Publié par Guillaume Champeau, le Mercredi 07 Décembre 2011

Google mémorise les anciens mots de passse

Lorsque l'internaute utilise un ancien mot de passe pour s'identifier sur ses services, Google n'affiche plus un message d'erreur classique, mais prévient que le mot de passe a changé.

Mise à jour : Plusieurs lecteurs nous préviennent que Facebook dispose de la même fonctionnalité. Merci à eux

--

C'est à notre connaissance une première, qui pourrait inspirer d'autres services en ligne. Le blog Google Operating System rapporte que la firme de Mountain View mémorise les anciens mots de passe utilisés par ses utilisateurs, sous forme de hash (qui ne permet pas de lire en clair le mot de passe mais simplement de vérifier par une signature unique s'il correspond bien à celui saisi). Cette sauvegarde lui permet de prévenir l'utilisateur lorsqu'il tente de se logger en utilisant un ancien mot de passe, soit parce qu'il a oublié qu'il en avait changé, soit parce que son compte a été piraté et qu'un intrus a modifié le mot de passe à sa place.

Le cas échéant, Google renvoie l'internaute vers cette page d'explication. "Il semble que vous ayez tenté de vous connecter avec un ancien mot de passe. Si vous avez changé de mot de passe, il vous suffit de vous connecter avec votre nouveau mot de passe", indique Google, qui explique ensuite la marche à suivre dans le cas où l'utilisateur ignore le nouveau sésame. "Dans certains cas, votre ancien e-mail ou numéro de téléphone de récupération de mot de passe sont disponibles sur la page d'assistance relative aux mots de passe pour vous permettre de réinitialiser votre mot de passe. Si ce n'est pas le cas, vous aurez la possibilité de remplir notre formulaire de récupération de compte afin de valider votre identité et de rétablir l'accès à votre compte", précise-t-il.

Cette modification pourrait soulever un problème d'interprétation juridique. Depuis le décret LCEN du 25 février 2011, les services en ligne ont en effet l'obligation de conserver "le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour", dans le cas où la police le demanderait dans le cadre d'une enquête judiciaire. Google n'a donc pas l'obligation de conserver tous les mots de passe historiques de l'utilisateur. Mais dès lors qu'il le fait, a-t-il l'obligation de les transmettre sur requête ? Une telle transmission pourrait faciliter le travail des enquêteurs lorsqu'ils cherchent à croiser les hashs des mots de passe sur différents services en ligne, pour simplifier la recherche de suspects.

Publié par Guillaume Champeau, le 7 Décembre 2011 à 14h52
 
48
Commentaires à propos de «Google mémorise les anciens mots de passse»
Inscrit le 20/06/2009
2253 messages publiés
deadalnix (Animateur/Modérateur Actualités) le 07/12/2011 à 14:57
Cela ne signifie pas que Google garde l'ancien mot de passe. D'ailleurs, si Google garde un mot de passe, actuel ou ancien, c'est très grave !

Par ailleurs, si les services sont sérieux, ils utilisent du salage, ce qui rend impossible la comparaison de hash entre services.

Bref, si c'est bien fait, ce n'est pas un problème du tout. Maintenant, allons savoir comment c'est fait, . . .
Inscrit le 10/06/2005
6355 messages publiés
ze_katt (Modérateur(rice)) le 09/12/2011 à 11:28
deadalnix, le 07/12/2011 - 14:57

Cela ne signifie pas que Google garde l'ancien mot de passe. D'ailleurs, si Google garde un mot de passe, actuel ou ancien, c'est très grave !

Par ailleurs, si les services sont sérieux, ils utilisent du salage, ce qui rend impossible la comparaison de hash entre services.

Bref, si c'est bien fait, ce n'est pas un problème du tout. Maintenant, allons savoir comment c'est fait, . . .


Heu... il faut bien qu'ils gardent au minimum le mot de passe actuel pour le comparer a celui que tu tentes de saisir. Sinon comment ils peuvent savoir que c'est le bon?
ze_katt, le 09/12/2011 - 11:28

Heu... il faut bien qu'ils gardent au minimum le mot de passe actuel pour le comparer a celui que tu tentes de saisir. Sinon comment ils peuvent savoir que c'est le bon?

Dans un système propre, on ne compare pas le mot de passe à son équivalent en base de donnée.
Lors de l'enregistrement du mot de passe, on a stocké un hash (les techniques varient) en base qui ressemble à ça: d6aa97d33d459ea3670056e737c99a3d (par ex)
Quand on reçoit le mot de passe lors de l'identification, on lui fait subir le même traitement et on regarde si le résultat est le même.

La fonction de hash garantit à 99.99% qu'un seul mot de passe est valable (il peut arriver qu'il y en ait deux, mais ça ne change pas grand chose en matière de sécurité
[message édité par WickedFaith le 09/12/2011 à 11:38 ]
Inscrit le 23/07/2011
499 messages publiés
D'un coté c'est plus sécurisant si jamais on se fait voler son compte. Google peut demander l'ancien mot de passe au vrai propriétaire non ?
[message édité par Mari0tux le 07/12/2011 à 15:01 ]
Inscrit le 09/10/2008
413 messages publiés
deadalnix, le 07/12/2011 - 14:57
Par ailleurs, si les services sont sérieux, ils utilisent du salage, ce qui rend impossible la comparaison de hash entre services.

Bref, si c'est bien fait, ce n'est pas un problème du tout. Maintenant, allons savoir comment c'est fait, . . .

C'est vrai que pour avoir un travail bien fait, un service sérieux ne ferait pas ce genre de manip !
Inscrit le 07/01/2011
73 messages publiés
En même temps, le fait qu'il propose la fonction n'est pas le problème soulevé dans l'article...

Il pose simplement la question : quid en cas de procédure policière.
Inscrit le 14/07/2004
7775 messages publiés
flob (Modérateur(rice)) le 07/12/2011 à 15:06
Mais ca date d'un moment....c'est pas nouveau.

