Renvoyer un mot de passe par e-mail, en clair, en 2018, c'est encore possible. C'est en tous cas ce que nous prouve le site du journal Les Échos. Interrogée, son équipe nous confirme la situation mais travaille déjà à une solution.
Il y a quelques jours, un lecteur nous a averti qu'en cas d'oubli de mot de passe, le site du journal Les Échos lui avait renvoyé cette information en clair, par e-mail.
Nous avons effectué un essai en créant un compte et l'on peut remarquer plusieurs choses. Le champ où l'on tape son mot de passe ne masque pas les caractères à l'inscription. De plus, en cas d'oubli ou de modification, le mot de passe est bien envoyé dans un simple e-mail, en lieu et place d'un classique lien de réinitialisation. Une procédure douteuse à plus d'un titre.
Déjà parce qu'un e-mail est loin d'être une solution de communication idéalement sécurisée. Ensuite, parce que le fait même d'être capable de renvoyer le mot de passe signifie en général qu'il est stocké tel quel dans la base de données du site.
La CNIL refuse tout stockage en clair ou réversible
Une méthode de conservation qui contrevient à toutes les recommandations de sécurité, notamment celles établies par la CNIL. Dans sa délibération n°2017-190 du 22 juin 2017 elle précise ainsi :
« La commission considère que le mot de passe ne doit jamais être stocké en clair. Elle recommande que tout mot de passe utile à la vérification de l'authentification et devant être stocké sur un serveur soit préalablement transformé au moyen d'une fonction cryptographique non réversible et sûre (c'est-à-dire utilisant un algorithme public réputé fort dont la mise en œuvre logicielle est exempte de vulnérabilité connue), intégrant l'utilisation d'un sel ou d'une clé »
Dit de manière plus claire, un service auquel peuvent se connecter des utilisateurs ne doit pas stocker le mot de passe en clair ou chiffré de manière réversible. Les développeurs doivent lui préférer une empreinte (hash) calculée avec une composante aléatoire qu'il est le seul à connaître (le sel).
C'est cette empreinte qui sera comparée à celle du mot de passe entré par l'utilisateur lors d'une tentative de connexion.
Une empreinte, comment ça marche ?
Ainsi, si votre adresse e-mail est « toto@toto.com » et votre mot de passe « moncodetopsecret », seule la première information doit être stockée telle quelle par le site. Il devra appliquer un algorithme au mot de passe avant de le stocker. Pour vous donner un exemple plus parlant, reposant sur PBKDF2 cela donne les paramètres suivants :
- Mot de passe : moncodetopsecret
- Sel : CA7D6F872A1769FBC5F6AF531858287E
- Itérations : 1000
- Longueur : 32 bytes
- Empreinte calculée : i3p48N0gGl/bFFtj1lp0HMx7ffRfdMlACHyNS1ugd+4=
C'est ce dernier élément qui sera stocké dans la base de données. L'algorithme étant non réversible, on peut vérifier qu'un mot de passe correspond à une empreinte, mais pas retrouver un mot de passe depuis une empreinte.
Lorsque vous tenterez de vous connecter, le site récupérera le mot de passe que vous avez entré, calculera son empreinte et vérifiera qu'elle correspond à celle stockée dans sa base de données. Ainsi, en cas de faille de sécurité, votre mot de passe ne se retrouvera pas dans la nature.
Les Échos va changer de méthode
Interrogé sur le sujet, Étienne Porteaux, actuel directeur de la diffusion et du marketing clients du journal Les Échos nous a indiqué être arrivé récemment à son poste et avoir découvert cette situation il y a quelques semaines.
Il nous confirme que les mots de passe sont bien envoyés en clair, et donc stockés tel quel, une couche de chiffrement étant simplement appliquée au niveau du stockage. Des travaux sont en cours afin de corriger le problème. Aucune date précise n'a néanmoins pu nous être confirmée.
Actuellement, les équipes techniques travaillent notamment à la mise en conformité du site avec le RGPD (voir notre analyse). Cette mise à jour concernant les mots de passe devrait sans doute arriver d'ici là.
Que faire contre les sites qui stockent les mots de passe en clair ?
Bien qu'en 2018, une telle pratique ait presque totalement disparu, on voit avec Les Échos que des cas subsistent, parfois avec des sites à très forte audience. Mais que faire pour remédier à cette situation ?
Pour commencer, nous avons mis en place une adresse e-mail vous permettant de nous alerter sur des sites qui renvoient un mot de passe en clair par e-mail, et qui sont donc susceptibles de ne pas le stocker sous forme d'empreinte.
D'ici peu, nous mettrons en ligne un petit site dédié, dans le cadre de nos initiatives pour améliorer la protection de la vie privée des internautes français.
info@motdepasseenclair.fr
