Domino's Pizza : entre chiffrement, pirates « aguerris » et demande de rançon

Domino’s Pizza : entre chiffrement, pirates « aguerris » et demande de rançon

La prochaine fois, les mots de passe hashés menu avec un peu de sel svp

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

17/06/2014 4 minutes
42

Domino's Pizza : entre chiffrement, pirates « aguerris » et demande de rançon

Il y a quelques jours, Domino's Pizza était victime d'une cyberattaque entraînant une fuite de données personnelles. Contactée par nos soins, la société a répondu à nos questions concernant le chiffrement des mots de passe de ses clients. Elle nous confirme aussi avoir été la cible d'une demande de rançon de la part d'un groupe de pirates.

Pirate Piratage Sécurité
Crédits : Andrey Popov/iStock/Thinkstock

Vendredi dernier, Domino's Pizza informait ses clients qu'une faille de sécurité avait été identifiée et colmatée. Néanmoins, « cet accès illégitime a potentiellement entraîné la récupération d’un nombre limité de données vous concernant ». Cela concernait le nom, le prénom, l'adresse, l'email ainsi que le mot de passe.

Les mots de passe étaient chiffrés, mais les pirates étaient « aguerris »

Nous avions alors demandé un complément d'explications à la société sur ce dernier point, notamment en ce qui concerne le chiffrement des données : « Domino’s Pizza utilise un système de cryptage des données commerciales. Toutefois, les hackers dont nous avons été la cible sont des professionnels aguerris et ont été en mesure de décoder le système de cryptage. De fait, suite à la cyberattaque, nous avons immédiatement mandaté des experts pour auditer notre système de cryptage des données et identifier la faille qui pourrait avoir permis à des hackers de le décoder. Une faille potentielle a été identifiée et sécurisée ». nous répondait-on alors.

 

Les mots de passe étaient donc bien chiffrés, mais cela n'a pas été suffisant pour les protéger de l'attaque des pirates, ce qui semble indiquer une faiblesse dans la procédure utilisée. De plus, on regrettera que la société ne se contente pas d'enregistrer le hash avec une composante aléatoire de ces derniers, ce qui aurait pu éviter ce genre de déboires comme nous l'avons déjà plusieurs fois expliqué, notamment dans ce précédent article.

Une demande de rançon a bien été envoyée à Domino's Pizza...

Nous avons ensuite pu nous entretenir avec un porte-parole de la société sur un nouveau volet de cette sombre affaire : le chantage. Nous avons ainsi pu avoir la confirmation qu'une demande de rançon avait été envoyée à Domino's Pizza. Faute de payer 30 000 euros, un groupe de pirates répondant au nom de Rex Mundi explique qu'il publiera les coordonnées de pas moins de 592 000 comptes clients. À titre d'avertissement, trois exemples étaient mis en ligne, avant d'être finalement retirés :

 

Domino's Pizza 

Les données personnelles des trois comptes touchés ont volontairement été effacées par nos soins

 

Sur ce dernier point par contre, la société refuse de confirmer ou d'informer qu'il s'agit bien de comptes de ses clients, nous ne saurons donc pas si la base détenue provient effectivement de chez Domino's Pizza. On nous précise néanmoins que la faille a bel et bien été bouchée, contrairement à ce qui est annoncé par les pirates. Quoi qu'il en soit, Domino's Pizza indique qu'il n'est pas question de céder à cette demande de rançon et n'« entrera pas non plus dans ce jeu ».

 

Hier soir, elle s'est également fendue d'un communiqué de presse afin de réaffirmer sa position : « Domino’s Pizza France, qui collabore étroitement avec les autorités compétentes, est plus que jamais déterminée à ne pas répondre au chantage de quelque organisation criminelle que ce soit ». Une plainte a évidemment été déposée.