Par contre, on peut faire des graphiques

(exemple, rechercher 'sin(x)' comme expression)
Inscrit le 22/09/2011
92 messages publiés
Effectivement facebook fait pareil, comme je me trompais de mdp à chaque fois, il me l'affichait.

Cependant au bout d'un certain temps, il a arrêté, après est-ce qu'il l'a quand même gardé ? ...
Inscrit le 07/12/2011
1 messages publiés
Non mais ce n'est pas du tout un soucis.
Faut voir que pour des raisons de sécurité, beaucoup de services et applications empêchent l'emploi d'anciens mots de passe. C'est ainsi sur les deux messageries mail que j'utilise !
Inscrit le 03/11/2010
80 messages publiés
Ils sont supers sécurisés les mots de passe pour avoir 3 s
Inscrit le 28/12/2010
3690 messages publiés
Je vois pas trop l'intérêt pour Google de conserver les anciens passwords, mais nul doute que si les flics lui demandent les anciens passwords, Google les transmettra.

C'est infiniment lassant d'entendre parler sans arrêt de Google et Facebook et de leurs difficultés à respecter les données personnelles, les contenus ou les choix des utilisateurs. Si ces entreprises apportent réellement des "services", qu'est-ce que ça serait alors si elles avaient pour but d'apporter des "contraintes" !
Inscrit le 14/07/2004
7775 messages publiés
flob (Modérateur(rice)) le 07/12/2011 à 16:15
U., le 07/12/2011 - 16:05

Je vois pas trop l'intérêt pour Google de conserver les anciens passwords, mais nul doute que si les flics lui demandent les anciens passwords, Google les transmettra.

C'est infiniment lassant d'entendre parler sans arrêt de Google et Facebook et de leurs difficultés à respecter les données personnelles, les contenus ou les choix des utilisateurs. Si ces entreprises apportent réellement des "services", qu'est-ce que ça serait alors si elles avaient pour but d'apporter des "contraintes" !
Mais est ce les mots de passe ou bien le Hash du mot de passe ?!
Inscrit le 05/10/2011
2885 messages publiés
flob, le 07/12/2011 - 16:15

U., le 07/12/2011 - 16:05

Je vois pas trop l'intérêt pour Google de conserver les anciens passwords, mais nul doute que si les flics lui demandent les anciens passwords, Google les transmettra.

C'est infiniment lassant d'entendre parler sans arrêt de Google et Facebook et de leurs difficultés à respecter les données personnelles, les contenus ou les choix des utilisateurs. Si ces entreprises apportent réellement des "services", qu'est-ce que ça serait alors si elles avaient pour but d'apporter des "contraintes" !
Mais est ce les mots de passe ou bien le Hash du mot de passe ?!

Faut espérer que ça soit les hash, quand même.
Inscrit le 28/12/2010
3690 messages publiés
kastor, le 07/12/2011 - 15:54
Non mais ce n'est pas du tout un soucis.
Faut voir que pour des raisons de sécurité, beaucoup de services et applications empêchent l'emploi d'anciens mots de passe. C'est ainsi sur les deux messageries mail que j'utilise !


Yep, très courant aussi sur les intranet et les applications en entreprise.
Inscrit le 15/03/2006
1921 messages publiés
Est-on certain que seuls les hashes sont conservés et non les valeurs en clair ? Conserver les valeurs en clair permet de refiler cela à la NSA ou aux services de flicage français afin qu'ils les utilisent des fois qu'un internaute les utiliserait sur d'autres services en ligne.
Inscrit le 14/07/2004
7775 messages publiés
flob (Modérateur(rice)) le 07/12/2011 à 16:50
Gourmet, le 07/12/2011 - 16:42

Est-on certain que seuls les hashes sont conservés et non les valeurs en clair ? Conserver les valeurs en clair permet de refiler cela à la NSA ou aux services de flicage français afin qu'ils les utilisent des fois qu'un internaute les utiliserait sur d'autres services en ligne.
C'est pour cela que je crypte toujours mes mots de passe avec PGP

Inscrit le 28/05/2003
494 messages publiés
flob, le 07/12/2011 - 16:50
Gourmet, le 07/12/2011 - 16:42

Est-on certain que seuls les hashes sont conservés et non les valeurs en clair ? Conserver les valeurs en clair permet de refiler cela à la NSA ou aux services de flicage français afin qu'ils les utilisent des fois qu'un internaute les utiliserait sur d'autres services en ligne.
C'est pour cela que je crypte toujours mes mots de passe avec PGP



Tu veux dire que tu "chiffres"...

Par ailleurs, le mot de passe de la messagerie ne doit surtout pas être utilisé sur d'autres sites...

Une indication, pour essayer de savoir comment le mot de passe est stocké par un site. Utilisez la fonction "mot de passe oublié". Deux possiblités: ou le site est bien fait, et il vous génère un nouveau de passe à changer lors de la connexion, ou il vous renvoit votre mot de passe...
[message édité par Nycom le 07/12/2011 à 17:07 ]
Inscrit le 19/01/2010
48 messages publiés
Gourmet, le 07/12/2011 - 16:42

Est-on certain que seuls les hashes sont conservés et non les valeurs en clair ? Conserver les valeurs en clair permet de refiler cela à la NSA ou aux services de flicage français afin qu'ils les utilisent des fois qu'un internaute les utiliserait sur d'autres services en ligne.
C'est pour cela que je crypte toujours mes mots de passe avec PGP



Et donc ? Ca ne change rien. S'ils ont le mot de passe en clair (ce qui m'étonnerait au plus haut point), ils peuvent effectivement redonner cet accès à n'importe qui (d'ailleurs, il y a des moyens bien plus simples, par un accès dédié). Le fait de chiffrer ton mot de passe avec PGP n'y changera rien (par contre, chiffrer tes mails, ça c'est intéressant). Peut-être s'agit il d'une coquille ?
Inscrit le 14/07/2004
7775 messages publiés
flob (Modérateur(rice)) le 07/12/2011 à 17:12
nemessa, le 07/12/2011 - 17:07

