fois que vous savez quelles données doivent être protégées, l'étape suivante consiste à utiliser les bons outils pour garantir leur sécurité. En général, il est préférable de s'en tenir à des algorithmes cryptographiques qui ont résisté à l'épreuve du temps et sont considérés comme puissants.
Quoi qu'il en soit, n'écrivez pas vos propres fonctions cryptographiques. Ils sont susceptibles de contenir des failles que les attaquants peuvent utiliser pour déchiffrer le chiffrement.
Pour crypter des données telles que les numéros de sécurité sociale ou les données de carte de crédit, utilisez AES. Il existe différents modes de fonctionnement pour l'AES, un mode fortement recommandé au moment de la rédaction est Mode Galois/Compteur (GCM). Une autre astuce consiste à vous assurer qu'aucun remplissage n'est utilisé pour les bibliothèques qui vous demandent de choisir un type de remplissage.
Pour les mots de passe, utilisez un algorithme de hachage pour hacher les mots de passe car les hachages ne peuvent pas être inversés. Étant donné une valeur fortement hachée, un attaquant ne peut pas récupérer le texte original qui a créé la valeur. Argon 2et Bcryptesont considérés comme de bons choix pour le hachage des mots de passe. N'oubliez pas de toujours « saler » le mot de passe avec une valeur aléatoire avant de le hacher afin qu'il n'y ait pas deux hachages identiques pour le même mot de passe.
Ces fonctions seront implémentées pour tous les principaux langages/frameworks de programmation. Consultez la documentation correspondant à votre langage ou à votre framework spécifique pour savoir comment les utiliser efficacement.
La génération, le stockage et la gestion des clés sont des composants importants de la cryptographie. Des clés mal gérées peuvent être exposées et utilisées pour déchiffrer vos données. Certains frameworks facilitent la gestion des clés, tels que API de protection des données d'ASP.NET. Pour connaître les meilleures pratiques générales en matière de gestion des clés, consultez Aide-mémoire de l'OWASP.
Le stockage sécurisé de vos données vous permet d'éviter des violations de données coûteuses et embarrassantes. Dans le pire des cas, si un attaquant parvient à voler vos données, il aura beaucoup plus de mal à les voir ou à les utiliser à des fins malveillantes.
Cachez vos données à la vue de tous
Voyons rapidement comment protéger vos données :
- Classez vos données afin de savoir ce qui nécessite une protection
- Utilisez des algorithmes robustes et approuvés par l'industrie pour chiffrer les données sensibles
- Stockez vos mots de passe à l'aide de hachages unidirectionnels puissants
Pour approfondir le sujet, consultez notre Ressources pédagogiques. Lorsque vous êtes prêt à vous lancer et à vous entraîner, essayez notre plateforme dans la langue de votre choix. Nous couvrons beaucoup de choses !
Grâce à ces outils, vous pouvez empêcher le vol de vos données et empêcher votre entreprise de perdre de l'argent et de nuire à sa réputation.
Êtes-vous prêt à détecter et à corriger le stockage cryptographique non sécurisé dès maintenant ? Dirigez-vous vers l'arène et testez vos compétences [commencez ici]
Klicken Sie auf den untenstehenden Link und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht anzeigenDemo buchen
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Les données sont la pierre angulaire des entreprises. Ce sont les informations fondamentales nécessaires à la survie, à la rentabilité et à la fourniture de services à leurs clients. Dans cette société de plus en plus axée sur le numérique, les développeurs ont une immense responsabilité en tant que gardiens de ces précieuses informations. Lorsque les développeurs ne protègent pas les données confidentielles, l'entreprise est victime d'un stockage cryptographique non sécurisé.
Voyons comment stocker des données en toute sécurité et ce qui peut se passer si vous ne le faites pas.
Comprendre le stockage cryptographique non sécurisé
Lorsque des attaquants accèdent à un système, ils sont généralement à la recherche de données importantes. Vous savez, le type de données qui peuvent être utilisées pour prendre le contrôle du compte de quelqu'un ou pour exécuter une autre attaque. Parfois, ce type de données est simplement vendu sur le marché noir pour un paiement rapide.