...comme c'était le cas pour Feedly la semaine dernière

Cette histoire n'est pas sans rappeler le cas de Feedly qui a été victime d'un maître chanteur pas plus tard que la semaine dernière. Là encore, le service a refusé de payer la somme demandée, ce qui lui a d'ailleurs valu pas moins de trois attaques DDoS en l'espace de quelques jours. Depuis, les choses semblent s'être calmées, reste à voir si cela sera le cas dans la durée.

 

Pour rappel, le chantage aux attaques DDoS contre une rançon en bitcoins est en pleine expansion outre-Atlantique. Avec les failles de sécurité et autres fuites de données qui sont de plus en plus fréquentes ces derniers temps, ce genre de demande pourrait bien se développer encore un peu plus.

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Les mots de passe étaient chiffrés, mais les pirates étaient « aguerris »

Une demande de rançon a bien été envoyée à Domino's Pizza...

...comme c'était le cas pour Feedly la semaine dernière

Fermer

Commentaires (42)


Gab&
Le 17/06/2014 à 06h 47

30K€, ces pirates ne demandent pas bien cher comparé au crime que cela représente et comparé au risque de se faire attraper à faire chanter cette entreprise… <img data-src=" />








Gab& a écrit :



30K€, ces pirates ne demandent pas bien cher comparé au crime que cela représente et comparé au risque de se faire attraper à faire chanter cette entreprise… <img data-src=" />







C’est claire que risque de se faire agrandir la chocolaterie pour 30k€ ( à se partager en plus) ça ne vaut pas le coups. 30K€ et une quatre fromages chacun aurait été plus judicieux.



Oliewan Abonné
Le 17/06/2014 à 06h 59

Comme quoi la junk food n’est pas mauvaise que pour la santé du consommateur mais aussi pour ses données.


Esarend
Le 17/06/2014 à 07h 05

D’un autre coté, nos données perso sont tellement piratés dans tous les sens qu’on se demande si elles ont encore une réelle valeur marchande (Même si ce n’est pas ce groupe qui les fournit, il y en a dix autres qui doivent déjà les avoir)


ziboom
Le 17/06/2014 à 07h 09







Esarend a écrit :



D’un autre coté, nos données perso sont tellement piratés dans tous les sens qu’on se demande si elles ont encore une réelle valeur marchande (Même si ce n’est pas ce groupe qui les fournit, il y en a dix autres qui doivent déjà les avoir)







+1 je me posais exactement la même question.



megt
Le 17/06/2014 à 07h 11







Gab& a écrit :



30K€, ces pirates ne demandent pas bien cher comparé au crime que cela représente et comparé au risque de se faire attraper à faire chanter cette entreprise… <img data-src=" />





Je pense qu’en demandant ‘que’ 30k€, les pirates se disent que Dominos (ou autre) diront plus facilement oui. Si on vous demande 1 M€ c’est assez difficile de ne pas ébruiter l’affaire. Uniquement 30 k€, cela passe plus facilement sur les comptes <img data-src=" />



nim65s
Le 17/06/2014 à 07h 12







Gab& a écrit :



30K€, ces pirates ne demandent pas bien cher comparé au crime que cela représente et comparé au risque de se faire attraper à faire chanter cette entreprise… <img data-src=" />







Ouais, ’fin s’ils sont en France…

Dans un tas de pays, ils risquent pas gros…<img data-src=" />



Mihashi Abonné
Le 17/06/2014 à 07h 13

De toute manière, céder à ce chantage serait stupide. C’est pas comme un otage qu’on libère contre une rançon. Là il n’y a aucune certitude que le groupe ne garde pas une copie et continue à demander plus après ou diffuse les données.


sashimi
Le 17/06/2014 à 07h 16

règle numéro une : ne jamais céder à un chantage. Il est la porte ouverte à une succession infinie de chantages toujours plus gourmands.


Gericoz
Le 17/06/2014 à 07h 18

Faut être bête pour payer une rançon sur un truc que l’on peut sauvegarder des millions de fois en quelques clic.

Faut être aussi bête pour penser qu’ils vont payer.



Menacer de diffuser sur internet pour filer la base client gratos à tout le monde alors qu’ils pourraient aussi la revendre à un tiers (je suis certain que cela se fait).



