RE: Question sur la sécurité PostgreSQL 9.6

Merci Michael pour cette réponse complète et précise.

Didier ROS
DSP/CSP IT-DMA/Solutions Groupe EDF/Expertise Applicative
Expertise SGBD
32 Avenue Pablo Picasso
92000 NANTERRE
Bureau : E2 565D (aile Nord-Est)
Tél. : 01.78.66.61.14
-----Message d'origine-----
De : michael(dot)paquier(at)gmail(dot)com [mailto:michael(dot)paquier(at)gmail(dot)com]
Envoyé : mardi 12 décembre 2017 00:05
À : blo(dot)talkto(at)gmail(dot)com
Cc : jmarsac(at)azimut(dot)fr; ROS Didier <didier(dot)ros(at)edf(dot)fr>; pgsql-fr-generale(at)lists(dot)postgresql(dot)org
Objet : Re: Question sur la sécurité PostgreSQL 9.6

2017-12-12 2:57 GMT+09:00 talk to ben <blo(dot)talkto(at)gmail(dot)com>:
> J'ai trouvé cet article qui semble dire que sans ssl l'identification
> par
> md5 est vulnérable car le hash du md5 apparait sur le réseau et peut
> être utilisé pour s'authentifier:
>
> https://hashcat.net/forum/thread-4148.html
> https://www.postgresql.org/message-id/54DBCBCF.9000600@vmware.com

Ce problème s'appelle Pass the hash
(https://en.wikipedia.org/wiki/Pass_the_hash) Il est simple de modifier un client libpq pour créer ce problème. Normalement un individu n'a pas accès à aux MD5 de mots de passe, mais si un attaquant a accès à des backups passés il peut facilement les extraire. Donc vous feriez mieux d'encrypter la connection. SCRAM résout aussi ces problèmes.

Pour répondre à la question posée ici, si "password" est utilisé dans pg_hba.conf, oui le mot de passe est envoyé en clair. Si c'est "md5", le serveur envoie d'abord 4 octets comme sel, que le client utilise pour compiler md5(md5(password || username), salt), qui est ce que le serveur utilise pour la comparaison de mot de passe. Un sel ayant seulement 4 octets, et une compilation de MD5 étant très rapide, MD5 est sensible à ce qui s'appelle aux attaques par rejeu.
--
Michael

Ce message et toutes les pièces jointes (ci-après le 'Message') sont établis à l'intention exclusive des destinataires et les informations qui y figurent sont strictement confidentielles. Toute utilisation de ce Message non conforme à sa destination, toute diffusion ou toute publication totale ou partielle, est interdite sauf autorisation expresse.

Si vous n'êtes pas le destinataire de ce Message, il vous est interdit de le copier, de le faire suivre, de le divulguer ou d'en utiliser tout ou partie. Si vous avez reçu ce Message par erreur, merci de le supprimer de votre système, ainsi que toutes ses copies, et de n'en garder aucune trace sur quelque support que ce soit. Nous vous remercions également d'en avertir immédiatement l'expéditeur par retour du message.

Il est impossible de garantir que les communications par messagerie électronique arrivent en temps utile, sont sécurisées ou dénuées de toute erreur ou virus.
____________________________________________________

This message and any attachments (the 'Message') are intended solely for the addressees. The information contained in this Message is confidential. Any use of information contained in this Message not in accord with its purpose, any dissemination or disclosure, either whole or partial, is prohibited except formal approval.

If you are not the addressee, you may not copy, forward, disclose or use any part of it. If you have received this message in error, please delete it and all copies from your system and notify the sender immediately by return message.

E-mail communication cannot be guaranteed to be timely secure, error or virus-free.