Pour assurer la sécurité de vos mots de passe, la CNIL recommande aux services en ligne de ne pas les stocker et de leur préférer une « empreinte » (ou hash). Mais nombreux sont ceux qui n'en font qu'à leur tête comme Free ou encore EBP. Contacté par nos soins, ce dernier s'explique et annonce du changement.
Sur Internet, les fuites de données personnelles sont malheureusement monnaie courante et les causes peuvent être multiples. S'il n'est pas possible de garantir une sécurité absolue, les sites et services doivent respecter certaines règles afin de limiter les dégâts en cas de problème.
La CNIL recommande de stocker une empreinte, EBP et Free ne le font pas
L'une d'elles concerne la conservation des mots de passe. Ce dernier ne doit ainsi jamais être stocké, et surtout pas en clair. La CNIL explique ainsi qu'il « doit être transformé au moyen d’une fonction cryptographique non réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé ».
On parle ainsi d'une empreinte, qui permet au site de vérifier que vous tapez le bon mot de passe lorsque vous tentez de vous connecter, sans avoir à le stocker. C'est cet élément que récupèreront les pirates en cas de fuite. Ils ne pourront donc normalement pas retrouver votre mot de passe original (c'est pour cela que l'on parle de fonction non réversible).
Problème, certains n'appliquent toujours pas cette règle de base qui ne date pourtant pas d'hier. Fin 2012 déjà, nous avions tiré la sonnette d'alarme sur le sujet. Si le sujet revient sur le devant de la scène de manière récurrente, deux sociétés françaises sont à leur tour pointées du doigt pour une telle pratique : EBP et Free.
La méthode simple pour savoir si une société stocke ses mots de passe de manière réversible est d'utiliser la fonctionnalité de mot de passe oublié. S'il vous est renvoyé par email, c'est forcément le cas. Il transitera d'ailleurs en clair à travers différents serveurs et sera stocké dans votre boite email si vous ne faites pas attention à supprimer le message.
Voici des captures d'écran des deux mails reçus dans les deux cas qui nous occupent aujourd'hui :
Silence radio chez Free, EBP assume et s'explique
Nous avons évidemment contacté les deux sociétés afin d'avoir des explications sur ce point. Pour le moment, Free n'a pas souhaité répondre à nos questions, contrairement à EBP avec qui nous avons pu échanger sur le sujet.
La société nous indique qu'il s'agit d'un choix délibéré, mais qu'un changement est en cours. Elle précise qu'elle ne stockait qu'une empreinte du mot de passe auparavant, mais qu'elle a décidé de changer son fusil d'épaule il y a environ un an : « nos clients – surtout des TPE/PME – avaient du mal à faire réinitialiser leur mot de passe. On avait pas mal de demandes au service technique ».
Une explication que l'on retrouve souvent sur cette question. En effet, l'utilisateur préfère en général disposer d'une option facile pour retrouver un mot de passe qu'il oublie souvent. Le recevoir par email sur simple demande a beau être un « drame » en terme de sécurité, il a l'avantage d'être rapide. EBP a donc fait le choix de « privilégier l'aspect client à l'aspect sécurité ».
Si le mot de passe en clair est stocké sur ses serveurs, il est chiffré précisent nos interlocuteurs. Pour cela, EBP utilise l'algorithme RSA avec une clé sur 2048 bits, combiné avec une procédure maison. « On ne chiffre pas que le mot de passe, on met d'autres informations, qui n'ont rien à voir avec le client ou qui sont en relation avec le client. Cela permet d'avoir un mot de passe assez complexe même si celui du client est assez simple ce qui permet d'éviter les attaques par force brute » nous explique le directeur des systèmes d'information (DSI).
Problème, dans le cas où la base de données et les clés tombent entre de mauvaises mains, ou bien en cas de problème sur les serveurs d'EBP, les mots de passe en clair peuvent être récupérés. « C'est bien la faiblesse du système » confesse notre interlocuteur.
Mais va changer de procédure pour ne stocker que des empreintes
Suite aux recommandations du 27 janvier de la CNIL « on s'est reposé la question » et la décision a été prise « d'arrêter d'envoyer les mots de passe en clair », cela passera par une procédure permettant d'en créer un nouveau. D'ici deux semaines cela devrait être en place.
Les responsables nous confirment au passage que tous les mots de passe chiffrés qui sont actuellement dans les bases de données seront effacés et remplacés par des hash générés via un algorithme irréversible.
Quid de SSLv3 et RC4 toujours supportés par le site ?
Comme l'ont remarqué certains sur Twitter, EBP accepte encore de (très) vieux protocoles sur son site, alors qu'ils présentent pourtant des risques importants pour la sécurité à cause de la présence de failles. Nous pouvons ainsi citer SSLv3 et RC4, deux protocoles pour lesquels l'IETF a émis des notices d'informations en 2015 pour expliquer clairement qu'ils ne devraient plus être utilisés (voir ici et là).
Là encore, la réponse des responsables est dans la lignée de celle pour les mots de passe : « Quand on a fait une tentative sur un site annexe pour enlever SSLv3 on s'est aperçu qu'on avait encore beaucoup de clients qui avaient des navigateurs de type Internet Explorer 8 ou 9 qui n'avaient pas le niveau de patch nécessaire, et ça nous posait des problèmes ». Encore une fois, il s'agit donc de faire passer l'aspect client avant celui de la sécurité.
La décision a donc été prise de conserver SSLv3 et de refaire des mesures périodiquement (tous les six mois par exemple) afin d'évaluer le terrain. Pour résumer, « on a bien en tête que SSLv3 doit être supprimé, mais pour l'instant on rencontre un peu de difficulté avec certains clients » nous explique EBP. La situation est exactement la même pour le protocole RC4.
« On ne peut pas couper les clients »
Nous avons alors demandé si la société faisait ou comptait faire de la prévention ou de l'éducation auprès de ses clients afin de les informer des risques et de les pousser à migrer. « Oui, on essaye de les éduquer, mais c'est très difficile et on ne peut pas les couper », surtout lorsqu'ils génèrent encore un trafic important sur le site.
Comme toujours en pareille situation, c'est malheureusement le maillon le plus faible de la chaine qui définit le niveau de sécurité de l'ensemble. Les autres clients sont prévenus.