J’ai pas de comptes avec mot de passe chez eux mais ils ont mon nom/adresse/telephone du coup je sent que je vais bien me faire spam de pub une fois qu’ils auront revendu la base client à MikadoPizza <img data-src=" />



maestro321
Le 17/06/2014 à 07h 18







sashimi a écrit :



règle numéro une : ne jamais céder à un chantage l’espionnage. Il est la porte ouverte à une succession infinie de chantages d’espionnage toujours plus gourmands.





<img data-src=" />



NSA approved



Abused
Le 17/06/2014 à 07h 36

Pff encore un coup de la NSA !!



Ils voulaient savoir qui prennait des anchois ou des peperonis …

<img data-src=" />





quant aux chiffrements …. ils ont utilisé la clef publique de Google ?

<img data-src=" />


trshbn
Le 17/06/2014 à 07h 37

Ce que je trouve inquiétant vu la multiplication de cas ces derniers temps, c’est qu’il y a sûrement un tas de boîtes victimes du même genre de chantage… mais qui payent (et donc ne communiquent pas)…

En ajoutant celles qui se font siphonner les données de leurs utilisateurs sans même s’en rendre compte, ça commence à faire un paquet de données dans la nature…


tAran
Le 17/06/2014 à 07h 42

Eux, s’ils se font choper, ils vont prendre cher <img data-src=" />


Koxinga22
Le 17/06/2014 à 07h 55

Ils précisent quand même “on tient à signaler que le site est toujours debout et vulnérable”, c’est une menace à peine cachée.



La réplique en cas de refus de paiement pourrait bien être une incursion plus destructrice pour Domino.


TriEdge
Le 17/06/2014 à 08h 00

Pendant ce temps-là, chez imagine-r on stocke encore les mdp en clair. <img data-src=" />


RaoulC
Le 17/06/2014 à 08h 03







Abused a écrit :



Pff encore un coup de la NSA !!



Ils voulaient savoir qui prennait des anchois ou des peperonis …

<img data-src=" />





quant aux chiffrements …. ils ont utilisé la clef publique de Google ?

<img data-src=" />







Non, ils traquent ceux qui prennent les pizza Margherita sans jambon, pour les accuser de terrorisme (jambon, mulsulman donc islamiste forcément terroriste <img data-src=" />)



Quand au chiffrement…. Si c’est une simple substitution de caractères c’est possible à péter pour peut que l’on ai assez de données et de patience.

Possible également que les attaquants ai eu accès à l’algo de chiffrement/déchiffrement <img data-src=" />



Mais si c’est un vrai algo de chiffrement reconnu genre RC4 ou AES il faut que ces messieurs ait la clef.



Clef qui naturellement peut se bruteforcer ou avoir été volée avec les données (qui sait si les attaquants n’ont pas eu accès à autre chose ?)



L’article dit bien “pas de hash”.

Et même sans les mdp, je doute que les adresses emails soient chiffrés et rien que ca, ca se vend !

Ce qui expliquerait d’ailleurs la faible rançon demandée.



Groultok
Le 17/06/2014 à 08h 12







Gericoz a écrit :



J’ai pas de comptes avec mot de passe chez eux mais ils ont mon nom/adresse/telephone du coup je sent que je vais bien me faire spam de pub une fois qu’ils auront revendu la base client à MikadoPizza <img data-src=" />







Et ça se rajoutera à tous les spams que l’on reçoit déja <img data-src=" /> noyé dans la masse !



Jarodd Abonné
Le 17/06/2014 à 08h 51



Domino’s Pizza utilise un système de cryptage des données commerciales. Toutefois, les hackers dont nous avons été la cible sont des professionnels aguerris et ont été en mesure de décoder le système de cryptage.





Ca n’apporte pas tellement d’infos. S’ils utilisent du md5, ils peuvent très bien dire que c’est chiffré, il n’empêche que cela ne tient pas longtemps pour ces « professionnels aguerris » ( <img data-src=" /> ).


