Alors que le monde de la sécurité est en pleine ébullition suite aux révélations d’Edward Snowden sur la surveillance de masse opérée par les États-Unis, la société Starbucks vient d’avouer que les mots de passe enregistrés par son application américaine pour iOS n’étaient pas chiffrés.
Un stockage en clair des identifiants
Au sein de la plupart des applications mobiles, le stockage des mots de passe se fait sous une forme sécurisée, autrement dit chiffrée. Ce n’est toutefois pas le cas de l’application américaine Starbucks sur iOS. C’est en effet ce que viennent d’admettre les dirigeants de la fameuse enseigne. Les mots de passe sont ainsi stockés en clair au sein de la zone de stockage de l’application.
En quoi est-ce un problème ? En cas de raccordement de l’iPhone sur un ordinateur, cela signifie une transmission en clair lors de la sauvegarde. Selon ComputerWorld, il serait également possible d’obtenir très facilement les informations d’identification en récupérant les fichiers d’erreurs générés par l’application.
La faille a été initialement rapportée à Starbucks par le chercheur Daniel Wood, qui avait expliqué sa trouvaille sur Seclists. Starbucks avait bien été avertie, mais la mise à jour intervenue entre temps n’a pas corrigé le problème. Dans son billet initial, Wood rappelle qu’un développeur ne devrait jamais utiliser l’espace local pour stocker des identifiants. L’utilisateur devrait s’authentifier via une méthode en ligne et une connexion chiffrée.
Le problème de la réutilisation des mots de passe
Dans la pratique, le risque n’est évidemment pas catastrophique. En cas de piratage de ces données, il ne s’agit que des identifiants et de l’adresse email. Aucune donnée vraiment sensible n’est donc piratable, mais la situation pourrait être pire, et c’est surtout l’inaction de Starbucks qui est pointée du doigt par le chercheur. Après tout, l’adresse postale ou encore le numéro de carte bancaire pourraient être inclus pour simplifier les achats, ce qui causerait alors de vrais problèmes.
Cependant, il ne faut pas oublier qu’il existe un danger connexe et qui n’est pas forcément visible tout de suite : la réutilisation des mots de passe. Même si les informations ne sont pas forcément dangereuses prises isolément, la « fainéantise » des utilisateurs pourrait leur causer du tort. Beaucoup se servent en effet des mêmes identifiants un peu partout, notamment quand les comptes sont créés sur la base d’une adresse email : on réutilise alors la même, avec un même mot de passe pour aller plus vite. Auquel cas, le vol de ces informations pourrait s’avérer plus dangereux.
