Bonnes pratiques et contre-mesures

D’après le groupe OWASP :

Déterminer d’abord quelles données doivent bénéficier d’une protection chiffrée (mots de passe, données patients, numéros de cartes, données personnelles, etc.), lors de leur transfert ou leur stockage. Pour chacune de ces données :

• Les données circulent-elles en clair ? Ceci concerne les protocoles tels que HTTP, SMTP et FTP. Le trafic externe sur internet est particulièrement dangereux.
• Des algorithmes faibles ou désuets sont-ils utilisés, soit par défaut, soit dans le code source existant ?
• Est-ce que des clés de chiffrement par défaut sont utilisées ? Des clés de chiffrement faibles sont-elles générées ou réutilisées ? Leur gestion et rotation sont-elles prises en charge ?
• Les réponses transmises au navigateur incluent-elles les directives et en-têtes de sécurité adéquats ?
• Est-ce que le certificat serveur reçu est valide ?
• Est-ce que des fonctions de hachage dépréciées telles que MD5 ou SHA1 sont utilisées ou est-ce que des fonctions de hachage non cryptographiques sont utilisées là où des fonctions de hachage cryptographiques sont nécessaires ?
• Est-ce que des méthodes cryptographiques de remplissage dépréciées, comme PKCS 1 v1.5 sont utilisées ?

On veillera au minimum à suivre les recommandations suivantes :

• Classifier les données traitées, stockées ou transmises par l'application. Identifier quelles données sont sensibles selon les lois concernant la protection de la vie privée, les exigences réglementaires ou les besoins métier.
• Ne pas stocker de données sensibles sans que cela ne soit nécessaire. Les rejeter ou utiliser une tokenisation conforme à la norme de sécurité de l’industrie des cartes de paiement (PCI DSS). Les données que l’on ne possède pas ne peuvent être volées.
• S'assurer de chiffrer toutes les données sensibles au repos.
• Choisir des algorithmes éprouvés et générer des clés robustes. S'assurer qu'une gestion des clés est en place.
• Chiffrer toutes les données transmises avec des protocoles sécurisés tels que TLS. Forcer le chiffrement en utilisant des directives comme HTTP Strict Transport Security (HSTS).
• Désactiver le cache pour les réponses contenant des données sensibles.
• Appliquer les contrôles de sécurité requis selon la classification de la donnée.
• Ne pas utiliser des protocoles obsolètes tels que FTP et SMTP pour échanger des données sensibles.
• Stocker les mots de passe en utilisant des fonctions de hachage avec salage et facteur de délai, telles que Argon2, scrypt, bcrypt ou PBKDF2.
• Les vecteurs d'initialisation doivent être choisis de façon appropriée au mode d'opération. Pour la plupart des modes, cela signifie utiliser un générateur de nombres pseudo-aléatoires cryptographiquement sécurisé (CSPRNG ). Dans tous les cas, un vecteur d'initialisation ne devrait pas être utilisé deux fois pour une clé fixe.
• S'assurer qu'une génération cryptographiquement aléatoire est utilisée là où c'est approprié, et qu'elle n'a pas une graine aléatoire prévisible ou avec une faible entropie.