Ami-Kuns Abonné
Le 17/06/2014 à 09h 01

Et NXI a-t-il déja été pirater? Pas assez vieux sur le site pour savoir. <img data-src=" />


yl
Le 17/06/2014 à 09h 18



La prochaine fois, les mots de passe hashés menu avec un peu de sel svp





<img data-src=" /> <img data-src=" />


psn00ps
Le 17/06/2014 à 09h 44







Jarodd a écrit :



Ca n’apporte pas tellement d’infos. S’ils utilisent du md5, ils peuvent très bien dire que c’est chiffré, il n’empêche que cela ne tient pas longtemps pour ces « professionnels aguerris » ( <img data-src=" /> ).





Tu mets combien de temps pour un reverse md5 sur une base d’un million d’enregistrements ? <img data-src=" />



Charly32
Le 17/06/2014 à 09h 46

Tient c’est mardi fou aujourd’hui? <img data-src=" />





Sinon ben…j’espère que le camion à pizza qui est chez moi deux jours par semaines ne se fera pas hacker <img data-src=" />


Jarodd Abonné
Le 17/06/2014 à 09h 52







psn00ps a écrit :



Tu mets combien de temps pour un reverse md5 sur une base d’un million d’enregistrements ? <img data-src=" />







Sur 592 000 <img data-src=" />



On connaît la robustesse des mots de passe généralement utilisés, surtout sur un site peu sensible comme un fabricant de pizzas. Les azerty et autres 123456 doivent être légion, et utilisés sur pas mal de comptes. Je doute donc que cela nécessite tellement de temps de les retrouver (ab4f63f9ac65152575886860dde480a1 et e10adc3949ba59abbe56e057f20f883e pour les deux suscités).



maestro321
Le 17/06/2014 à 09h 54







psn00ps a écrit :



Tu mets combien de temps pour un reverse md5 sur une base d’un million d’enregistrements ? <img data-src=" />





Ça dépend s’il y a eu salage, et si le sel est unique par mot de passe.



jaguar_fr Abonné
Le 17/06/2014 à 09h 58









psn00ps a écrit :



Tu mets combien de temps pour un reverse md5 sur une base d’un million d’enregistrements ? <img data-src=" />





Là il n’y a pas de sel, donc 80% des mots de passes doivent sauter le temps de les chercher dans une table précalculée.

En plus pour un site de pizza on va pas créer un mot de passe unique.



RaoulC
Le 17/06/2014 à 10h 18







psn00ps a écrit :



Tu mets combien de temps pour un reverse md5 sur une base d’un million d’enregistrements ? <img data-src=" />







Voir la réponse de Jarood… Et c’est oublier les rainbow tables.

Quand j’ai lancé une recherche concernant le MD5 du mot de passe d’un client dans un moteur de recherche, j’ai trouvé ce qu’il me fallait en quelques secondes.



Zut, grillé <img data-src=" />



Zerbus
Le 17/06/2014 à 11h 10







jaguar_fr a écrit :



En plus pour un site de pizza on va pas créer un mot de passe unique.







Et pourquoi pas ?

J’ai pas de compte sur dominos mais tout site qui a ma vraie identité (donc la plupart à l’exception de forums où on s’inscrit juste pour voir le contenu) a un mdp perso chez moi.



Bon ok c’est pas la majorité des utilisateurs…



Soriatane Abonné
Le 17/06/2014 à 11h 21







Jarodd a écrit :



Ca n’apporte pas tellement d’infos. S’ils utilisent du md5, ils peuvent très bien dire que c’est chiffré, il n’empêche que cela ne tient pas longtemps pour ces « professionnels aguerris » ( <img data-src=" /> ).







  • 1



Anonyme
Le 17/06/2014 à 11h 23







Jarodd a écrit :



Ca n’apporte pas tellement d’infos. S’ils utilisent du md5, ils peuvent très bien dire que c’est chiffré, il n’empêche que cela ne tient pas longtemps pour ces « professionnels aguerris » ( <img data-src=" /> ).







