Bonjour,

Je vais peut-être poser une question bête mais ça me trotte dans la tête.

Je suis actuellement entrain de développer mon application avec C# et j'utilise MySql dans mon projet. J'aimerai savoir s'il est possible d'une quelconque manière que ce soit de récupérer les identifiants de ma base de données depuis mon .exe ? Je sais qu'il est possible de faire du reverse engineering et de ce fait récupérer les fonctions par exemple de mon application et sa structure, il existe de nombreux décompiler (gratuit ou payant) permettant de facilement récupérer ces informations. Aussi, avez-vous un lien ou un livre à lire concernant la sécurité des applications .NET ?

Par ailleurs, j'utilise un obfuscator afin de rendre la tâche plus difficile.

Merci de vos réponses.

PS: Je ne parle pas ici de faille, comme l'injection SQL.

-
Edité par S@yf 15 janvier 2021 à 22:04:26

Pouvez-vous être plus précis ?

Généralement, on utilise des solutions de sécurité "clé en main" qui se chargent de protéger les informations sensibles à notre place (généralement dans l'OS). Mais aucune sécurité n'est absolu, c'est fonction du type de menace.

bacelar a écrit:

Pouvez-vous être plus précis ?

Généralement, on utilise des solutions de sécurité "clé en main" qui se chargent de protéger les informations sensibles à notre place (généralement dans l'OS). Mais aucune sécurité n'est absolu, c'est fonction du type de menace.

Bonjour, merci de votre réponse. Je ne vois pas vraiment comment être plus précis. J'ai dans mon application un code qui permet de se connecter simplement à ma base de données. Dans ce code se trouve les identifiants pour s'y connecter et je demande simplement s'il est possible de récupérer ces identifiants qui se trouve dans une variable string en cherchant à lire le .exe.

// Conenction information
private const String SERVER = "xxxxxx";
private const String DATABASE = "xxxxxx";
private const String UID = "xxxxxx";
private const String PASSWORD = "xxxxxx";
public static MySqlConnection db;

Ce que tu demandes c'est s'il existe un désassembleur qui peut récupérer tes mots de passe ou autre information critique?
Comme bacelar l'a dit, tout est possible.
Mais si ton code est moindrement gros, il se peut que des suites de caractères ressemblent à un mot de passe.
Pour ce qui est d'analyser du code assembleur qu'on ne connait pas, ça peut devenir extrêmement complexe.
Personne ne se donnera cette peine sauf s'il y a un profit important en jeu.
Si tu as vraiment peur, tu peux générer tes mots de passe en les assemblant (mauvais choix de mots ...) dans ton code.

PierrotLeFou a écrit:

Ce que tu demandes c'est s'il existe un désassembleur qui peut récupérer tes mots de passe ou autre information critique?
Comme bacelar l'a dit, tout est possible.
Mais si ton code est moindrement gros, il se peut que des suites de caractères ressemblent à un mot de passe.
Pour ce qui est d'analyser du code assembleur qu'on ne connait pas, ça peut devenir extrêmement complexe.
Personne ne se donnera cette peine sauf s'il y a un profit important en jeu.
Si tu as vraiment peur, tu peux générer tes mots de passe en les assemblant (mauvais choix de mots ...) dans ton code.

Très bien, cela répond à ma question. Merci à tous les deux :)!

Un exécutable n'est pas un coffre-fort et l'offuscation n'est qu'un retardant.

Et si c'est juste pour protéger votre connexion, comment garantir que vous n'allez pas fournir ces informations à un simple "man in the middle" ?

Si vous blindez votre exécutable mais pas les tuyaux, c'est peine perdue.

Il existe pas mal de mécanisme de sécurité dans .NET qui utilisent la sécurité de l'OS, comme l'"Integrated Security Connection" fourni via le provider.

Mais tout cela ne rime à rien sans un modèle de menace.

Bonjour @bacelar,

merci pour votre réponse complémentaire.