Migrer les mots de passe d'eZ Platform 2.5 vers Ibexa 4.6

Loïc Audu

3 janv. 2025

Le MD5 etait utilisé sur la version 2.5 d'eZ Platform. Cette solution est maintenant plus la meilleur solution pour chiffrer les mots de passes.
Sur la dernière version LTS d'Ibexa, c'est le bcrypt qui est utilisé. Lors d'une migration de version de l'application, il faut donc migrer les mots de passe présents dans la base de données.

Les différences

Caractéristique	MD5	bcrypt
Type d'algorithme	Fonction de hachage cryptographique	Algorithme de hachage de mot de passe
Objectif principal	Créer une empreinte numérique (hash)	Hacher les mots de passe de manière sécurisée
Résistance aux collisions	Très faible, collisions faciles à trouver	Très forte
Salage (salt)	Non intégré nativement (nécessite une implémentation manuelle)	Intégré nativement, sel unique par hachage
Facteur de coût	Non applicable	Configurable, impacte le temps de calcul et la résistance aux attaques par force brute
Résistance aux attaques par force brute	Très faible, vulnérable aux attaques par rainbow tables et aux attaques par force brute directe	Très forte, grâce au salage et au facteur de coût
Vitesse de calcul	Très rapide	Intentionnellement lent, configurable
Utilisation actuelle	Obsolète pour le hachage de mots de passe, encore utilisé pour vérifier l'intégrité de fichiers (mais également déconseillé pour les applications sensibles)	Standard de l'industrie pour le hachage de mots de passe
Sécurité	Très faible, non sécurisé	Très élevée

Migration des mots de passes d'eZ Plaform 2.5 vers Ibexa 4.6 : l'aspect technique

La migration des mots de passe de MD5 vers bcrypt dans le cadre d'une mise à jour d'Ibexa nécessite une approche spécifique, car il n'est pas possible de "déhacher" les mots de passe MD5. La stratégie consiste à effectuer la migration lors de la connexion de l'utilisateur :

Vérification MD5 : Lors de la tentative de connexion d'un utilisateur, le système vérifie d'abord si le mot de passe correspond au hachage MD5 existant.
Hachage bcrypt et mise à jour : Si la vérification MD5 réussit, le système hache le mot de passe avec bcrypt et met à jour l'enregistrement de l'utilisateur dans la base de données avec le nouveau hachage bcrypt. Ainsi, lors des prochaines connexions, seul le hachage bcrypt sera utilisé.

La migration de MD5 vers bcrypt est une étape cruciale pour renforcer la sécurité de votre plateforme Ibexa. En adoptant bcrypt, vous protégez efficacement les données de vos utilisateurs contre les attaques modernes. La sécurité de votre site et de vos utilisateurs en dépend.

Vous voulez en savoir plus et être accompagné pour votre projet de migration eZ Platform vers Ibexa. N'hésitez pas à nous contacter.