[MàJ] Fuite de mots de passe : le Figaro détaille les raisons techniques

L'expression WTF prend tout son sens... 279

Mise à jour : Le Figaro a finalement publié un billet détaillant les raisons de cette faille, qui aura au final touché seulement 168 comptes parmi ses utilisateurs. On sera au passage rassuré sur le fait que les mots de passe sont effectivement stockés de manière chiffrée.

Korben vient de remonter une information plutôt inquiétante pour les membres enregistrés du Figaro : leurs mots de passe semblent apparaitre en clair via une simple requête Google. En effet, les développeurs du site d'information ont cru bon de laisser celui-ci dans les URL du site sur certaines pages, qui ont en plus le malheur d'être référencées par le moteur de recherche.

Si vous êtes membres du Figaro, nous vous invitons donc à changer ce dernier au plus vite, en attendant une réaction de l'équipe du Figaro, notamment si ce mot de passe vous sert aussi pour d'autres services. On en profitera d'ailleurs pour vous rappeler que cela ne devrait jamais être le cas, et que des outils tels que KeePass vous aideront à en générer et à en stocker pour chacun de vos comptes en ligne. 

Figaro Fuite mots de passe

On peut néanmoins se demander comment l'équipe technique a pu laisser passer un tel trio sans que des éventuels soucis de sécurité n'aient été soulevés :

  • Affichage du mot de passe en clair
  • Utilisation dans une URL
  • Référencement d'une page avec accès abonné

Rapidement, il a été indiqué que l'équipe technique traitait le suejt, et était en train de régler les choses, par des membres de la rédaction :

La thèse d'une attaque informatique évoquée, mais rapidement mise de côté

Un message a ensuite été publié, indiquant que moins d'1 % des membre était concerné, et évoquant la piste d'une potentielle attaque, ce qui semble assez peu probable étant donné la nature de la faille. Un point qui a rapidement été écarté via une mise à jour  :

« Une faille informatique a permis de consulter en clair les mots de passe d’un petit nombre (moins d’1%) des internautes inscrits au Figaro.fr et ayant déposé récemment des commentaires. Alertés le 10 juillet au soir, les équipes techniques du Figaro.fr travaillent activement à la correction de cette faille et enquêtent sur la piste d’une éventuelle attaque informatique.

Par mesure de sécurité, les mots de passe des internautes présents sur les moteurs de recherche seront réinitialisés d’office par nos équipes. Un nouveau mot de passe leur sera communiqué par email. Nous invitons également les membres Mon Figaro à changer leur mot de passe (icône représentant un écrou tout en haut à droite du site une fois connecté, cf capture ci-dessus).

En parallèlle, Le Figaro.fr alerte les équipes de Google pour supprimer ces pages de l’index du moteur de recherche.

 

N’hésitez pas à nous contacter si besoin à cette adresse : [email protected] »

On regrettera tout d'abord que plus de 12 heures après avoir été alerté, rien n'ai été coupé, et que le Figaro attende que du bruit ait été fait avant de réagir auprès de ses abonnés. Il en est de même pour la procédure qui aboutit à l'envoi d'un nouveau mot de passe, en clair, par un simple mail. Nous vous recommandons donc de le changer dès sa réception. Rajoutons qu'il est impératif de changer votre mot de passe sur l'ensemble de vos services si vous êtes touchés, certains ayant déjà pu rentrer dans les comptes mail ou Facebook de plusieurs membres.

Les raisons de la faille : tout d'abord, l'utilisation d'une vieille version de Drupal

Plus tard dans la soirée, l'équipe technique a détaillé les raisons de cette faille dans un billet complet qui devrait intéresser les développeurs en herbe. Pour faire simple, c'est le système de gestion de contenu (CMS) Drupal qui est utilisé pour la section communautaire du site le Figaro. Celui-ci a été touché par une faille identifiée dans sa version 6 il y a deux ans et rapidement corrigée depuis.

Elle consiste en la transmission de l'ensemble des variables d'une page via l'URL dans le système de pagination, mot de passe compris. Ce comportement a été entièrement retravaillé dans Drupal 7 (publié l'année dernière), mais dans la version 6, la variable du mot de passe avait simplement été exclue.

Personnalisation du fomulaire + cache maison = mots de passes indexés

Malheureusement, l'équipe du Figaro a décidé de retravailler certains éléments afin de les adapter à son site, sans passer à Drupal 7 depuis. Un fomulaire spécifique a été créé et le champ de mot de passe étant nommé différement, il n'a pas été exclu et apparaissait donc dans les URLs. Une faille qui serait sans doute passée innaperçu si Google n'existait pas et si un système de cache n'avait pas été mis en place, reprenant leur mot de passe au sein des liens de pagination pour l'ensemble des utilisateurs suivants, que le moteur de recherche pouvait alors indexer.

Il fallait donc, pour qu'il soit touché, que l'utilisateur : 

  • Se connecte sur le site
  • Qu'il soit à l'origine des pages générées par le cache
  • Que le robot Google passe à ce moment là, avant l'expiration du cache des données

Cette combinaison était tout de même assez malheureuse, mais n'a donc au final touché que 168 personnes, qui ont été contactées par le service client, sans que le Figaro n'en dise plus. On sera tout de même rassuré d'apprendre que, contrairement à ce que nous avions pu penser au départ, les mots de passe ne sont pas stockés en clair. Reste qu'une telle pratique est encore trop courante sur de nombreux sites, un point que nous devrions rapidement évoquer.

Publiée le 12/07/2012 à 08:30
David Legrand

Rédacteur en chef adjoint et responsable des L@bs de Nancy. Geek de l'extrême spécialisé dans l'analyse des produits high-tech, les réseaux sociaux et les trios d'écrans. Adepte du libre.

Soutenez nos journalistes

Le travail et l'indépendance de la rédaction dépendent avant tout du soutien de nos lecteurs.

Abonnez-vous
À partir de 0,99 €

Publicité