|
|
Skyrock confirme que les mots de passe peut-être volés ne sont pas chiffrés (MAJ)
Guillaume Champeau -
publié le Lundi 24 Mai 2010 à 18h24 -
posté dans High-Tech
 Les services techniques de Skyrock.com ont confirmé que les mots de passe des 32 millions de membres inscrits sur la plate-forme, et notamment ceux de la plate-forme du gouvernement Waka, sont stockés en clair. Ils n'y voient cependant pas un problème de sécurité, alors qu'une faille a été exploitée qui a pu permettre d'accéder à l'ensemble des mots de passe. Mise à jour - Skyrock a souhaité nous faire parvenir les précisions suivantes : Précision de la part de skyrock.com --
Interrogé par LeMonde.fr, le responsable de la prévention et de la sécurité de Skyrock.com Jérôme Aguesse a défendu le fait que les mots de passe des membres du service ne sont pas chiffrés dans les bases de données, comme l'impose la sécurité la plus élémentaire. "Nous conservons dans une base protégée un historique des mots de passe en clair afin, d'une part, d'assister les utilisateurs lors des vols de mots de passe et, d'autre part, de pouvoir restituer leur mot de passe aux utilisateurs qui le demandent et dont les emails d'inscription ne sont plus valides", indique ainsi Jérôme Aguesse. Pour Skyrock, le service apporté au client est jugé plus important que la sécurité apportée aux données de ces mêmes clients. Et ce, en dépit des recommandations qu'aurait apportées la CNIL à Skyrock il y a un an demi, lorsque la Commission avait constaté l'absence de chiffrage lors d'un contrôle. Beaucoup d'internautes utilisent en effet le même mot de passe pour tous leurs services en ligne. Il suffit donc de mettre la main sur un mot de passe dans une base données pour accéder ensuite, par exemple, à tous les e-mails d'un utilisateur. Sur Numerama comme beaucoup de sites internet, les mots de passe des membres ne sont pas stockés. Seul le résultat d'une formule mathématique très complexe (une signature de type SHA-1 ou MD5) appliquée au mot de passe lors de sa saisie est stocké. Si lors d'une nouvelle saisie du mot de passe le résultat obtenu en appliquant la même formule est le même, alors le mot de passe est réputé valide. Sinon, l'utilisateur peut se faire envoyer par mail un nouveau mot de passe généré aléatoirement, dont encore seule la signature est stockée. Ainsi, si nos bases de données sont un jour corrompues par un hacker (personne n'est à l'abri), il saura que le résultat de la formule mathématique est "10", mais pas si le mot de passe est "5+5", "7+3" ou "8+2". Or les algorithmes SHA-1 ou MD5 étant immensément plus complexes, il est virtuellement impossible de trouver le mot de passe à partir de cette signature. A l'image de son très mollasson message d'alerte, qui parlait de simple "tentative d'intrusion", Skyrock a tenu à préciser au Monde qu'il n'avait "à ce stade aucune certitude sur l'éventuelle action de l'intrus". Mais peu importe. La seule possibilité qu'une intrusion puisse permettre de découvrir les mots de passe de 32 millions d'utilisateurs est inacceptable. Dans son message d'alerte adressé à ses membres, Skyrock osait écrire que "la meilleure protection contre tout piratage de ton compte est le changement régulier de ton mot de passe". Comme si la faute incombait aux utilisateurs plus qu'à la négligence caractérisée de Skyrock... à lire aussi
 Prix indiqués avec livraison
64
Commentaires à propos de «Skyrock confirme que les mots de passe peut-être volés ne sont pas chiffrés (MAJ)»
 Si je comprends bien il y a un historique des mots de passes en clair mais il y a bien une base cryptée.