Le stockage cryptographique non sécurisé n'est pas une vulnérabilité unique comme l'injection SQL ou le XSS. Cela est dû au fait que vous ne protégez pas les données que vous devriez protéger de la manière dont vous devez les protéger.
Les informations sensibles doivent être protégées. Lorsque vous stockez des mots de passe et des informations de carte de crédit en texte clair, vous jouez Roulette russe avec votre entreprise.
Si un pirate informatique s'introduit dans votre base de données et vole des données en utilisant Injection SQL, Injection XML ou toute autre attaque, ils auront tout. Cependant, si vous chiffrez vos données, ils auront beaucoup plus de mal à les utiliser réellement.
Il est important de noter que les violations ne sont pas toujours le résultat d'une personne extérieure malveillante. Un initié malhonnête peut également voler facilement des données si elles ne sont pas cryptées. Les employés de votre entreprise n'ont pas besoin de voir tout ce qui se trouve dans la base de données, et des contrôles d'accès inadéquats ou la divulgation de données sensibles peuvent entraîner un vol.
N'oubliez pas non plus que tous les chiffrements ne sont pas égaux. Il est tout aussi dangereux d'utiliser les mauvais algorithmes cryptographiques que de ne pas les utiliser du tout. Les algorithmes faibles connus n'offriront que peu de résistance aux attaquants avertis.
Pourquoi le stockage cryptographique non sécurisé est dangereux
De nombreuses entreprises sont compromises par une autre vulnérabilité (telle qu'une injection SQL) et vous vous retrouvez dans l'impossibilité de masquer les données volées. Cela ne fait qu'empirer une situation terrible.
- Adult Friend Finder a été piraté et 412 millions de comptes ont été divulgués. Les mots de passe des comptes étaient protégés par le faible algorithme de hachage SHA-1. Ils ont été facilement piratés par les attaquants en un mois.
- Uber a été piraté, divulguant 57 millions de dossiers d'utilisateurs et 600 000 dossiers de chauffeurs. Des informations personnelles ont été perdues. Cela s'est produit parce que le compte GitHub d'Uber possédait un référentiel contenant le nom d'utilisateur et le mot de passe du compte AWS d'Uber au grand jour... Pas une bonne idée. La valorisation d'Uber a chuté de 20 milliards de dollars, en grande partie à cause de cette brèche.
- Le PlayStation Network de Sony a été piraté et 77 millions de comptes ont été divulgués. 12 millions de comptes contenaient des informations de carte de crédit non cryptées. Sony a ensuite réglé un recours collectif de 15 millions de dollars pour cette violation.
Le fait de ne pas stocker correctement des données sensibles a clairement de graves conséquences.
Sony a été poursuivi en justice, ce qui représente une amende importante. Cependant, même si vous n'êtes pas poursuivi en justice, les dommages à la réputation et à la réglementation peuvent être catastrophiques pour une entreprise.
Éliminez le stockage cryptographique non sécurisé
Comment les développeurs peuvent-ils empêcher les violations de données comme celles ci-dessus de se produire ?
La première étape consiste à identifier les données qui doivent être cryptées en premier lieu. Après tout, toutes les données ne sont pas identiques. Catégorisez vos données, puis utilisez le chiffrement le cas échéant.
En général, les informations personnelles telles que les numéros de sécurité sociale, les mots de passe et les informations de carte de crédit doivent être protégées. Selon la nature de votre activité, il se peut que vous deviez protéger vos dossiers médicaux ou d'autres informations considérées comme privées.
Une fois que vous savez quelles données doivent être protégées, l'étape suivante consiste à utiliser les bons outils pour garantir leur sécurité. En général, il est préférable de s'en tenir à des algorithmes cryptographiques qui ont résisté à l'épreuve du temps et sont considérés comme puissants.
Quoi qu'il en soit, n'écrivez pas vos propres fonctions cryptographiques. Ils sont susceptibles de contenir des failles que les attaquants peuvent utiliser pour déchiffrer le chiffrement.
Pour crypter des données telles que les numéros de sécurité sociale ou les données de carte de crédit, utilisez AES. Il existe différents modes de fonctionnement pour l'AES, un mode fortement recommandé au moment de la rédaction est Mode Galois/Compteur (GCM). Une autre astuce consiste à vous assurer qu'aucun remplissage n'est utilisé pour les bibliothèques qui vous demandent de choisir un type de remplissage.
