Je me suis récemment enregistré auprès du site d’écoute musicale you.dj. Lors de l’enregistrement le site demande, comme il est de coutume de le faire, de fournir un nom d’utilisateur, un mot de passe et une adresse email. Je tape mon nom d’utilisateur, un mot de passe et hop je peux commencer à créer mes playlists et écouter la musique que j’aime.
Pourtant, quelques minutes plus tard, je recois le mail suivant:
Bienvenue sur You.dj,
You.dj est un lecteur de musique en ligne où vous pouvez écouter toutes les chansons que les membres envoient.
Vous pouvez vous aussi envoyer de la musique, pour cela, rendez-vous dans le lecteur de musique de You.dj, onglet ‘Envoyer ma musique’ et suivez ensuite les instructions.Rappel de vos identifiants pour vous connectez à You.dj:
- identifiant : aranud1976
- mot de passe : motdepasseBonne écoute
Arg… mais pourquoi tu m’envoies mon mot de passe par mail en clair? Est-ce que après avoir tapé le code de ma carte bleue au distributeur à billet, le distributeur affiche l’écran suivant?
Bienvenue à la BNP,
Vous avez demandé 50 euros.
Rappel du votre code de carte: 6791
Lorsque je confie un mot de passe à un site, je m’attend à ce qu’il en prenne soin. A savoir, qu’il ne le diffuse pas en clair sur internet (et tout le monde sait que les emails circulent en clair), mais également qu’il le stocke de manière sécurisé.
Et la seule manière pour un site de stocker un mot de passe de manière sécurisé, c’est de ne pas le stocker du tout !! Cela veut dire qu’il faut stocker non pas le mot de passe mais une empreinte du mot de passe (hash en anglais). Si la fonction de hachage qui est utilisée pour calculer l’empreinte d’un mot de passe est correctement choisie et appliquée, alors retrouver le mot de passe est impossible car cela nécessiterait des calculs trop long (plusieurs milliers d’années).
Or certains site proposent de vous redonner votre mot de passe. Par exemple, ils vous demandent votre adresse email et vous expédient votre mot de passe à cette adresse. Ou bien ils vous demandent la réponse à une question qui vous a été posé lors de l’inscription (quel est le nom de jeune fille de votre mère) et vous révèlent votre mot de passe. Tous ces sites ne stockent donc pas l’empreinte du mot de passe mais le mot de passe lui même. Ils stockent donc votre mot de passe de manière non sécurisé.
Un site qui stocke une empreinte de votre mot de passe, peut donc au mieux vous générer un nouveau mot de passe en cas de perte de votre mot de passe. C’est heureusement ce que font la plupart des sites 
Malheureusement, nous verrons dans le prochain billet que stocker l’empreinte du mot de passe n’est pas forcement suffisant.
Bulletins (RSS)
Il est tout de même possible de stocker un mot de passe correctement crypté dans la base du site, cryptage qui demanderait également des calculs astronomiques sans la clé de cryptage pour le récupérer.
Là où leur procédures de récupération de mot de passe est stupide, c’est que plutôt de profiter de l’accès sécurisé à leur site pour afficher le mot de passe (qui serait en plus une donnée éphémaire), ils envoient effectivement un mail avec le mot de passe en clair
Ne serait-ce pas à la CNIL de vérifier pour chaque déclaration la méthode de conservation des données sensibles ? C’est une question je n’en sais rien du tout.
Malheureusement, si on veut stocker le mot de passe complet de manière crypté dans une base, alors il faut une clef de cryptage. Cette clef de cryptage doit être incluse dans le code du Site Web, ou bien dans un fichier, etc. Dans tous les cas, il est donc possible pour une personne vraiment mal intentionnée de recuperer à la fois la base des mots de passe, et la clef de cryptage puisque les deux figurent sur les serveurs qui hostent le site. C’est de cette façon que la protection des DVD a été cassée: Tous les DVD sont cryptés avec la même clef, et une personne a simplement été “voir” dans un programme de lecture de DVD quelle était la clef.
Par ailleurs, même sans avoir la clef de cryptage, il est souvent possible de la calculer si on peut manipuler la base des mots de passe. Par exemple, si une personne (toujours mal intentionnée) a trouvé le moyen d’acceder à la base des mots de passe “actifs”, alors elle peut s’enregistrer sur le site avec une dizaine de pseudo/mot de passe différents. Ensuite elle récupère la base des mots de passe du site qui contient notamment les mots de passes qu’elle vient de rentrer. L’attaquant a cette fois une dizaine de mot de passe en version cryptée et décryptée et il peut donc calculer la clef de cryptage.
[...] passe et en calcule l’empreinte. C’est cette empreinte qui est stockée par le site (et pas le mot de passe lui-même!!). Ensuite lorsque ce visiteur revient et s’authentifie, il saisit son mot de passe, le site [...]
“Un site qui stocke une empreinte de votre mot de passe, peut donc au mieux vous générer un nouveau mot de passe en cas de perte de votre mot de passe. C’est heureusement ce que font la plupart des sites”
C’est dommage.
Je trouve très pratique que certains services
me rappellent mon mot de passe sur ma demande.
Certains ne le proposent pas, et c’est bien
dommage en cas d’oubli d’accès à un service.
Diminution de la sécurité avec l’empreinte seule : une tentative différente de mon mot de passe peut passer.