Samsung a répondu à nos questions et nous a finalement précisé que le mot de passe n'était pas stocké, seule son empreinte SHA-1 l'était. L'envoi de ce dernier ne s'effectuant que lorsque le formulaire est rempli.
Depuis peu, Samsung exploite un site où il faut créer un compte afin de profiter des offres de remboursement de la marque. Problème, la sécurité de celui-ci semble plutôt légère puisque comme encore beaucoup trop de services en ligne, il vous envoie votre mot de passe en clair. Est-ce un problème ? Nous avons décidé de faire le point.
Avec l'émergence de plus en plus de services en ligne, la sécurité des données qui y sont stockées est un enjeu qui devient vital. Or, ces derniers mois, nombreux ont été les exemples de sites qui ont laissé fuiter des informations à leur insu, avec parfois des conséquences dramatiques.
Pour chaque mot de passe stocké en clair, un chaton adepte du SHA-1 se noie
En effet, alors que le stockage d'une empreinte du mot de passe au sein d'une base de données semble tenir du bon sens pour n'importe quel développeur ayant déjà produit plus de dix lignes de code dans sa vie, force est de constater que nombreux sont les services qui se passent de cette étape, mettant en danger leurs utilisateurs.
En cas de faille et de fuite des données, les mots de passe pourront être récupérés s'ils sont stockés en clair, ainsi que les pseudo et autres e-mails. Dans le cas d'un chiffrement réversible, outre la question de la sécurité de stockage de la clef de chiffrement, c'est celle de la confidentialité des données vis-à-vis des employés de la société qui peut être posée. En effet, de telles informations ne devraient pas être lisibles par des tiers, quels qu'ils soient.
Un outil de calcul d'empreinte MD5 / SHA-1 pour un fichier
C'est d'ailleurs pour cela que le stockage d'une empreinte du mot de passe via SHA-1 est le plus souvent recommandé, avec un composante aléatoire (le salage). En effet, la procédure de vérification consiste alors à calculer une empreinte (hash) celui que vous avez tapé, puis de la comparer à celle qui est stockée. Si les deux versions correspondent, vous pouvez vous connecter.
Une procédure plus complexe, notamment pour ce qui est de la récupération du mot de passe en cas d'oubli, mais qui est un minimum en terme de sécurité. Car ces informations sont parfois toujours les mêmes pour un utilisateur qui ne fait pas très attention. Celui-ci pourrait alors voir toute sa vie numérique accessible à des tiers : e-mail, comptes sur les réseaux sociaux, services de stockage en ligne...
Le mot de passe unique : une erreur à ne pas commettre
Outre le fait d'utiliser des mots de passe complexes et différents pour chaque service, et des outils tels que KeePass par exemple, nous ne pouvons que vous recommander d'éviter les sociétés qui stockent une telle donnée en clair ou de manière réversible. Cela est assez facilement identifiable, puisqu'elle a souvent la mauvaise idée... de vous l'envoyer par mail, sans que l'on sache s'il est stocké dans cet état ou supprimé ensuite.
Malheureusement, dans certains cas, il est compliqué de se passer de certains services. C'est par exemple le cas du site MySamsung du constructeur, sur lequel il faut désormais créer un compte pour profiter de certaines offres de remboursement, comme nous venons de le constater.
Contacté sur le sujet, Samsung nous a confirmé que seule une empreinte SHA-1 était effectivement stockée, et que le mot de passe n'était envoyé qu'au moment du formulaire et n'était jamais mémorisé. Nous avons alors demandé à la marque quel était le but d'une telle information dans un mail et il semble que comme souvent, il s'agisse surtout d'effectuer un rappel à l'utilisateur.
Néanmoins, il nous a été précisé que le fait d'informer le client de la procédure utilisée pour le stockage serait étudiée. En effet, pour ce dernier, comment savoir si sa sécurité est assurée ou non, puisqu'aucun standard n'est défini en la matière, et qu'aucun organisme n'assure du respect des règles élémentaires.
Le mot de passe : une procédure de sécurité devenue insuffisante ?
Ces derniers mois, nous avons d'ailleurs pu remarquer une pratique similaire chez de nombreux services importants lors de l'inscription. Si certains ont depuis effectué des changements, ce n'est pas le cas de Pizza Hut, Relay, Sarenza, le service de commande d'accessoires de SFR (Modelabs), Recatch.tv, Speed Burger ou Tiilt pour ne citer qu'eux. Les revendeurs high-tech ne sont d'ailleurs pas des cas à part puisque nous avons pu constater que Boulanger, Darty et LDLC faisaient de même :
N'hésitez donc pas à vous en plaindre auprès du service client, ou à exiger de savoir comment était stocké votre mot de passe, lorsque vous constatez que c'est le cas, et à nous indiquer au sein de nos commentaires ceux que vous avez pu repérer vous-même. On regrettera au passage que la CNIL, qui édite un guide de sécurité des données personnelles, ne s'intéresse pas plus à la question et ne permette pas aux utilisateurs de l'alerter sur de telles pratiques.
Ces soucis posent d'ailleurs la question de l'intérêt d'une nouvelle donne au niveau des procédures de connexion. De plus en plus de services proposent une solution de double authentification, en exploitant leurs propres outils, ou ceux fournis par Amazon, Google, Intel ou encore Microsoft sur Windows Phone que ce soit en version logicielle ou matérielle.
Malheureusement, cela complexifie parfois la procédure, et de telles pratiques sont encore loin d'être généralisées. Espérons que cela ne tardera pas trop à changer.
