Discussion :

[vegas]

Bonjour,

je cherche un moyen de sécuriser le mot de passe d'accés à une BD (DB2 et oracle) qui se trouve dans un fichier config.ini utilisé par plusieurs applications.
Sachant que la méthode doit être la même pour toutes mes applications écrites en 3 languages Delphi, Java et .NET.

Quelle est la meilleure méthode?

Cryptage symmetrique genre AES? Mais dans ce cas le code contient la clé privé et un désassemblage du code va révéler la clé. Il y a bien des méthodes d'obfuscation, mais elles ont leur limites.

Je ne cherche pas la sécurité absolue (elle n'existe pas) juste fermer un maximum de porte.

merci pour votre aide.

Vegas

[Jannus]

Est-ce que tu maîtrises la lecture de la clef (accès au code des applications) ?

[vegas]

Est-ce que tu maîtrises la lecture de la clef (accès au code des applications) ?

oui tout à fait. Nous développons ces applications.
Elles sont ensuite installés chez nos clients qui gèrent leur métier avec cela.

[Jannus]

Alors tu fais ce que tu veux avec ton code d'accès.

Tu peux le mettre dans un fichier autre que texte via une écriture en binaire, tu peux le crypter dans la BdR. Mèler des informations client dans le code.
Il y a tellement de possibilités...

Par contre pour avoir quelque chose de très précis
Si quelqu'un te donne sa méthode, elle ne sera plus efficace

[vegas]

oui c'est bien beau tout ca mais ca résoud pas mon problème
Je parlais justement de cryptage symetrique AES (qui est trés puissant) dans mon message.
Mais le problème avec ces cryptages c'est que la clé de décryptage, ou la méthode de décryptage est dans le code.
DOnc en le désassemblant, on peut retrouver la clé ou la méthode, et ce , même en obfuscant le code.

Je cherche quelquechose de plus sophistiqué qu'un simple cryptage de code qu'il soit dans un fichier de config texte (ou binaire) ou BdR ou de l'obfusaction.
Donc un moyen qu'on ne puisse pas retouver le mot de passe meme en desassemblant (Peut etre meme faut-il mettre le mot de passe ailleurs?).

Du genre serveurs de certificats?? possibilité d'utiliser Active Directory (mouais ca m'étonnerait pour cette utilisation)??
Je me demande si l'utilisation d'un tiers n'est pas indispensable.
Ou bien peut etre que quelqu'un peut me dire comment il fait avec les applis qu'il developpe et installe chez ses clients??

Merci en tout cas
Vegas

[ram-0000]

Bonjour,

Je pense que malheureusement ton problème n'a pas de solution fiable à 100%
Soit effectivement, ton appli possède une clé en dur dans le code qui permet de décrypter (AES ou autre) le mot de passe lu dans le fichier de conf (ou la bdr). Dans ce cas, il y a un risque de trouver cette clé en désassemblant ton code. C'est vrai qu'il y a des méthodes d'obfuscation du code pour rendre cette opération plus longue et difficile.

Soit au lancement de ton appli, il te demande la clé pour décoder ton mot de passe. Il n'y a plus de risque de désassemblage mais par contre, il faut que quelqu'un saisisse la clé au lancement de l'appli (c'est pas très user friendly comme méthode)

Les questions à se poser alors sont "quel est le prix des données protégées par mon mot de passe" et "quelles contraintes suis-je prêt à accepter pour protéger ces données". Après, tout est question de choix et de compromis.

Raymond