Gourmet, le 07/12/2011 - 16:42

Est-on certain que seuls les hashes sont conservés et non les valeurs en clair ? Conserver les valeurs en clair permet de refiler cela à la NSA ou aux services de flicage français afin qu'ils les utilisent des fois qu'un internaute les utiliserait sur d'autres services en ligne.
C'est pour cela que je crypte toujours mes mots de passe avec PGP



Et donc ? Ca ne change rien. S'ils ont le mot de passe en clair (ce qui m'étonnerait au plus haut point), ils peuvent effectivement redonner cet accès à n'importe qui (d'ailleurs, il y a des moyens bien plus simples, par un accès dédié). Le fait de chiffrer ton mot de passe avec PGP n'y changera rien (par contre, chiffrer tes mails, ça c'est intéressant). Peut-être s'agit il d'une coquille ?
c'est tout simplement une blague......
Je me doute que ca change absolument rien.. Mais bon, un peu de rire dans ce monde si triste, est ce mal ?
Inscrit le 20/09/2011
5137 messages publiés
Google mémorise les anciens mots de passse

Pour qui sont ces ssssserpents qui ssssiflent sur nos têtes ?

Sérieusement, j'en reviens à ce qui me semble une évidence : il est absurde que les mots de passe soient communiqués à un serveur qui peut en faire ce qu'il en veut. Il est absurde que l'on soit obligé de faire confiance à une société et à ses employés quand on communique cette information.

Un mot de passe doit rester au niveau de l'ordinateur. Ce sont des demandes d'autorisation qui doivent circuler.

Messieurs du W3C, au lieu de vous amuser à implémenter les manettes de jeux, pourquoi est-ce que vous ne vous occupez pas de ce problème ?
Inscrit le 05/10/2011
2885 messages publiés
zig, le 07/12/2011 - 17:24

Google mémorise les anciens mots de passse

Pour qui sont ces ssssserpents qui ssssiflent sur nos têtes ?

Sérieusement, j'en reviens à ce qui me semble une évidence : il est absurde que les mots de passe soient communiqués à un serveur qui peut en faire ce qu'il en veut. Il est absurde que l'on soit obligé de faire confiance à une société et à ses employés quand on communique cette information.

Un mot de passe doit rester au niveau de l'ordinateur. Ce sont des demandes d'autorisation qui doivent circuler.

Messieurs du W3C, au lieu de vous amuser à implémenter les manettes de jeux, pourquoi est-ce que vous ne vous occupez pas de ce problème ?

Toi qui es si intelligent, tu as peut-être une solution à leur proposer ?
D'ailleurs, je ne vois pas bien pourquoi. ça serait au w3c de le faire...
[message édité par milord le 07/12/2011 à 18:24 ]
milord, le 07/12/2011 - 18:21
Toi qui es si intelligent, tu as peut-être une solution à leur proposer ?
D'ailleurs, je ne vois pas bien pourquoi. ça serait au w3c de le faire...

En fait, c'est à peu près déjà fait: on se connecte à gmail en https...
Inscrit le 05/10/2011
2885 messages publiés
WickedFaith, le 07/12/2011 - 18:41

milord, le 07/12/2011 - 18:21
Toi qui es si intelligent, tu as peut-être une solution à leur proposer ?
D'ailleurs, je ne vois pas bien pourquoi. ça serait au w3c de le faire...

En fait, c'est à peu près déjà fait: on se connecte à gmail en https...

Oui. Mais ce qu'il propose, c'est d'avoir une espèce de boîtier d'authentification, qui n'envoie à aucun moment le mot de passe au serveur, ça ne ressemble pas au https.
Je crois qu'en fait, il fantasme sur les terminaux de paiement électronique, alors que c'est un système tout moisi, qui diffère selon les pays, et qui n'est vraiment sécurisé que de temps en temps.
[message édité par milord le 07/12/2011 à 18:55 ]
Inscrit le 19/01/2010
48 messages publiés
Google mémorise les anciens mots de passse

Sérieusement, j'en reviens à ce qui me semble une évidence : il est absurde que les mots de passe soient communiqués à un serveur qui peut en faire ce qu'il en veut. Il est absurde que l'on soit obligé de faire confiance à une société et à ses employés quand on communique cette information.


Il y a bien évidemment une relation de confiance entre un client - serveur. Effectivement, concernant le mot de passe, ils en font ce qu'ils veulent, au même titre que nos données (mails, photos, coordonnées,...).
Une solution serait de ne faire confiance qu'à une seule entité (nous-même) et d'être notre propre fournisseur d'identité (cf OpenID). Ce fournisseur d'identité se chargerait ensuite de donner des droits à des applications. Cependant, pour une raison évidente (il faut , il faut pouvoir se loguer sur cette machine (fournisseur centralisée) pour que les consommateurs (GMail, Facebook,...) puissent vérifier l'identité.

Le problème pourrait cependant venir de ce fournisseur d'identité unique : il suffit de le corrompre pour donner les droits à tout le monde, et qu'il ait accès à toutes les applications. Il vaut mieux que ces accès ne soient pas trop centralisés ailleurs que chez l'utilisateur lui même.

Rien n'empêcherait que ce fournisseur d'identité soit déclaré au niveau du poste client (mais cela nécessiterait que Google connaisse tous les fournisseurs d'identité et les ai validés).


Si quelqu'un a une explication plus pertinente, je suis preneur.
[message édité par nemessa le 07/12/2011 à 17:58 ]
Inscrit le 20/09/2011
5137 messages publiés
Il y a bien évidemment une relation de confiance entre un client - serveur

Tu peux bien évidemment faire confiance à une société au vu de sa réputation, de sa notoriété, ...
Mais il suffit d'une personne à l'intérieur de cette société pour que la sécurité s'effondre.

Pour le système d'authentification dont je parle, je laisse le soin aux techniciens de trouver des solutions (qui pourquoi pas, pourraient passer par des éléments hard dans le PC) à la fois sécurisées et ergonomiques.
Mais pour avoir fait du ftp avec le serveur Web d'un ministère français, je peux vous assurer que le code et le mot de passe qui circulaient étaient à usage unique et permettaient au serveur du ministère d'identifier l'entreprise émettrice.
Inscrit le 19/01/2010
48 messages publiés
zig, le 07/12/2011 - 18:14

Mais pour avoir fait du ftp avec le serveur Web d'un ministère français, je peux vous assurer que le code et le mot de passe qui circulaient étaient à usage unique et permettaient au serveur du ministère d'identifier l'entreprise émettrice.


On est dans un cas différent :

Pour Gmail / Facebook & co :
- Machin (moi) accède et modifie les données de Machin chez Bidule (Gmail, Facebook & co). Bidule peut tout à fait accéder aux données de Machin.

Pour le serveur Web du ministère :
- Machin (moi) accède et modifie les données de Bidule (le ministère) chez Bidule. Bidule est maître de ses données et de ses accès.

Moralité : si vous n'avez pas confiance en votre fournisseur de service (GMail, Facebook,...), hébergez-vous vous même.

En gros, cet article est d'une trivialité impressionnante (sans vouloir être méchant, je l'ai d'ailleurs flatt(e)r), il nous explique que Google conserve nos anciens mots de passe, alors qu'il conserve tous nos mails (probablement ceux que l'on a aussi "effacés" ). Par analogie, c'est comme si je n'étais pas content d'un hotelier qui possédait un double de ma chambre d'hotel, alors qu'il possède un pass pour rentrer dans toutes les chambres (le fait-il, c'est une autre histoire).
Inscrit le 09/10/2011
51 messages publiés
Je confirme!
J'avais eu un problème de sécurité, je crois que je m'étais connecté avec un VPN depuis je ne sais plus quel pays, google m'avait demandé de changer mon mdp, mais pas celui que j'utilisais, donc j'ai changé. Et c'est toujours le cas.
Inscrit le 20/09/2011
5137 messages publiés
Toi qui es si intelligent, tu as peut-être une solution à leur proposer ?
D'ailleurs, je ne vois pas bien pourquoi. ça serait au w3c de le faire...


Eh toto, pourquoi tant d'agressivité ? Tu as des actions au w3c toi ?
Chaque fois que tu trouves un problème, tu as une solution ? Si oui, alors bravo.

Je ne t'agresse pas personnellement quand je dis qu'il est absurde qu'un mot de passe se balade en clair sur le réseau et qu'on soit obligé de faire confiance au mec à l'autre bout pour prier qu'il ne le stocke pas en clair (d'ailleurs https ou pas, cela ne change rien). On a eu suffisamment d'affaires où des fichiers clients ou adhérents ont été piratés pour montrer la stupidité et le peu de fiabilité de ces techniques. Donc à moins que tu sois personnellement responsable de la mise en place de tels systèmes, je ne comprends pas très bien tes réactions excessives.

Je vais même aller plus loin : quel besoin a un forum de connaître mon nom, mon âge, mon email ? Par contre, pour une boutique en ligne, c'est quand même sacrément important qu'ils aient mon nom et mon adresse.

Tu ne trouves pas que ce serait à nous de décider ce que l'on veut communiquer ou pas au lieu que ce soit le site qui nous l'impose ? Que nos renseignement soient stockés en local et que ce soit nous qui disions : le site des 3 Suisses, je leur donne mon nom, mon adresse et mon email, le site de Numerama, je lui donne mon email uniquement si je veux être averti de réponses à mes sujets sinon rien, le site de la météo, je ne lui donne uniquement ma ville, ... Et même encore mieux : qu'ils viennent le demander quand ils en ont besoin et qu'ils ne le stockent pas chez eux (ce qui permettrait une plus grande souplesse lors des changements d'adresse).

Ce n'est pas parce qu'Internet marche comme ça depuis 30 ans qu'il doit continuer à fonctionner comme ça ad vitam aerternam. Je le dis et je le répète : Internet a été conçu pour une communauté réduite de personnes qui se connaissaient toutes plus ou moins. Et d'un seul coup, sans rien changer, on est passé de ce truc qui tenait plus ou moins du prototype a un système qui connecte la moitié de la planète. Cela ne me semble pas aberrant qu'il faille revoir en profondeur certains aspects du système.

Imagine : Tu as Abraracourcix, le chef du village d'Astérix. Tu as mis en place des règles pour que le village vive à peu près bien ensemble. Et du jour au lendemain, tu te retrouves maire de New-York. Tu croix vraiment que tu peux appliquer les mêmes règles ?
[message édité par zig et puce le 07/12/2011 à 19:34 ]
Inscrit le 05/10/2011
2885 messages publiés
zig, le 07/12/2011 - 19:31

Toi qui es si intelligent, tu as peut-être une solution à leur proposer ?
D'ailleurs, je ne vois pas bien pourquoi. ça serait au w3c de le faire...


Eh toto, pourquoi tant d'agressivité ? Tu as des actions au w3c toi ?
Chaque fois que tu trouves un problème, tu as une solution ? Si oui, alors bravo.

Nope, mais j'ai pas la prétention que tu as, quand tu décris ce qui selon toi serait la bonne solution, et qui devrait faire en sorte de l'implémenter. D'autant qu'on se rend bien compte tout au long de tes posts que t'y connais pas grand-chose, alors j'ai tendance à me demander qui tu peux être pour savoir ce que le w3c devrait faire.
D'autant que là, en deux posts, tu confonds allègrement les formats standards du web (gérés par le w3c), l'authentification sur le web (pas lié au w3c, à priori) et Internet.

Je ne t'agresse pas personnellement quand je dis qu'il est absurde qu'un mot de passe se balade en clair sur le réseau

Moi je dis qu'il est absurde que les moustiques existent. Voilà.
Et la plupart du temps, il se balade pas en clair, justement. Le fait qu'il se balade en clair dépend uniquement des gens à qui appartiennent le serveur. Tu ferais comment avec ta solution miracle ? Tu obligerais tout le monde à l'utiliser ? Tu interdirais l'authentification http classique (et ftp, tant qu'on y est, puisque tu en parlais au dessus) ?

Donc à moins que tu sois personnellement responsable de la mise en place de tels systèmes, je ne comprends pas très bien tes réactions excessives.

Non moi ça va, je connais mon boulot, j'utilise https, hashage + salage. Et je me connecte pas en direct sur une BDD depuis une appli mobile


Je vais même aller plus loin : quel besoin a un forum de connaître mon nom, mon âge, mon email ? Par contre, pour une boutique en ligne, c'est quand même sacrément important qu'ils aient mon nom et mon adresse.

Ouais, d'ailleurs il parait que si tu donnes des fausses informations, ils te poursuivent en justice


Tu ne trouves pas que ce serait à nous de décider ce que l'on veut communiquer ou pas au lieu que ce soit le site qui nous l'impose ?

Ben si. Et comme tous les gens qui ont le minimum d'intelligence pour survivre, je les communique effectivement à qui je veux.
On me demande une info personnelle qui ne regarde pas le demandeur -> je donne une info bidon.
On me demande mon adresse email -> je donne une adresse yopmail ou une adresse poubelle.
Si ça peut t'aider à t'en sortir sur le web...
[message édité par milord le 07/12/2011 à 22:29 ]
Inscrit le 20/09/2011
5137 messages publiés
Nope, mais j'ai pas la prétention que tu as, quand tu décris ce qui selon toi serait la bonne solution, et qui devrait faire en sorte de l'implémenter.

Je ne décris aucune solution. Je dis simplement qu'il est complètement absurde que des mots de passe circulent en clair et soient confiés à des gens que tu ne connais pas.
Si ça te semble normal, envoie moi ton code de carte bleue que je t'explique.

Non moi ça va, je connais mon boulot, j'utilise https, hashage + salage. Et je me connecte pas en direct sur une BDD depuis une appli mobile

Ah bon, tu es capable comme ça de voir que le site sur lequel tu te connectes utilise du hashage et du salage. bravo !

Ben si. Et comme tous les gens qui ont le minimum d'intelligence pour survivre, je les communique effectivement à qui je veux.
On me demande une info personnelle qui ne regarde pas le demandeur -> je donne une info bidon.
On me demande mon adresse email -> je donne une adresse yopmail ou une adresse poubelle.
Si ça peut t'aider à t'en sortir sur le web...

Bref des rustines usagées sur un système qui ne tient pas debout.
Inscrit le 05/10/2011
2885 messages publiés
zig, le 07/12/2011 - 23:00

Nope, mais j'ai pas la prétention que tu as, quand tu décris ce qui selon toi serait la bonne solution, et qui devrait faire en sorte de l'implémenter.

Je ne décris aucune solution. Je dis simplement qu'il est complètement absurde que des mots de passe circulent en clair et soient confiés à des gens que tu ne connais pas.
Si ça te semble normal, envoie moi ton code de carte bleue que je t'explique.

Un mot de passe circule généralement pas en clair, et comme il est unique, je vois pas le problème de le confier à quelqu'un que tu connais pas...
Et tu m'as toujours pas expliqué en quoi ça serait au w3c de réfléchir à ta solution.

Non moi ça va, je connais mon boulot, j'utilise https, hashage + salage. Et je me connecte pas en direct sur une BDD depuis une appli mobile

Ah bon, tu es capable comme ça de voir que le site sur lequel tu te connectes utilise du hashage et du salage. bravo !

Relis mieux, la phrase à laquelle je répondais...


Ben si. Et comme tous les gens qui ont le minimum d'intelligence pour survivre, je les communique effectivement à qui je veux.
On me demande une info personnelle qui ne regarde pas le demandeur -> je donne une info bidon.
On me demande mon adresse email -> je donne une adresse yopmail ou une adresse poubelle.
Si ça peut t'aider à t'en sortir sur le web...

Bref des rustines usagées sur un système qui ne tient pas debout.

Absolument pas des rustines... Ça marche comme dans la vraie vie, si quelqu'un te demande une info que tu veux pas lui donner, ben tu peux ne pas la donner et te casser, ou en donner une fausse. En plus, en stockant tes données en local, tu les confies également à un tiers auquel tu dois faire confiance aussi : ton OS (Windows pour plus de 90% des gens, MacOS pour une bonne partie des autres...). Mais on s'éloigne grandement du sujet, ça n'a rien à voir avec l'authentification...
Inscrit le 19/11/2010
41 messages publiés
C'est quand même incroyable. Pour des mecs qui prônent l'open source, vous êtes tous closed minded hein ! Ca doit bien faire un an que je suis les actus de Numerama et que je lis les comms qui peuvent parfois être intéressants, et à chaque fois que quelqu'un à un avis un peu divergent de la "communauté Numerama", tout le monde le descend.
Zig maintenant, Enter avant, à chaque fois, c'est la même chose. Je vais pas prendre la défense de Zig, il est assez grand pour le faire lui même, mais il a au moins l'intelligence et l'esprit de mettre en avant ses idées, et de proposer des solutions.
La plupart de ses remarques sont pertinentes, j'ai presque envie de dire "professionnelles". C'est pas comme les réponses de certains quoi...
Mais non, il y a toujours une sorte de masturbation intellectuelle comme quoi "c'est bien comme ça", "il faut pas y toucher", et "de toute façon, tais toi t'as tort".

Pour parler de l'article en soi. Google garde forcément ses mots de passe hashés. Je vois pas d'autre alternative. Alors, oui, ça veut dire que si la base se fait pirater, ou que la police demande des infos, il y a plusieurs pass, mais ça permet aussi de ne pas changer un mot de passe par un précédent pass. Windows fait pareil.

Accessoirement, même si ça n'a pas sa place ici, mais dans l'article sur Android libre (j'ai pas envie de poster un comm inutile sur l'autre fil), pour un mec qui à le logo de GNU comme avatar milord, je trouve bien drôle que tu parles de copyright. Si si : "open-sourcitude©". Ha ha.
[message édité par tagle le 08/12/2011 à 00:37 ]
Inscrit le 27/01/2005
477 messages publiés
Je voudrais bien récupéré certain ancien mail que je gardé depuis des années, qui sont passé d'une boite mail à une autre pour fnir sur Gmail et que j'ai perdu à cause qu'Opera mail me fait un boxon pas possible et que malheureusement que je coche supprimé les mail ou non le résultat et le même si je supprime sur Opera, ça supprime sur Gmail... du ocup je quitte progressivement Opera après 6ans de bon et loyaux services. Bref je m'égare.
Tout à l'heure le problème que j'ai eu avec Gmail et avec un vieux compte que je voulais vérifier, c'est que je suis déconnecté et renvoyé sur un de mes compte que j'utilise actuellement. Là j'ai 2 mots de passe bien différents.
Inscrit le 13/12/2004
785 messages publiés
Cela ne signifie pas que Google garde l'ancien mot de passe. D'ailleurs, si Google garde un mot de passe, actuel ou ancien, c'est très grave !

Par ailleurs, si les services sont sérieux, ils utilisent du salage, ce qui rend impossible la comparaison de hash entre services.

Bref, si c'est bien fait, ce n'est pas un problème du tout. Maintenant, allons savoir comment c'est fait, . . .


pour savoir si le service est bien fait il existe une methode VRAIMENT toute simple
utiliser l'outil d'oublie de mot de passe

si un nouveau est généré on peut penser que le site ne connais pas le mot de passe en clair (mais ca n'est pas une certitude pour autant)

par contre si ton mot de passe en clair est renvoyé....... c'est qu'il est en clair dans le base
et là .... c'est honteux, surtout a notre époque, sachant ce qui est deja arrivé a de grosses boites....

une boite qui a le mot de passe en clair et ou je trouve ca CLAIREMENT abusé est virgin mobile

dans chaque email de facture ils s'en vente encore ....
avec leur petite phrase

Votre facture est à l'abri des regards indiscrets : munissez-vous de votre numéro d'appel Virgin Mobile et de votre mot de passe, le XXXXXX


certains pays comme l'allemagne, impose l'obligation de mot de passe crypté(du moins c'est ce que des collegues allemand me disent)... bien sur ya aussi des boites à la con qui ne le font pas.... mais lorsque ca s'apprend, ca fait mal en plus du scandale....
Inscrit le 20/09/2011
5137 messages publiés
Un mot de passe circule généralement pas en clair, et comme il est unique, je vois pas le problème de le confier à quelqu'un que tu connais pas...


Je rêve...
Quand tu vas sur un site comme Numerama, ou Libé ou je ne sais pas trop quoi, on va te demander de créer un compte avec un code et un mot de passe.
Ce code et ce mot de passe circulent en clair sur le réseau car (en général), c'est en http et pas en https.

Et même si c'est en https, ce code et ce mot de passe sont récupérés en clair par le site destinataire et on te demande de leur faire une confiance aveugle sur le fait qu'ils ne vont stocker qu'un hashage.

Ensuite, sur le mot de passe unique, là aussi il faut arrêter de rêver : je ne connais personne qui possède un mot de passe unique sur chaque système auquel il est connecté et qui est capable de s'en souvenir. Personnellement, je me targue d'être assez prudent, j'ai un mot de passe courant pour les sites non critiques (forums), j'ai un mot de passe avec une toute petite variation pour les sites un peu plus sérieux (sites d'achat en ligne) et j'ai des mots de passe unique pour les sites sensibles (compte bancaire).
Ce qui me pose d'ailleurs un problème de sécurité car je suis obligé d'inscrire quelque part mon mot de passe pour accéder à mon compte bancaire.

Ça marche comme dans la vraie vie, si quelqu'un te demande une info que tu veux pas lui donner, ben tu peux ne pas la donner et te casser, ou en donner une fausse

Exactement la notion de rustine : la fuite ou le mensonge.
Une solution pérenne consiste à prendre le problème à la source et faire en sorte que ce genre de situation où tu es obligé de mentir pour te protéger ne soit pas possible.
Parce que toi, c'est bien, tu es au courant et donc tu peux te protéger. Mais moi, je pense à l'immense majorité des gens qui ne sont pas au courant et qui se font couillonner.
Comme je le dis souvent, le degré d'évolution d'une civilisation se mesure à sa capacité à protéger les plus faibles.
Ce que je préconise moi, c'est qu'on réfléchisse à des solutions où la protection des informations personnelles soit inclue au plus bas niveau. C'est-à-dire que la protection de la vie privée (même imparfaite) s'applique à tout le monde et pas uniquement à quelques privilégiés qui savent comment contourner ou détourner l'absence de protection.

si un nouveau est généré on peut penser que le site ne connais pas le mot de passe en clair (mais ca n'est pas une certitude pour autant)

Tu as raison que ce n'est pas une certitude. D'ailleurs, si j'étais un vrai escroc, c'est exactement ce que je ferais. Mettre en place une procédure d'oubli qui renvoie un nouveau mot de passe (ou une procédure pour en recréer un) et ne pas me découvrir stupidement en renvoyant l'ancien mot de passe.
zig, le 08/12/2011 - 13:05
Ce code et ce mot de passe circulent en clair sur le réseau car (en général), c'est en http et pas en https.

