Dans l’article traitant des fraudes à la carte bancaire nous avons vu que beaucoup des revendeurs récupéraient ces informations bancaires via des dumps de bases de données de sites marchands…
Ce genre d’histoire où la base de données d’un site a été compromise se répète trop souvent.
En ce moment nous entendons surtout parler des Antisec / Anonymous / Wikileaks qui arrivent régulièrement à compromettre des systèmes et de voler des bases de données contenant des données privés.
Que leurs actions soient légitimes ou non, cela n’arriverait pas si les bases de données était un peu mieux protégées…

Nous vous conseillons de d’abord jeter un œil à la vidéo réalisée par la team Cymru (en anglais) :

Il suffirait en effet de chiffrer au moins les mots de passe, numéro de cartes bancaires et autres informations confidentielles pour éviter l’exploitation de certaines données d’une base de données volées.
L’idéal est de trouver le juste milieu, chiffrer ce qui peut être dangereux en cas de vol, mais ne pas en abuser non plus. En effet si vous chiffrez toute votre base de données, les performances en prendront un coup!
Ensuite même si vous voulez chiffrer vos données faites attention à comment souhaitez-vous le faire.
Par exemple il y a beaucoup de sites qui proposent de déchiffrer du MD5, préférez chiffrer avec le SHA-1 ou SHA-256 .
Autre bonne pratique, l’utilisation d’un SALT.
Le SALT c’est une valeur aléatoire que nous intégrons au début ou à la fin de la chaine de caractère avant de chiffrer cette chaine (le mot de passe concaténé au SALT) avec une fonction de hash (SHA1…).
Après on stocke donc le mot de passe chiffré, et le SALT dans notre BDD mais surtout pas le mot de passe en clair !
Afin de vérifier si le mot de passe est valide, on exécute la même fonction de hash sur notre « string+salt » et one le compare à notre mot de passe chiffré stocké dans la base.

Voici un petit schéma pour résumer la situation:

Note: Il n’est pas possible de récupérer le mot de passe d’origine si on ne le connait pas, c’est pourquoi la plupart des sites ne vous renvoient pas votre mot de passe quand vous l’avez perdu mais qu’il vous propose d’en générer un nouveau.
Les inconvénients : par ce fait, lors d’une demande de génération de mots de passe une question de sécurité est souvent demandé afin de vérifier que la personne qui demande un nouveau mot de passe est bien la propriétaire du compte…
Personnellement je ne trouve pas cette pratique très sécurisée les questions de sécurité étant du genre « quel est votre animal préféré », « quel est le nom de votre meilleur ami d’enfance? » avec un peu de social engineering il est très facile d’obtenir la réponse à ces questions…

D’ailleurs un bon nombre de célébrités se sont fait hacké à cause de ces questions de sécurité! (via Gmail, Facebook…).