Pour les mots de passe, utilisez un algorithme de hachage pour hacher les mots de passe car les hachages ne peuvent pas être inversés. Étant donné une valeur fortement hachée, un attaquant ne peut pas récupérer le texte original qui a créé la valeur. Argon 2et Bcryptesont considérés comme de bons choix pour le hachage des mots de passe. N'oubliez pas de toujours « saler » le mot de passe avec une valeur aléatoire avant de le hacher afin qu'il n'y ait pas deux hachages identiques pour le même mot de passe.
Ces fonctions seront implémentées pour tous les principaux langages/frameworks de programmation. Consultez la documentation correspondant à votre langage ou à votre framework spécifique pour savoir comment les utiliser efficacement.
La génération, le stockage et la gestion des clés sont des composants importants de la cryptographie. Des clés mal gérées peuvent être exposées et utilisées pour déchiffrer vos données. Certains frameworks facilitent la gestion des clés, tels que API de protection des données d'ASP.NET. Pour connaître les meilleures pratiques générales en matière de gestion des clés, consultez Aide-mémoire de l'OWASP.
Le stockage sécurisé de vos données vous permet d'éviter des violations de données coûteuses et embarrassantes. Dans le pire des cas, si un attaquant parvient à voler vos données, il aura beaucoup plus de mal à les voir ou à les utiliser à des fins malveillantes.
Cachez vos données à la vue de tous
Voyons rapidement comment protéger vos données :
- Classez vos données afin de savoir ce qui nécessite une protection
- Utilisez des algorithmes robustes et approuvés par l'industrie pour chiffrer les données sensibles
- Stockez vos mots de passe à l'aide de hachages unidirectionnels puissants
Pour approfondir le sujet, consultez notre Ressources pédagogiques. Lorsque vous êtes prêt à vous lancer et à vous entraîner, essayez notre plateforme dans la langue de votre choix. Nous couvrons beaucoup de choses !
Grâce à ces outils, vous pouvez empêcher le vol de vos données et empêcher votre entreprise de perdre de l'argent et de nuire à sa réputation.
Êtes-vous prêt à détecter et à corriger le stockage cryptographique non sécurisé dès maintenant ? Dirigez-vous vers l'arène et testez vos compétences [commencez ici]
Inhaltsverzeichnis
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior Ihr Unternehmen dabei, den Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie für die Anwendungssicherheit verantwortlich sind, Entwickler, IT-Sicherheitsbeauftragter oder in einer anderen Funktion im Bereich Sicherheit tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Demo buchenHerunterladenRessourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Schulung zum sicheren Code
Unsere hochmodernen Inhalte werden ständig weiterentwickelt, um mit den ständigen Veränderungen in der Softwareentwicklungslandschaft Schritt zu halten und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für eine Vielzahl von Positionen konzipiert, von Architekten über Ingenieure bis hin zu Produktmanagern und Qualitätssicherungsmitarbeitern. Verschaffen Sie sich einen Überblick über die Inhalte unseres Katalogs, sortiert nach Themen und Rollen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die missions „Beat the Boss“ sind jetzt auf Abruf verfügbar.
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzen Sie fortschrittliche Sicherheitsherausforderungen im Zusammenhang mit KI und LLM ein, um die sichere Entwicklung von KI in großem Maßstab zu stärken.
Erläuterung des Gesetzes zur Cyberresilienz: Was bedeutet das für die Entwicklung sicherer Software bereits ab der Konzeption?
Entdecken Sie, was das europäische Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams durch Sicherheitsmaßnahmen bereits in der Entwurfsphase, durch die Vermeidung von Schwachstellen und durch die Stärkung der Fähigkeiten der Entwickler darauf vorbereiten können.
Moderator 1: Definierte und messbare Erfolgskriterien
Enabler 1 gibt den Startschuss für unsere 10-teilige Serie mit dem Titel „Enablers of Success“ und zeigt, wie sichere Codierung mit geschäftlichen Ergebnissen wie Risikominderung und Schnelligkeit kombiniert werden kann, um die langfristige Reife von Programmen sicherzustellen.