C’est bien ça, avant de se faire fermer leur compte Twitter les types de Rex Mundi ont posté un tweet dans lequel ils disaient que les mots de passe étaient stockés en md5 sans salt.



Un bon “système de cryptage des données commerciales” fait par le stagiaire…



Origami
Le 17/06/2014 à 11h 46







TwEnTy-HuNdReD a écrit :



Un bon “système de cryptage des données commerciales” fait par le stagiaire…









Tu sais, le stagiaire, comme le développeur exécute le demande en se basant sur des spécifications techniques et fonctionnelles (quand il y en a…), rédigés par des MOA/MOE qui ont recueilli les besoins du client, client lui même démarché par des commerciaux qui ont bien ficelé le truc.

Que le(s) developpeur(s), stagiaire(s) et MOE alertent lors de la conception sur la vulnérabilité de chiffrer en md5 n’y changera rien, c’est le cout du projet qui compte, le reste en s’en balance. <img data-src=" />



bamzou
Le 17/06/2014 à 12h 18

Pour avoir bosser sur le site il y a quelques années ( il y a eu une nouvelle version récemment mais je doute qu’ils aient changé la BDD ), les mdp stockés étaient de simple hash md5, le site avait été développé par des Juniors sans ou avec peu d’expérience donc forcement quelques années après ça fuite …



lysbleu
Le 17/06/2014 à 14h 19







Jarodd a écrit :



Sur 592 000 <img data-src=" />



On connaît la robustesse des mots de passe généralement utilisés, surtout sur un site peu sensible comme un fabricant de pizzas. Les azerty et autres 123456 doivent être légion, et utilisés sur pas mal de comptes. Je doute donc que cela nécessite tellement de temps de les retrouver (ab4f63f9ac65152575886860dde480a1 et e10adc3949ba59abbe56e057f20f883e pour les deux suscités).





Sans aller jusqu’au azerty, j’utilise systématiquement des mots de passes peu robustes sur les sites où un vol de compte ne prête pas à conséquence (bon, c’est une suite de lettres aléatoires, j’imagine que c’est mieux que d’autres). Parce que là, mis à part commander plein de pizzas en mon nom, que je ne payerai pas, je ne vois pas ce que ça risque… De même, si on usurpe mon compte Nxi, je pourrai supporter que l’on trolle avec <img data-src=" />.



Jarodd Abonné
Le 17/06/2014 à 15h 39







lysbleu a écrit :



Sans aller jusqu’au azerty, j’utilise systématiquement des mots de passrgument pour le symbole à utiliser dans le dessin.e problème n’est pas qu’on poste avec ton pseudo. C’est que es peu robustes sur les sites où un vol de compte ne prête pas à conséquence (bon, c’est une suite de lettres aléatoires, j’imagine que c’est mieux que d’autres). Parce que là, mis à part commander plein de pizzas en mon nom, que je ne payerai pas, je ne vois pas ce que ça risque… De même, si on usurpe mon compte Nxi, je pourrai supporter que l’on trolle avec <img data-src=" />.







Le problème n’est pas qu’on poste avec ton pseudo. Mais si on a ton nom, prénom, e-mail, on peut déjà le croiser avec d’autres bases d’utilisateurs voées, puisque c’est la mode en ce moment.



Déjà si tu as indiqué une adresse e-mail réelle, tu vas de prendre du spam avec chorizo et peperoni dans la g….



Ensuite avec plusieurs croisements, on peut déjà récolter quelques infos sur toi. Ca ne te concerne peut-être pas, mais ça en gênera certains attachés à leur vie privée.

Et puis cela augmente le risque de découvrir d’autres accès qui sont plus sensible que la pizzaria, par exemple ton e-mail. Avec une info perso (par exemple la date de naissance), on peut réinitialiser le mot de passe d’un compte. Et ainsi de fil en aiguille, ça peut s’avérer dangereux (accès aux e-mails). Quand je vois que ma date de naissance suffit à ma banque à valider un paiement en ligne, ça fait peur ! Toute ma famille, tous mes potes euvent m’emprunter ma CB et confirmer l’achat ainsi. Et là ça ne sert à rien d’avoir un chiffrement de warrior !



