Cryptographic Vulnerability: Hardcoded Key
Vulnérabilité Cryptographique : Clé Codée en Dur
Description
Le but principal du chiffrement et du déchiffrement des données est de garantir la confidentialité des informations et d'empêcher les tiers de visualiser des données privées. Des clés pré-partagées peuvent être utilisées lors de la manipulation de grands ensembles de données ou pour protéger la confidentialité des actifs d'une application ou d'un utilisateur. Cependant, l'utilisation d'une clé codée en dur (hardcoded) augmente la possibilité pour un attaquant de déchiffrer et de récupérer les données en cas de vol de l'appareil.
Recommandation
Pour assurer un chiffrement approprié des données sensibles :
- Les clés doivent être uniques à l'appareil et peuvent utiliser les entrées de l'utilisateur pour calculer la clé.
- Lors de la génération d'une clé à partir d'un mot de passe, utilisez un sel (salt).
- Lors de la génération d'une clé à partir d'un mot de passe, spécifiez un nombre d'itérations de hachage approprié.
- Utilisez une clé d'une longueur suffisante pour garantir la robustesse de ce chiffrement.
Liens
Normes
- OWASP_MASVS_L1:
- MSTG_CRYPTO_1
- OWASP_MASVS_L2:
- MSTG_CRYPTO_1
- PCI_STANDARDS:
- REQ_2_2
- REQ_3_5
- REQ_3_6
- REQ_3_7
- REQ_4_2
- REQ_6_2
- OWASP_MASVS_v2_1:
- MASVS_CRYPTO_2
- SOC2_CONTROLS:
- CC_2_1
- CC_4_1
- CC_6_7
- CC_7_1
- CC_7_2
- CC_7_4
- CC_7_5
- CNIL_FOR_DEVELOPERS:
- DEVELOPERS_4_1_4
- HIPAA_CONTROLS:
- SECURITY251
- SECURITY212
- SECURITY213