Le chiffrement mènerait à un rajout de failles de sécurité ?

La sécurité étant devenue le centre de préoccupation des développeurs, ces derniers ont souvent recours à la cryptographie. Mais ceux-ci pêchent dans l'implantation. La cryptographie est donc devenue une importante source de failles de sécurité.

La sécurité est primordiale, c'est pour cette raison que les développeurs ont souvent recours au chiffrement. Le problème est qu'ils ne sont pas toujours experts dans ce domaine. Certains ne maîtrisent pas l'implémentation, ce qui favorise la présence de faille de sécurité au sein des applications.

D'après le fournisseur de solutions de sécurité Veracode, la deuxième cause serait la mauvaise implémentation des protocoles de sécurité, les plus touchées sont les applications web, suivies des applications mobiles. Bien qu'une mauvaise implémentation peut-être la source d'une ou plusieurs failles de sécurité, la qualité du code joue également un rôle crucial dans la sécurité.

Voici les statistiques :

Les failles dues à une mauvaise implémentation seraient donc plus courantes que les problématiques plus connues telles que : L'injection SQL ou le Cross-Site Scripting (les fameuses failles XSS, l'une des plus connues), et plein d'autres encore, ne les citons pas toutes...

Les développeurs, la cause de ce gros problème

Veracode explique que les développeurs chiffrent afin de répondre aux législations en matière de protection de données, mais n'ont pas toujours les connaissances pour implémenter correctement. Veracode insinue qu'il n'y a pas assez de formation axée sur cette problématique (et c'est bien dommage).

D'après le directeur technique de Veracode, les développeurs auraient tendance à penser qu'il suffit d'appeler une librairie OpenSSL (admettons) pour protéger comme voulu l'intégralité des données.

Les librairies de cryptographie seraient trop pensées pour des spécialistes que pour des développeurs lambda.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Paul Feuvraux

Passionné d'administration système, de physique, et d'animations japonaise / mangas. Je souhaite effectivement devenir sysadmin !

paul-feuvraux has 6 posts and counting.See all posts by paul-feuvraux

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.