Donc là le piratage Dominos est anodin. Mais comme ces affaires se multiplient, il faut quand même faire gaffe, surtout pour ceux qui utilisent les mêmes mots de passe, ou la même tournure, en mettant les initiales du site dedans par exemple (DomForever pour Dominos, PciForever pour ici,…). Les pirates ne font pas ça pour le plaisir, ni pour 30k€ qui leur seront refusés de toutes façons. Il y aura toujours des gens intéressés pour compléter ton profil, et pas forcément des cagoulés discrets, c’est même le but de certains sites avec quelques centaines de millions d’inscrits.



eliumnick
Le 17/06/2014 à 15h 55







Jarodd a écrit :



Le problème n’est pas qu’on poste avec ton pseudo. Mais si on a ton nom, prénom, e-mail, on peut déjà le croiser avec d’autres bases d’utilisateurs voées, puisque c’est la mode en ce moment.



Déjà si tu as indiqué une adresse e-mail réelle, tu vas de prendre du spam avec chorizo et peperoni dans la g….



Ensuite avec plusieurs croisements, on peut déjà récolter quelques infos sur toi. Ca ne te concerne peut-être pas, mais ça en gênera certains attachés à leur vie privée.

Et puis cela augmente le risque de découvrir d’autres accès qui sont plus sensible que la pizzaria, par exemple ton e-mail. Avec une info perso (par exemple la date de naissance), on peut réinitialiser le mot de passe d’un compte. Et ainsi de fil en aiguille, ça peut s’avérer dangereux (accès aux e-mails). Quand je vois que ma date de naissance suffit à ma banque à valider un paiement en ligne, ça fait peur ! Toute ma famille, tous mes potes euvent m’emprunter ma CB et confirmer l’achat ainsi. Et là ça ne sert à rien d’avoir un chiffrement de warrior !



Donc là le piratage Dominos est anodin. Mais comme ces affaires se multiplient, il faut quand même faire gaffe, surtout pour ceux qui utilisent les mêmes mots de passe, ou la même tournure, en mettant les initiales du site dedans par exemple (DomForever pour Dominos, PciForever pour ici,…). Les pirates ne font pas ça pour le plaisir, ni pour 30k€ qui leur seront refusés de toutes façons. Il y aura toujours des gens intéressés pour compléter ton profil, et pas forcément des cagoulés discrets, c’est même le but de certains sites avec quelques centaines de millions d’inscrits.







Change vite de banque ^^ et donne le nom qu’on y aille pas ^^



Sachant qu’il n’y a aucune coordonnée bancaire et que le mot de passe que j’avais utilisé est unique à ce site, quel est le “risque” encouru ? Que tout le monde sache que ma consommation de pizza a augmentée pendant la coupe du monde ? <img data-src=" />


lysbleu
Le 17/06/2014 à 17h 39







Jarodd a écrit :



Le problème n’est pas qu’on poste avec ton pseudo. Mais si on a ton nom, prénom, e-mail, on peut déjà le croiser avec d’autres bases d’utilisateurs voées, puisque c’est la mode en ce moment.



Déjà si tu as indiqué une adresse e-mail réelle, tu vas de prendre du spam avec chorizo et peperoni dans la g….



Ensuite avec plusieurs croisements, on peut déjà récolter quelques infos sur toi. Ca ne te concerne peut-être pas, mais ça en gênera certains attachés à leur vie privée.

Et puis cela augmente le risque de découvrir d’autres accès qui sont plus sensible que la pizzaria, par exemple ton e-mail. Avec une info perso (par exemple la date de naissance), on peut réinitialiser le mot de passe d’un compte. Et ainsi de fil en aiguille, ça peut s’avérer dangereux (accès aux e-mails). Quand je vois que ma date de naissance suffit à ma banque à valider un paiement en ligne, ça fait peur ! Toute ma famille, tous mes potes euvent m’emprunter ma CB et confirmer l’achat ainsi. Et là ça ne sert à rien d’avoir un chiffrement de warrior !



