Meetup Lizard - Chiffrement pour vos applications

Page dédiée à la soirée sur www.g-echo.fr

Planning

• JF BAILLETTE, G-echo, Rappels de cryptographie pour le développeur,
• Christophe VILLENEUVE, Hello Design, Hack-tualité,
• Mickaël Palma, responsable des APIs du Groupe Argus,, implémentation d'un certificat letsencrypt,
• Didier BERNAUDEAU, expert AppSec chez OCTO Technology, AEAD avec une démonstration du fonctionnement en nodejs,
• Dominique CHABAUT, Microfocus, Chiffrement FFP-1.

Rappels

Sécurité = D.I.C (P)

Chiffrement pourquoi faire?

Protéger des données en transport et en stockage

Protéger des données confidentielles, personnelles, ...

Basiques

• Chiffrement: Protéger des données (droit d'en connaître)
• Hashing: Représenter une information sur un "unique id" de largeur fixe
• Encodage: Interopérabilité des systèmes
• Obfuscation: Rendre difficile la rétro-ingénierie

Algorithmes

• Chiffrement: AES, DES, Blowfish, RSA, ECC, ...
• Hashing: MD5, SHA1, SHA256, SHA512, bcrypt, PBKDF2, Argon2...

En mode block ou stream

Lequel utiliser ?

Broken or not broken???

• RC4 en 1995,
• MD5 en 2004 (NTLM basé sur MD4),
• SHA-1 en 2005,
• ...

Transport

• Certificats embarqués dans les navigateur (trust autorities),
• LONG: cryptographie asymétrique = serveur et client font un handshake Diffie-Hellman (clefs publiques/clefs privées),
• RAPIDE: cryptographie symétrique = secret commun qui permet de chiffrer la suite des échanges.

Ne pas oublier de protéger les webservices, websockets, ftp, ...

Cipher suite

Choisir sa "Cipher suite"

sslscan -show-ciphers www.g-echo.fr
...
Heartbleed:
TLS 1.2 not vulnerable to heartbleed
TLS 1.1 not vulnerable to heartbleed
TLS 1.0 not vulnerable to heartbleed

Supported Server Cipher(s):
Preferred TLSv1.2  128 bits  ECDHE-RSA-AES128-GCM-SHA256   Curve P-256 DHE 256
...
...

Stockage des mdp

Mots de passe et autres informations qu'on va stocker sans jamais pouvoir retrouver "le clair":

• Les hasher avec un algorithme réputé solide,
• Vérifier s'ils n'ont pas déja été cassés type have i been pawned?

sha512sum <MON_FICHIER>

a71d0a5e586beacf3dba236806a5b9503a1bfab809ca4517228d9538c7bfb898fe2a808e2b1bbe0106535679b3ec4a7762f5d66920308d6b6e634efca2447aac  <MON_FICHIER>

Appel à propositions

Pour les prochains Meetup:

• Lieux,
• Sujets,
• Intervenants,
• Stagiaires.

Bonus

CyberEdu et la malette numérique

Contenu pédagogique

Tips et articles

Actualité cybersécurité

Hacks, exploits, ...

DLP-Fuites de données

Droit, numérique, cyber...

Sécurité, RH, Formation

Embarqué, IoT

Conseils pratiques

Conférences cybersécurité

Développement informatique

Linux et outils

Clubs, associations, syndicats

Quelques clubs, associations, syndicats dans lesquels nous vous encourageons à venir partager de l'information:

Et bien d'autres...

Conclusion

Pensez DevSecOps ou SecDevOps...

RDV sur www.g-echo.fr.