/Cali "Concernant le stockage des mots de passe, pour des raisons de sécurité, nous conservons dans une base protégée un historique des mots de passe. "
Le mot "sécurité" et historique des mots de passe dans la même phrase c'est une honte ! D'une part la CNIL ne se prononce pas sur les critères de sécurité mais sur les données personnelles et leur conservation. D'autre part, affirmer qu'il est légitime "pour le bien-être de ses utilisateurs" de conserver des mots de passe en clair, c'est VRAIMENT être TOTALEMENT INCONSCIENT ou être TOTALEMENT NEUNEU, au choix ! Les abonnés apprécieront. db T'as oublié une possibilité : être un commercial et donc mentir effrontément en racontant des conneries plus grosses que soi-même dans un domaine où l'on n'y connait absolument rien, ou très peu. Et comme par hasard, ce gentil Jérôme Aguesse sort de "l'ESC des Arts et Métiers option marketing où il publie un mémoire sur le Commerce électronique". Il n'a manifestement quasi aucune formation en informatique (en véritable informatique, je veux dire), donc à partir de ça, ça doit pas le choquer de dire que pour des raisons de sécurité on garde l'historique des pass en clairs. D'ailleurs, dans pas longtemps, les fabricants d'armes à feu retireront les crans de sureté sur leur nouveaux modèles, pour les rendre plus surs, et pour les même raisons, on retirera toutes les serrures des batiments publics. C'en est pathétique, et le Monde, le journal ayant relaté l'affaire qui aura surement le plus d'impact sur la population, ne relève même pas l'ineptie, et ça c'est limite pire. yhzarcali, le 25/05/2010 - 21:36
Si je comprends bien il y a un historique des mots de passes en clair mais il y a bien une base cryptée. /Cali  jj347, le 25/05/2010 - 11:56
D'ailleurs je me demande si on devrait pas aussi le faire pour des raison aussi évidente de sécurité en cas de hack... Comme ça le hacker serait un peut emmerder pour foutre un mail si on laisse que le hash.
Et comment tu renvoie un mot de passe perdu après ?... L'utilisateur sera le seul possesseur de son nouveau mdp, dans sa boite mail. Si il le change pour un autre, sans le noter, le mdp n'existera plus que dans sa tête. ..et éventuellement sur d'autres sites où il se serait inscrit avec le même e-mail, le même mdp et conservant les mdp en clair.
|
A LA UNE
LES + COMMENTÉS
 Télécharger
total video converter,
antivirus avast,
windows 7 gratuit,
online tv adult,
my torrent client,
ultrasurf,
redtube video downloader,
passion,
Accès rapide :
Communication |
Encoder ou convertir |
Personnalisation |
Diagnostic |
eMule (et mods eMule) |
Photo numérique |
Outils Réseau |
|
Samedi, nous rapportions que le site du gouvernement Waka hébergé par Skyrock.com pour consulter la jeunesse a permis à un hacker de stocker des scripts sur les serveurs de l'éditeur, et peut-être d'accéder aux bases de données de la plate-forme. C'est potentiellement l'une des plus graves atteintes à la sécurité des données des utilisateurs jamais connue sur le web français. Mais Skyrock cherche à minimiser l'évènement, et ose même prétendre que 
Tout site qui est capable de renvoyer un mot de passe ne stocke pas forcément le mot de passe en clair, mais peut le stocker sous une forme cryptée. Et l'algorithme de déchiffrement se trouve dans le code source d'envoi de l'email, avec toutes les clés nécessaires. Donc celui qui a réussi à pénétrer dans la base de données mal protégée n'aura pas beaucoup de mal à pénétrer dans les codes sources.
Le MD5 et le SHA-1 ne sont pas des algorithmes de cryptage, mais des algorithmes de signature. Il est complètement possible d'avoir deux chaînes de caractères qui produisent la même signature MD5.
La sécurité tient au fait que la probabilité est quasi-nulle de trouver un mot de passe qui produit la même signature que le mot de passe d'un compte donné.
Mais une signature MD5 est composé de 16 octets (128 bits).Il est donc évident que deux chaînes de caractères de plus de 128 bits peuvent produire des signatures de 128 bits identiques.
Donc un enregistrement MD5 et SHA-1 ne permet pas de renvoyer son mot de passe à l'utilisateur qui l'a perdu.
Attention : un site qui vous renvoie le mot de passe en clair quand vous l'avez perdu le stocke soit en clair, soit sous une forme décodable. Mais cela ne veut pas dire qu'un site qui vous ne renvoie pas le mot de passe ne le stocke pas quand même.
Le mot de passe arrive en clair sur le serveur du site (forum, blog, ...). A partir de là, le développeur peut en faire ce qu'il veut, y compris le stocker en clair où il veut.
Et même si le développeur crypte ou hashe les mots de passe, ils peuvent être volés en clair au fur et à mesure à l'insu du développeur par un hébergeur peu scrupuleux.
A partir du moment où le code et le mot de passe circulent en clair sur le réseau, il n'y a strictement aucune sécurité possible : on peut imaginer toutes les rustines possibles imaginables, tous les SHA-1 et salages possibles, c'est le degré zéro de la confidentialité.
Le seul moyen est qu'aucun mot de passe ne circule sur le réseau, mais qu'il reste purement local et que seules de demandes d'autorisation mutuelles circulent entre le browser et le site distant.