Donc là le piratage Dominos est anodin. Mais comme ces affaires se multiplient, il faut quand même faire gaffe, surtout pour ceux qui utilisent les mêmes mots de passe, ou la même tournure, en mettant les initiales du site dedans par exemple (DomForever pour Dominos, PciForever pour ici,…). Les pirates ne font pas ça pour le plaisir, ni pour 30k€ qui leur seront refusés de toutes façons. Il y aura toujours des gens intéressés pour compléter ton profil, et pas forcément des cagoulés discrets, c’est même le but de certains sites avec quelques centaines de millions d’inscrits.





Oui mais je ne parlais que du mot de passe. Si le pirate a accès à la base de donnée d’un site, il a accès à toutes ces informations personnelles sans que le mot de passe ne soit impliqué. Mon mot de passe reste trop compliqué pour que l’on puisse le trouver au hasard, et toutes les informations de mon profil Nxi sont publiques (c’est à dire, presque rien).



Anonyme
Le 17/06/2014 à 20h 11







Origami a écrit :



Tu sais, le stagiaire, comme le développeur exécute le demande en se basant sur des spécifications techniques et fonctionnelles (quand il y en a…), rédigés par des MOA/MOE qui ont recueilli les besoins du client, client lui même démarché par des commerciaux qui ont bien ficelé le truc.

Que le(s) developpeur(s), stagiaire(s) et MOE alertent lors de la conception sur la vulnérabilité de chiffrer en md5 n’y changera rien, c’est le cout du projet qui compte, le reste en s’en balance. <img data-src=" />







Oui je sais comment ça fonctionne, je bosse dans le milieu.



Et je sais également que le coût est une très mauvaise excuse en ce qui concerne la façon dont stockés les mots de passe tellement le temps de dev pour faire un truc un minimum potable est négligeable sur un projet comme ça.



Sérieusement, tu chiffrerais à combien la différence entre faire un truc pourri avec un vieux md5 et utiliser du bcrypt salé… ? 5mn ? 10mn ?



Et vu que le bcrypt était peut-être pas à la mode à l’époque (aucune idée de quand a été dev leur site), je leur aurais excusé un SHA salé (idem, aucun coût supplémentaire, juste des connaissances à avoir), ou au minimum un MD5 salé.



Du MD5 non salé c’est juste une honte et de l’incompétence, pas des problèmes de coût.



RaoulC
Le 17/06/2014 à 21h 05







bamzou a écrit :



Pour avoir bosser sur le site il y a quelques années ( il y a eu une nouvelle version récemment mais je doute qu’ils aient changé la BDD ), les mdp stockés étaient de simple hash md5, le site avait été développé par des Juniors sans ou avec peu d’expérience donc forcement quelques années après ça fuite …







Bienvenue sur PCI NXi <img data-src=" />



RaoulC
Le 17/06/2014 à 21h 15







TwEnTy-HuNdReD a écrit :



Oui je sais comment ça fonctionne, je bosse dans le milieu.



Et je sais également que le coût est une très mauvaise excuse en ce qui concerne la façon dont stockés les mots de passe tellement le temps de dev pour faire un truc un minimum potable est négligeable sur un projet comme ça.



Sérieusement, tu chiffrerais à combien la différence entre faire un truc pourri avec un vieux md5 et utiliser du bcrypt salé… ? 5mn ? 10mn ?



Et vu que le bcrypt était peut-être pas à la mode à l’époque (aucune idée de quand a été dev leur site), je leur aurais excusé un SHA salé (idem, aucun coût supplémentaire, juste des connaissances à avoir), ou au minimum un MD5 salé.



Du MD5 non salé c’est juste une honte et de l’incompétence, pas des problèmes de coût.







