Discussion :

[berger2]

Bonjour,

Voilà, j'ai un site sur lequel s'enregistrent les internautes. Je leur envoie un identifiant et mot de passe.

Ensuite ils peuvent utiliser mon logiciel sous Windows.

Le problème c'est comment coder le mot de passe de ma base de données dans le code de mon application ?

Je ne veux pas que ce mot de passe soit écrit en clair dans le code.

Merci d'avance

[mactwist69]

Il faut utiliser un système de hashage (MD5)

[berger2]

Merci pour ta réponse.

Je ne vois pas trop comment faire.

En effet, je dois créer ma connection dans mon programme et c'est là qu'il faut entrer

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
Dim oConn As MySqlConnection
        oConn = New MySqlConnection()
        oConn.ConnectionString = "server =localhost;user = toto;password = '123';database= client"

Or je ne veux pas que les informations soient visibles.

Encore merci

[franticfranz]

Bonjour,

L'idée du Hash MD5 est la suivante : plutôt que de transmettre le mot de passe en clair...

1. on calcule l'empreinte numérique du mot de passe sur 128 bits (coté client)

2. On transmets l'empreinte numérique au serveur

3. Le serveur vérifie que le Hash MD5 est conforme à celui qui est dans une base de données (par exemple)

4. Si l'égalité est vérifiée, l'identification est validée.

Les avantages du MD5 sont les suivantes :

- Simplicité de mise en œuvre

- A aucun moment le mot de passe d'origine n'est transmis ni stocké

- Il est statistiquement improbable (comprenez "impossible") de trouver deux fois le même Hash MD5 avec deux mots de passe différents. D'où une très grande difficulté de pirater le mot de passe par essais aléatoires.

Plus concrètement, voilà une fonction VB.NET qui calcule le Hash MD5 à partir d'une chaîne de caractères (votre mot de passe, par exemple) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
    Private Function GenerateHash(ByVal SourceText As String) As String
        'Instantiate an MD5 Provider object
        Dim Md5 As New MD5CryptoServiceProvider()
 
        Dim bytesToHash() As Byte = System.Text.Encoding.ASCII.GetBytes(SourceText)
        bytesToHash = Md5.ComputeHash(bytesToHash)
        Dim strResult As String = ""
        For Each b As Byte In bytesToHash
            strResult += b.ToString("x2")
        Next b
        Return strResult
    End Function

[Invité]

Le plus simple et plus propre est de stocker la chaîne de connexion dans le fichier de configuration et de crypter ce dernier.

[berger2]

Un grand merci pour les réponses.

Par contre je ne comprends pas très bien où placer le codage.

Je pense que cette solution est bonne:

- je crypte toute ma base de données.
- la connection de mon programme vers la base de données sera cryptée
- je compare le mot de passe avec celui de la base.

De ce fait, même si le pirate arrive à lire le mot de passe à ma base, il ne pourra rien faire car tout le reste sera crypté.

Quand pensez-vous?

[Invité]

- je crypte toute ma base de données.

Pourquoi tout crypté vu que les identifiants le seront alors sans ces derniers impossible de se connecter à la base.

- la connection de mon programme vers la base de données sera cryptée

Tu mets la chaîne de connexion dans le fichier app.config ou web.config et il existe une astuce pour crypter la section concernée.

- je compare le mot de passe avec celui de la base.

Pas besoin si tu cryptes la section contenant ta chaîne de connexion, elle sera décryptée automatiquement par ton application à la lecture. Pas besoin de comparaison ni quoi que ce soit.

[berger2]

Les clients peuvent télécharger des fichiers antérieurs à la date du jour s'ils ne sont pas inscrits.

Sinon ils peuvent télécharger le fichier du jour.

Voilà ce que je fais:

- quand le client s'inscrit, il est enregistré sur ma base de données (mot de passe et identifiant et date maximum d'utilisation du fichier du jour ( exemple 1 semaine)
- je lui envoie un mail avec ses identifiants
- lors de la première ouverture du logiciel, le client entre le mot de passe et identifiants
- le logiciel va vérifier sur la base s'il peut encore utiliser le fichier du jour.

Or c'est là que se pose le problème de sécurité, c'est que le logiciel doit se connecter à la base de données avec un mot de passe et identifiant.

C'est pourquoi je me suis dit, qu'il valait mieux tout crypté par sécurité.

L'application est déployée avec Clickonce

[sinople]

Juste pour être sur de bien avoir compris la problématique:

- La base de donnée auquel se connecte ton application Windows est distante (sur ton serveur) et non pas locale.
- Le login et le mot de passe que tu envoies corresponde à un couple d'identification sur la base de donnée (Et non pas une connexion commune à la base de donnée puis une fonction d'autentification se basant sur une requête dans cette dernière).

Si c'est bien le cas, je peux déjà te préciser d'oublier les postes précédant parlant du MD5.

La technique la plus simple (et selon moi la seul vraiement efficace) pour ne pas avoir de mot de passe enregistré en clair sur le poste du client: Ne pas enregistré de mot de passe et le demander à l'utilisateur au lancement de l'application dans une boîte de dialogue, puis de crée la chaîne de connexion à la volée.

En effet si tu utilises des fonctions de cryptage sur l'application en .net, il sera relativement aisé de les retrouvés avec de l'ingénieurie à rebours pour decrypter ces informations. Certains diront qu'il est plus difficile de trouver l'emplacement d'un fichier de configuration de click-once...

Autrement il est aussi possible de déléguer le stockage et le cryptage des mot de passe aux API Windows.
Un début de piste...

En conclusion:

Laisse tomber toutes les fonctions de cryptage homemade codée en .NET qui n'offre qu'une illusion de sécurité à cause de la facilité de l'ingénieurie à rebours sur cette technologie.

[berger2]

oui la base de données est sur un serveur distant

Le logiciel teste les identifiants du client sur la base de données.

Mais pour tester, je dois mettre mon nom d'utilisateur et mot de passe pour me connecter à la base.

Tu as raison en ce qui concerne le MD5. J'ai trouvé ceci sur le web:

http://www.developpez.net/forums/d35...ryptage-passe/

Je pensais mettre les identifiant dans le fichier app.conf puis le crypter.