Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Chiffré n'est pas sécurisé!!!

Chiffré n'est pas sécurisé!!!
2008-10-072013-02-11sécurité applicativefr
Trop souvent, lorsqu'on demande à une personne si l'application sur laquelle elle se connecte est sécurisé, on reçoit en réponse : "bien sur, c'est chiffré", parce qu'il s'agit de HTTPS, SSH ou autre. Il faut briser cette croyance que chiffrer sécurise un service réseau. Le...
Publié le 7 Octobre 2008 par Blogger Anonymous dans sécurité applicative

Trop souvent, lorsqu'on demande à une personne si l'application sur laquelle elle se connecte est sécurisé, on reçoit en réponse : "bien sur, c'est chiffré", parce qu'il s'agit de HTTPS, SSH ou autre.

Il faut briser cette croyance que chiffrer sécurise un service réseau.

Le chiffrement, si le processus de mise en place est intègre et abouti, n'a pour finalité que de préserver la confidentialité. En d'autres termes, une personne malveillante qui écouterait le réseau ne verra passer qu'un brouillat au lieu de données d'authentification par exemple.

Mais avant de parler chiffré, le service réseau doit tout simplement parler. Par conséquent, s'il a une vulnérabilité qui, correctement exploitée, permettrait de gagner des privilèges ou de prendre la main à distance par un débordement de pile, le chiffrement ne la fera pas disparaître.

Dans le même esprit, si l'application WWW d'un serveur HTTPS présente des faiblesses d'injection par exemple, celles-ci seront toujours exploitables malgré le chiffrement.

Pour sécuriser une application, seuls les correctifs de sécurité, la validation d'une bonne configuration sécurisée du service et la vérification des programmes utilisés sur le WWW dans le cas de script CGI ou de pages actives ASP ou PHP par exemple permettront de réduire ce risque.



2 Commentaires

  • 30 Octobre 2008
    2008-10-30
    par
    Bonjour,

    Attention, ne confondons pas...

    Mon propos est 'chiffré n'est pas sécurisé'.

    Vous parlez ici d'une programmation faite correctement (ou d'une validation de code), ce qui devrait s'appliquer à tout logiciel.

    Mais un logiciel qui chiffre ne subit pas de contrôle particulier par rapport à un qui ne chiffre pas. Pour preuve le nombre quotidien de failles de sécurité affectant également des logiciels même dits de 'sécurité' (SSH, ...)

    Cdlt
  • 25 Octobre 2008
    2008-10-30
    par
    Pas totalement d'accord.....
    Pour une bonne application sécurisée, Rien ne vaut un développement correctement fait.

    On vérifie toujours les données entrées, et on évite des tas de cochonneries au final si on rejette tout ce qui n'est pas explicitement autorisé. Mais n'est ce pas la la VRAI politique de sécurité ?

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage