Dans un échange d'e-mails dont Numerama a pu prendre connaissance, Viapresse avait été contacté en 2013 par un client inquiet de voir son mot de passe stocké en clair par la plateforme. Le prestataire s'était voulu rassurant, à sa manière...

La négligence révélée ce week-end par Zataz pourrait coûter extrêmement cher à Viapresse, dont le fichier d'abonnés à des services de presse en ligne a été piraté. En tout, près de 2 millions d'identifiants et de mots de passe en clair ont été obtenus par un groupe de hackers baptisé "Linker Squad", depuis un sous-domaine de TF1 qui proposait le service de kiosque de Viapresse en marque grise. 

"Les BDD sont des mines d'or. Les données (…) seront sûrement revendues", a menacé le groupe qui affirme également détenir des coordonnées bancaires de clients, ce que TF1 et Viapresse ont démenti. Mais peu importe.

Le seul fait de stocker des mots de passe en clair sur un service en ligne qui n'est jamais à l'abri d'un piratage est une erreur absolument inadmissible en 2014. Ca l'était déjà en 2010 lorsque nous avions dénoncé la même pratique par Skyrock (qui trouvait ça normal !), ça l'est encore plus quatre ans plus tard. Les internautes étant ce qu'ils sont, beaucoup d'entre eux utilisent le même mot de passe sur de nombreux services en ligne, et le fait de découvrir un mot de passe utilisé pour Viapresse donne très souvent accès aux e-mails de la victime, lequel donne accès à l'ensemble des autres services en ligne qui se proposent de renvoyer un nouveau mot de passe par e-mail. Accédez aux e-mails, et c'est généralement la caverne d'Alibaba qui s'ouvre (voir à ce sujet notre article sur la synchronisation des mots de passe par Google Chrome).

"VOTRE MOT DE PASSE EST VISIBLE UNIQUEMENT PAR NOTRE SERVICE CLIENTÈLE"

Or Viapresse avait été alerté de longue date du problème, et l'avait d'abord pris à la légère. Dans un échange d'e-mails daté d'octobre 2013 dont Numerama a pu prendre connaissance, Viapresse avait affirmé à l'un de nos lecteurs inquiets que "votre compte client ne risque pas d'être piraté car vous seul connaissez le mot de passe et nous gardons le secret professionnel".

"Je vous informe que votre mot de passe n'est visible uniquement par notre service clientèle, la confidentialité de vos données ne sont en aucun cas diffusée" (sic), ajoutait le prestataire dans une grammaire approximative. Il reconnaissait toutefois en creux le problème, en annonçant qu'un nouveau site serait mis en place début 2014, qui aurait pour effet de renforcer la sécurisation.

"Nous sommes en phase de recette de notre nouvelle plateforme qui intégrera évidemment un système d'encodage des mots de passe via un hash + salt comme vous l'indiquez", avait confirmé le même jour un technicien auquel l'échange avait été transmis.

"Nous sommes, et je suis à titre personnel, loin d'être insensibles à cette problématique, mais le remplacement du système de mot de passe dans la globalité du SI actuel, vétuste, alors qu'il est en pleine refonte, n'est pas aussi simple qu'il y parait", ajoutait-il, il y a plus d'un an.

Viapresse n'était pas joignable par téléphone ce lundi matin pour répondre à nos questions. Ce qui est apparemment fréquent, si l'on en croit le dernier tweet publié par Viapresse en septembre 2014 :

Partager sur les réseaux sociaux

Articles liés