Même en http, il n'est pas obligatoire que le mot de passe circule en clair.
Inscrit le 02/07/2011
477 messages publiés
Ne pas oublier que ce qui se passe en ce moment c'est la bataille rangée autour de l'"identité" sur internet (utilisation compte facebook, twitter g+ ou autre pour se logger sur quasi tous les sites), et à ce sujet peut-être pourrait-t-on rappeler que le fait que cela se termine par deux ou trois monstres (prônant en plus le non anonymat) n'a rien d'une fatalité :
http://iiscn.wordpre...-mauvaise-idee/
Inscrit le 19/11/2010
41 messages publiés
WickedFaith, le 08/12/2011 - 14:09
Même en http, il n'est pas obligatoire que le mot de passe circule en clair.


Mais c'est très souvent le cas. Après une rapide vérification, Google transmet le mot de passe en clair dans la requête https. La connexion est chiffrée en SSL, mais le mot de passe n'est pas encodé ou chiffré coté client. Donc Fail.

Edit : pour info, c'est dans les données POST de la page https://accounts.goo...rviceLoginAuth. Il y a le username et le pass qui sont dans les datas
[message édité par tagle le 08/12/2011 à 16:08 ]
tagle, le 08/12/2011 - 16:04
Mais c'est très souvent le cas. Après une rapide vérification, Google transmet le mot de passe en clair dans la requête https. La connexion est chiffrée en SSL, mais le mot de passe n'est pas encodé ou chiffré coté client. Donc Fail.

Il est en clair mais chiffré ? hum, hum...
Tu veux chiffrer des données que tu vas chiffrer ensuite ? Mais avant de les avoir chiffrer avant de les chiffrer, ne vaudrait-il pas mieux les chiffrer ? Comme ça tu auras chiffré les données avant qu'elles ne soient chiffrées en prévision de leur chiffrement. Non ?

Tu en connais beaucoup des sites qui cryptent le mot de passe en javascript en local avant de l'envoyer au serveur ?

J'en connais, oui.
Et je serais surpris que les forums "tout en un" qu'on trouve partout n'en soient pas équipés

Ce qui d'ailleurs ne change rien au problème : il suffirait que le pirate intercepte et fasse parvenir le mot de passe crypté au serveur pour pouvoir usurper le compte.

Non. La clé de cryptage n'étant jamais la même, intercepter le mot de passe ne suffira pas.
Inscrit le 20/09/2011
5137 messages publiés
WickedFaith, le 08/12/2011 - 14:09
zig, le 08/12/2011 - 13:05
Ce code et ce mot de passe circulent en clair sur le réseau car (en général), c'est en http et pas en https.

Même en http, il n'est pas obligatoire que le mot de passe circule en clair.

Tu en connais beaucoup des sites qui cryptent le mot de passe en javascript en local avant de l'envoyer au serveur ?
Ce qui d'ailleurs ne change rien au problème : il suffirait que le pirate intercepte et fasse parvenir le mot de passe crypté au serveur pour pouvoir usurper le compte.
Inscrit le 21/01/2009
4844 messages publiés
WickedFaith, le 08/12/2011 - 17:11
tagle, le 08/12/2011 - 16:04
Mais c'est très souvent le cas. Après une rapide vérification, Google transmet le mot de passe en clair dans la requête https. La connexion est chiffrée en SSL, mais le mot de passe n'est pas encodé ou chiffré coté client. Donc Fail.

Il est en clair mais chiffré ? hum, hum...
Tu veux chiffrer des données que tu vas chiffrer ensuite ? Mais avant de les avoir chiffrer avant de les chiffrer, ne vaudrait-il pas mieux les chiffrer ? Comme ça tu auras chiffré les données avant qu'elles ne soient chiffrées en prévision de leur chiffrement. Non ?

Tu en connais beaucoup des sites qui cryptent le mot de passe en javascript en local avant de l'envoyer au serveur ?

J'en connais, oui.
Et je serais surpris que les forums "tout en un" qu'on trouve partout n'en soient pas équipés

Ce qui d'ailleurs ne change rien au problème : il suffirait que le pirate intercepte et fasse parvenir le mot de passe crypté au serveur pour pouvoir usurper le compte.

Non. La clé de cryptage n'étant jamais la même, intercepter le mot de passe ne suffira pas.


WF : T'es à côté de la plaque, si on veut que le mot de passe soit chiffré côté utilisateur et ne passe pas en clair sur le réseau, même dans une connexion SSL, c'est pour pas que serveur avec qui on communique récupère le mot de passe en clair, on ne parle pas de man on the middle ici.

M'enfin ça reviendrait à faire un système de chiffrage asymétrique pour tout site internet, ce qui me semble lourd Enter...
tass_, le 08/12/2011 - 17:47
WF : T'es à côté de la plaque, si on veut que le mot de passe soit chiffré côté utilisateur et ne passe pas en clair sur le réseau, même dans une connexion SSL c'est pour pas que serveur avec qui on communique récupère le mot de passe en clair

J'ai bien compris... mais quel intérêt du point de vue sécurité ?
Le seul vague intérêt, c'est de permettre d'utiliser le même mot de passe partout, sans qu'un site puisse se connecter à un autre pour autant... Super... mais c'est une super faille de sécurité quand même !
Inscrit le 19/11/2010
41 messages publiés
1. Lors de la connexion, au lieu d'envoyer le pass au serveur, le serv envoie un challenge unique et aléatoire à résoudre
2. Le challenge est résolu coté client
3. Le client envoie le challenge résolu coté serveur

Comme ça, le mot de passe ne passe pas sur le réseau. CQFD.
Inscrit le 21/01/2009
4844 messages publiés
WickedFaith, le 08/12/2011 - 18:19
tass_, le 08/12/2011 - 17:47
WF : T'es à côté de la plaque, si on veut que le mot de passe soit chiffré côté utilisateur et ne passe pas en clair sur le réseau, même dans une connexion SSL c'est pour pas que serveur avec qui on communique récupère le mot de passe en clair

J'ai bien compris... mais quel intérêt du point de vue sécurité ?
Le seul vague intérêt, c'est de permettre d'utiliser le même mot de passe partout, sans qu'un site puisse se connecter à un autre pour autant... Super... mais c'est une super faille de sécurité quand même !

