Soldes d'hiver : Grâce à son observatoire des prix, Numerama détecte les bonnes affaires !

Skyrock confirme que les mots de passe peut-être volés ne sont pas chiffrés (MAJ)

Guillaume Champeau - publié le Lundi 24 Mai 2010 à 18h24 - posté dans High-Tech

Les services techniques de Skyrock.com ont confirmé que les mots de passe des 32 millions de membres inscrits sur la plate-forme, et notamment ceux de la plate-forme du gouvernement Waka, sont stockés en clair. Ils n'y voient cependant pas un problème de sécurité, alors qu'une faille a été exploitée qui a pu permettre d'accéder à l'ensemble des mots de passe.

Mise à jour - Skyrock a souhaité nous faire parvenir les précisions suivantes :

Précision de la part de skyrock.com

Une tentative d'intrusion a eu lieu sur nos systèmes le mercredi 19 mai. Nous n'avons à ce stade aucune certitude sur l'éventuelle action de l'intrus. C'est à titre préventif que nous avons pris des mesures de protection internes. De plus, nous avons incité nos utilisateurs à changer leur mot de passe. Le service a publié une alerte sécurité vendredi 21 en fin de matinée. Les autorités judiciaires ont été informées en vue d'une plainte.

On ne peut déterminer à ce stade si l'application " waka " était concernée.

Concernant le stockage des mots de passe, pour des raisons de sécurité, nous conservons dans une base protégée un historique des mots de passe. Cet historique permet, d'une part, d'assister les utilisateurs lors des vols de mots de passe et, d'autre part, de restituer leur mot de passe aux utilisateurs qui le demande et dont les emails d'inscription ne sont plus valides.

La CNIL a contrôlé skyrock.com en octobre 2008 et n'a fait aucune remarque sur nos procédures de sécurité.

Notre premier souci est la sécurité des utilisateurs et de leurs données, nous mettons nos meilleures ressources en oeuvre à cet effet.

--

Samedi, nous rapportions que le site du gouvernement Waka hébergé par Skyrock.com pour consulter la jeunesse a permis à un hacker de stocker des scripts sur les serveurs de l'éditeur, et peut-être d'accéder aux bases de données de la plate-forme. C'est potentiellement l'une des plus graves atteintes à la sécurité des données des utilisateurs jamais connue sur le web français. Mais Skyrock cherche à minimiser l'évènement, et ose même prétendre que le stockage non chiffré des mots de passe de ses 32 millions de membres n'est pas une immense faille de sécurité, mais un service rendu aux utilisateurs. "It's not a bug, it's a feature", comme dit l'adage bien connu des développeurs.

Interrogé par LeMonde.fr, le responsable de la prévention et de la sécurité de Skyrock.com Jérôme Aguesse a défendu le fait que les mots de passe des membres du service ne sont pas chiffrés dans les bases de données, comme l'impose la sécurité la plus élémentaire. "Nous conservons dans une base protégée un historique des mots de passe en clair afin, d'une part, d'assister les utilisateurs lors des vols de mots de passe et, d'autre part, de pouvoir restituer leur mot de passe aux utilisateurs qui le demandent et dont les emails d'inscription ne sont plus valides", indique ainsi Jérôme Aguesse.

Pour Skyrock, le service apporté au client est jugé plus important que la sécurité apportée aux données de ces mêmes clients. Et ce, en dépit des recommandations qu'aurait apportées la CNIL à Skyrock il y a un an demi, lorsque la Commission avait constaté l'absence de chiffrage lors d'un contrôle. Beaucoup d'internautes utilisent en effet le même mot de passe pour tous leurs services en ligne. Il suffit donc de mettre la main sur un mot de passe dans une base données pour accéder ensuite, par exemple, à tous les e-mails d'un utilisateur.