Quand tu a des BDD clients qui comportent un système de MDP foireux et que l’on te demande toi dev de changer ca…

Que tu as déjà du mal à faire accepter au boss le fait qu’utiliser un hash est plus sécurisé qu’un encodage a la noix (EBCDIC <img data-src=" />) alors va lui parler d’un salt…<img data-src=" />



Et ensuite tu te fait engueuler parce que tu as réussi a retrouver le pass débile du client à partir du MD5. Si il avait fallu forcer des mdp forts en même temps les clients aurait ralés et j’aurais pris quand même <img data-src=" />



Je pensais naïvement que le boss SAVAIT qu’un mdp genre 12345 ne valait rien vu son expérience… <img data-src=" />



Avec toute la bonne volonté du monde, si tu doit changer un truc qui existe déjà, c’est pas toujours évident.<img data-src=" />



Précision toutefois : ces BDD ne sont pas sur internet mais sur des serveurs isolés chez le client. Quand même…



psn00ps
Le 17/06/2014 à 21h 35







TwEnTy-HuNdReD a écrit :



Oui je sais comment ça fonctionne, je bosse dans le milieu.



Et je sais également que le coût est une très mauvaise excuse en ce qui concerne la façon dont stockés les mots de passe tellement le temps de dev pour faire un truc un minimum potable est négligeable sur un projet comme ça.



Sérieusement, tu chiffrerais à combien la différence entre faire un truc pourri avec un vieux md5 et utiliser du bcrypt salé… ? 5mn ? 10mn ?



Et vu que le bcrypt était peut-être pas à la mode à l’époque (aucune idée de quand a été dev leur site), je leur aurais excusé un SHA salé (idem, aucun coût supplémentaire, juste des connaissances à avoir), ou au minimum un MD5 salé.



Du MD5 non salé c’est juste une honte et de l’incompétence, pas des problèmes de coût.





Un MD5 salé c’est juste une honte et de l’incompétence, vu qu’il est bourré de collisions.



Et quand on se préoccupe un minimum de la sécurité de ses données clients,

un mailing avec reset du mot de passe prend 10 mn à faire.



Anonyme
Le 18/06/2014 à 10h 53







psn00ps a écrit :



Un MD5 salé c’est juste une honte et de l’incompétence, vu qu’il est bourré de collisions.



Et quand on se préoccupe un minimum de la sécurité de ses données clients,

un mailing avec reset du mot de passe prend 10 mn à faire.







J’ai pas dit que c’était un truc à faire, juste que je leur aurais davantage excusé car dans ce cas (et je dis bien dans ce cas précis - où toutes les infos étaient présentes dans le dump et que le mal était déjà fait), le problème des collisions à cause des salts est beaucoup moins impactant que le risque qu’il y a à stocker simplement le mdp en md5 non salé.



Là le souci vient principalement du fait que certains clients Domino’s utilisent le même mot de passe sur des sites qui peuvent être beaucoup plus intéressant pour un type mal intentionné (parce qu’honnêtement, avoir accès à un compte Domino’s c’est useless, surtout quand t’as déjà le dump de la base à côté).



Donc si tu stockes les MDP direct en MD5 sans salt et que le mec trouve le MDP correspondant au hash d’un client, il a potentiellement accès à d’autres comptes (Gmail ? Paypal ? Amazon ? …).



Si tu stockes les MDP avec un MD5 salé :




  • Tu augmentes la difficulté de retrouver le mot de passe de base

  • Même si le nombre de collisions est potentiellement augmenté, l’impact est moindre car si le type trouve une collision il ne peut pas l’utiliser pour se logguer sur les autres comptes du client (et vu qu’il se fout de s’authentifier sur Domino’s car il a déjà toutes les autres infos présentes en base…)



    Bref, oui c’est honteux quand il y a des solutions beaucoup mieux qui ne coûtent rien de plus à implémenter, mais dans ce cas ça aurait été beaucoup plus excusable.

    Et je suis d’accord pour le coup du mailing.