Tu penses vraiment que c'est le seul intérêt ? Manque d'imagination flagrant.
En transmettant ton mot de passe tu donnes accès à ton compte. Alors oui c'est sûr ici c'est pas trop grave, mais sur un site sensible...
Qu'est ce qui empêche un développeur du site de ma banque de capturer les mots de passe, puis d'utiliser mon compte ? (Via de nombreuses opérations obscures pour être à l'abris bien entendu). Parce que le mot de passe transite via une connexion SSL ? Mais le serveur le reçoit en clair au final pour le traiter, on peut donc le récupérer.

Alors oui ça demande à ce que le "hacker" soit la même personne qui développe le site (ou un dev intervenant dessus) et c'est très risqué pour lui, si ça se remarque il va être dans la liste des personnes visées. Mais c'est bien une faille de sécurité.

La solution de tagle est la bonne, et s'apparente à un système clé privée / clé publique. Après j'ai pas connaissance que ça soit implémenté.
tass_, le 09/12/2011 - 09:38
Qu'est ce qui empêche un développeur du site de ma banque de capturer les mots de passe, puis d'utiliser mon compte ? (Via de nombreuses opérations obscures pour être à l'abris bien entendu). Parce que le mot de passe transite via une connexion SSL ? Mais le serveur le reçoit en clair au final pour le traiter, on peut donc le récupérer.

Si le dév est capable de faire ça sans être repéré, il peut très facilement détourner une de tes connexions faites avec un mot de passe chiffré avant connexion, ça ne lui pose aucun problème.

Et pour ton information, les développeurs de ta banque (j'en suis un) peuvent passer toutes les opérations qu'il veulent sur ton compte sans avoir besoin de tes identifiants.
Ils peuvent tout faire, de la consultation de tes historiques au vidage de ton compte.
Disposer de ton pass est le cadet de ses soucis !
L'unique difficulté est de ne pas se faire prendre...

La solution de tagle est la bonne, et s'apparente à un système clé privée / clé publique. Après j'ai pas connaissance que ça soit implémenté.

Et dans cette solution, qu'est-ce qui garantit que c'est le bon utilisateur qui résout le challenge ? Il faut que ces challenges soient solubles par Toto mais pas par Titi...
Mais ça existe déjà (en mieux), sous la forme de tokens: l'utilisateur dispose d'un petit mécanisme affichant des chiffres qui changent toutes les minutes et le site d'identification dispose du même mécanisme pour vérifier si la saisie est bonne.

Mais avec ta supposition du codeur-maléfique, il suffit qu'il rajoute "Si le code est bon OU que le code est 123456789 alors l'authentification est réussie". Et avec ça, il se connecte comme il veut...

Bref, avec une complicité interne, il n'existe aucun protection valable.
[message édité par WickedFaith le 09/12/2011 à 11:26 ]
Inscrit le 19/11/2010
41 messages publiés
C'est pas "ma" solution, ça existe déjà depuis longtemps : http://fr.wikipedia....cation_Protocol
àa ne résout pas le problème du mot de passe enregistré par le serveur, puisqu'il faut bien a un moment faire une comparaison, mais en aucun cas, le mot de passe ne transite sur le réseau.
Cette solution n'est pas forcément la meilleure non plus. Si quelqu'un sniffe le réseau, il a tout de même accès au challenge en clair, et à la réponse chiffrée. Avec ces eux éléments, on pourrait retrouver le pass. Mais c'est une alternative au transfert classique qui requiert un peu plus de skill pour l'attaquant.
En rajoutant un peu de sel par exemple, on évite une grande partie des problèmes de mot de passe en clair, ou d'attaques par rejeu.

Après, on s'écarte du sujet de base, d'enregistrer plusieurs pass, mais c'est à ca que servent les commentaires
tagle, le 09/12/2011 - 14:19

C'est pas "ma" solution, ça existe déjà depuis longtemps

C'est ce que je disais (sans connaître le terme précis).
Le token en est une version très sécurisée, mais la version la plus "simple" est celle qui consiste à demander à l'utilisateur de ne saisir que certains caractères de son mot de passe (le défi est "donne moi le caractère 1, 5 et 9" et la réponse est la fonction de hash qui extrait ces trois caractères)

Mais en fait, ça ne change rien au concept du password, ça n'est qu'en fait un mot de passe complexe qui couple un mot de passe "normal" et une fonction. La fonction n'est qu'un type de mot de passe comme un autre.

Par contre il me semble que cette technique impose obligatoirement que le mot de passe et la fonction soient stockés d'une manière lisible (ou au moins décodable) dans la base de donnée.
On obtient donc en fait l'inverse de ce dont on parlait: ça nécessite une confiance accrue dans le site destinataire et compense une confiance faible dans le convoyeur de données.
Inscrit le 09/12/2011
1 messages publiés
Même chose pour msn. Il y a peu, j'ai perdu mon mot de passe msn, et Microsoft m'a proposé de remplir un formulaire en ligne et de le compléter avec le splus d'informations possibles comme mes anciens mots de passe, les sujets des derniers mails échangés,... Etonnant non? légal?
Répondre

Tous les champs doivent être remplis.

OU

Tous les champs doivent être remplis.

FORUMS DE NUMERAMA
Poser une question / Créer un sujet
vous pouvez aussi répondre ;-)
Numerama sur les réseaux sociaux
Décembre 2011
 
Lu Ma Me Je Ve Sa Di
28 29 30 1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31 1
2 3 4 5 6 7 8