Sur Numerama comme beaucoup de sites internet, les mots de passe des membres ne sont pas stockés. Seul le résultat d'une formule mathématique très complexe (une signature de type SHA-1 ou MD5) appliquée au mot de passe lors de sa saisie est stocké. Si lors d'une nouvelle saisie du mot de passe le résultat obtenu en appliquant la même formule est le même, alors le mot de passe est réputé valide. Sinon, l'utilisateur peut se faire envoyer par mail un nouveau mot de passe généré aléatoirement, dont encore seule la signature est stockée. Ainsi, si nos bases de données sont un jour corrompues par un hacker (personne n'est à l'abri), il saura que le résultat de la formule mathématique est "10", mais pas si le mot de passe est "5+5", "7+3" ou "8+2". Or les algorithmes SHA-1 ou MD5 étant immensément plus complexes, il est virtuellement impossible de trouver le mot de passe à partir de cette signature.

A l'image de son très mollasson message d'alerte, qui parlait de simple "tentative d'intrusion", Skyrock a tenu à préciser au Monde qu'il n'avait "à ce stade aucune certitude sur l'éventuelle action de l'intrus". Mais peu importe. La seule possibilité qu'une intrusion puisse permettre de découvrir les mots de passe de 32 millions d'utilisateurs est inacceptable.

Dans son message d'alerte adressé à ses membres, Skyrock osait écrire que "la meilleure protection contre tout piratage de ton compte est le changement régulier de ton mot de passe". Comme si la faute incombait aux utilisateurs plus qu'à la négligence caractérisée de Skyrock...
Publié par Guillaume Champeau, le 24 Mai 2010 à 18h24
 
 
64
Commentaires à propos de «Skyrock confirme que les mots de passe peut-être volés ne sont pas chiffrés (MAJ)»
 

1
2
3
4
Une photo qui résume bien l'affaire.
Faut vraiment pas être compétent pour oser sortir des énormités comme cela à un journal réputé sérieux...
La meilleure protection contre tout piratage de ton compte Skyrock est de ne pas en ouvrir un, voilà tout...
Pour le md5 il est même conseillé de rajouter un sel

http://lindev.fr/ind...le-grain-de-sel
zepad, le 24/05/2010 - 18:36
La meilleure protection contre tout piratage de ton compte Skyrock est de ne pas en ouvrir un, voilà tout...

+1000
Premier résultat google : " Jérôme Aguesse poursuit ses études à l'ESC des Arts et Métiers option marketing où il publie un mémoire sur le Commerce électronique "

Je crois que ça résume bien la situation...

Sinon, le md5 est mort, on est capable de créer des collisions pour n'importe quel hash aujourd'hui. Le md5 n'est plus sur, il faut passer au sha-1, minimum.
Or les algorithmes SHA-1 ou MD5 étant immensément plus complexes, il est virtuellement impossible de trouver le mot de passe à partir de cette signature.
Sauf que les Rainbow Table cela existe... http://fr.wikipedia....ble_arc-en-ciel
Les fonctions de hashage c'est bien mais il faut aussi utiliser des algo incluant un salage pour être vraiment tranquille. ;)
skyroque fessebouc

même mer** !

à éviter ;)
Amusant, autant de naïveté... Ce n'est déjà pas si évident d'expliquer aux gens l'utilité d'un mot de passe complexe, alors si en plus les services en ligne ne protège pas les mots de passe de leurs usagers...

Tenez, une statistique amusante :
http://www.statosphe.../stat.php?id=71

Dans 25% des cas de piratage graves, le mot de passe était "mot de passe"...
Je ne vois pas comment on peut craquer un mot-de-passe en md5 surtout s'il est compliqué. Encore moins si a ce mot-de-passe est pré-appliqué un algo supplémentaire. Toutes les 'collisions' du monde n'y suffiront pas... ;-)
C'est assez affligeant de lire des imbécilité pareil !
"C'est pour rendre service à nos utilisateurs que nous sotckons nos mots de passes en clair"
Oui et la marmotte, elle met le chocolat dans le papier d'aluminium !
Héberger une plate-forme gouvernementale (quelque soit le gouvernement) c'est prendre le risque de se faire hacker, si en plus on affirme en être un partenaire c'est se coller une cible dans le dos.
@astragor: ils veulent dire 'si un utilisateur perd son mot de passe, il lui est renvoyé par email en clair sans besoin de le changer ultérieurement'.
Oui c'est affligeant et pourtant assez courant... hélas.
Hey00, le 24/05/2010 - 18:37
Sinon, le md5 est mort, on est capable de créer des collisions pour n'importe quel hash aujourd'hui.
Ca n'a rien à voir, ces collisions (càd deux messages différents ayant la même valeur de hachage) ne sont un problème que pour les signatures électroniques de documents (puisqu'une seule valeur de hachage permet de valider deux documents différents), pas pour les mots de passe.


