Chaque semaine, nous entendons parler du dernier site Web piraté et des pirates informatiques ayant accès à une autre base de données contenant les données personnelles des consommateurs.
Rien que la semaine dernière, de nombreux cas de piratage ont été signalés, notamment le vol des dossiers médicaux de 290 000 patients du « Mor Medical Institute » et la publication des données d’un million d’abonnés à une application de rencontres populaire.
Toutes ces informations ont été extraites de bases de données contenant des informations privées et sensibles, qui ont été stockées sur le site Web de manière non sécurisée.
Les pirates auraient eu accès au serveur IIS (Internet Information Services de Microsoft) en piratant la société d’hébergement, de sorte qu’ils ont eu accès à tous les sites Web hébergés. Ensuite, ils ont contacté le code ainsi que les bases de données, ont obtenu tous les mots de passe – qui ont été exposés sans hachage (par exemple sous forme de texte clair), afin qu’ils puissent accéder à toutes les informations dans les bases de données.
Il existe une solution simple qui aurait pu empêcher cela
Une façon de résoudre ce problème, une solution qui est déjà devenue une norme de facto ces dernières années, consiste à utiliser le coffre-fort HashiCorp.
Il s’agit d’un produit open source populaire, et il existe même une édition gratuite qui est souvent suffisante, tandis que la construction de la solution ne prend pas trop de temps.
L’utilisation de HashiCorp Vault vous permet de :
- Empêchez d’entrer le nom d’utilisateur et le mot de passe de la base de données dans votre code – ce qui empêche l’accès à la base de données même si quelqu’un a accès au code.
- Mécanisme de cryptage sans connaître la clé – c’est-à-dire Lorsque vous souhaitez crypter des informations avant qu’elles n’entrent dans la base de données, vous pouvez utiliser Vault de manière à ce que l’application ne soit pas familiarisée avec la clé de cryptage – les informations contenues dans la base de données sont alors inutiles pour les pirates, et même s’ils y ont accès au code – ils ne connaissent pas la clé de cryptage !
Cela empêcherait l’accès aux données elles-mêmes même si les pirates pouvaient atteindre la base de données, ce qui empêche en fait les pirates d’accéder aux informations importantes et sensibles qu’ils tentent d’obtenir.
Nous (ALM-Toolbox) sommes le représentant officiel de HashiCorp Vault dans de nombreux pays dont la France , et nous proposons des solutions de bout en bout pour Vault.
Nous pouvons inspecter votre système actuel, planifier une solution adaptée à vos besoins et la mettre en œuvre rapidement.
Nous fournissons également une assistance continue, notamment un service géré, un SLA, des capacités d’entreprise et des licences d’abonnement d’entreprise.
Nous proposons également une formation HashiCorp Vault et une formation sécurisée au développement.
Pour plus de détails, contactez-nous :+33(0)1 84 17 53 28, devops.fr@almtoolbox.com
Liens utiles