plop42, le 24/05/2010 - 18:44
Sauf que les Rainbow Table cela existe... http://fr.wikipedia....le_arc-en-ciel.
Les fonctions de hashage c'est bien mais il faut aussi utiliser des algo incluant un salage pour être vraiment tranquille. ;)
En fait l'utilisation d'un sel n'est même pas suffisante, il faut la compléter par de nombreuses itérations de l'algorithme de hachage, afin d'augmenter le plus possible le temps de cassage par force brute ou par dictionnaire; puisque n'importe quel PC est capable de calculer plusieurs millions de hash md5 par seconde...
Hé Kad, pas de MD5, hein ? Il existe des sites et dictionnaires de "reverse MD5" où l'on peut retrouver le mot correspondant à un hash donné. J'ai bien rigolé (jaune) sur un forum PHPBB 2: bien la moitié des mots de passe trouvés et j'ai eu le pressentiment que ces mots de passe étaient utilisés bien ailleurs !

Heureusement qu'avec PHPBB 3, il y a salage...

N'en reste que le "feature" du retrouver le mot de passe oublié, c'est d'un grotesque... Il y a des baffes qui se perdent. Le type interviewé par Le Monde a du avoir de l'eau sous les bras, s'il a pris conscience du désastre duquel il parle...
Désolant mais fallait il s'attendre à autre chose ? D'ailleurs, au passage, en tant qu'utilisateur, on peut détecter ce genre de stupidité informatique en déclenchant une procédure de perte de mot de passe. Si la plateforme vous redonne votre mot de passe par mail (base de donnée cryptée ou pas) c'est grave et il faut prévoir un mot de passe pour la circonstance.
C'est abusé, ils se rendent pas compte mais un mot de passe utilisé sur Skyblog peut être le même que celui de Paypal.
Même un petit md5 aurait fait un minimum l'affaire (Même si c'est loin d'être sécurisé).
Comme si la faute incombait aux utilisateurs plus qu'à la négligence caractérisée de Skyrock...
Skyrock, attention, ça va couper !
Signé : HADOPI
^^
tout façon le mot de passe chiffré ou non sers pas tellement à grand chose en regardant de près, c'est comme les forums phpbb si tu as la base sql même crypter, suffit de modifier l'email du compte pour recevoir le passe donc...

par contre chose que je n'ai jamais testé, utilisé le passe crypté d'un autre forum, cms etc.. en md5 et d'essayé de le recevoir avec phpbb
itsigo, le 24/05/2010 - 19:50
tout façon le mot de passe chiffré ou non sers pas tellement à grand chose en regardant de près, c'est comme les forums phpbb si tu as la base sql même crypter, suffit de modifier l'email du compte pour recevoir le passe donc...

Dans ces cas là au moins tu limites les dégâts au seul service attaqué.

1
2
3
4
A LA UNE
LES + COMMENTÉS
> Tous les articles
Télécharger
FCleaner
Nettoyeurs - Nettoyeur gratuit et puissant
 
BattleField 1942 :
Tir subjectif (FPS) - Jeux d'action multi-joueurs
 
Active Dekstop
Personnalisation - Une nouvelle façon de disposer l'information sur son bureau
 
Risingware Exp+ Free Edition
Navigateur Web - Un navigateur à tout faire
 
The Dude
Outils Réseau - Cartographie du réseau informatique
 
Mai 2010
 
Lu Ma Me Je Ve Sa Di
26 27 28 29 30 1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31 1 2 3 4 5 6
Matoumba
EntrepreNantes
Numerama est un site du réseau PressTIC