Gravatar couramment utilisé Blog perso de Paul Da Silva

Une fausse impression de sécurité des données

Posted on | avril 5, 2010 | No Comments

Aujourd’hui je vais vous raconter une petite anecdote qui m’est arrivée et qui doit arriver à beaucoup d’entre nous régulièrement. C’est le genre de petites histoires qui nous amènent à réfléchir à deux fois avant de choisir le mot de passe que l’on utilise sur un site / service.

La scène se déroule sur le portail d’une régie d’affiliation dont je tairais le nom mais que j’utilise sur l’un de mes sites pour fournir un lien vers un client de newsgroup (ouais je sais j’aurai pu dire directement de qui il s’agit…).

Pour constater mes gains – mon absence de gains en l’occurrence d’ailleurs – je me connecte à mon compte sur ledit portail. Je remarque un superbe (et inutile) https dans l’url qui me conduit logiquement à penser que mes informations de connexion sont transmises de façon cryptée au serveur. Je vous rassure tout de suite : c’est le cas !

Sauf qu’à force d’essais je suis incapable de me souvenir du mot de passe que j’avais utilisé sur ce site. Il faut dire que comme tout bon geek j’en ai plus d’une dizaine différents et que ceux-ci sont parfois tellement bien pensés que je les retrouve jamais…

Dans ce cas là, et comme souvent, je me résous à utiliser le lien « Mot de passe oublié » présent sous le formulaire de connexion pensant avoir à suivre une procédure longue et fastidieuse de réinitialisation du mot de passe. « Vos identifiants vous ont été envoyés par email ».

Et effectivement, en consultant ma boite mail j’ai la joie de retrouver mon couple login / mot de passe (p*tain je l’avais oublié celui là de mot de passe !) en clair.

Ce qui veut dire que, non contents de stocker le mot de passe en clair dans la base de données, ce qui en soit est à la fois grave et stupide, ils envoient ce même mot de passe en clair par mail !

En conclusion la même société qui est prête à investir dans un certificat SSL 128 bits Thawte (à partir de 150€ / an) n’est pas capable de crypter les mots de passes et de mettre en place un système de réinitialisation de celui-ci qui soit digne de confiance. C’est beau l’impression de sécurité, et ce n’est pas que sur TF1 !

Commentaires

Leave a Reply





Edito

Ancien journaliste, ancien entrepreneur, ancien (ir)responsable Pirate, actuel citoyen qui s'intéresse à la politique et à son évolution.

Read moar !.

Retrouvez moi sur :

Suivez moi sur twitter sur facebook sur wikipedia Ajouter ce blog a votre lecteur RSS

Bitcoin

bitcoin logo
1GZnMQ9wXyifxCnDEqg8CSGdngWcKWptHv

Piratons la démocratie

piratons la democratie

One more thing !

0100 0011 0110 1000 0110 0001 0110 1110 0110 0111 0110 0101 0111 0010 0010 0000 0110 1100 0110 0101 0010 0000 0110 1101 0110 1111 0110 1110 0110 0100 0110 0101 0010 0000 0110 0101 0110 1110 0010 0000 0111 0011 0010 0111 0110 0001 0110 1101 0111 0101 0111 0011 0110 0001 0110 1110 0111 0100 0010 0000 0010 1101 0010 0000 0110 1111 0110 1110 0010 0000 0111 0110 0110 0001 0010 0000 0110 0010 0110 1111 0110 1001 0111 0010 0110 0101 0010 0000 0111 0101 0110 1110 0010 0000 0110 0011 0110 1111 0111 0101 0111 0000 0010 0000 0011 1111

Tm9uIGNlbGVsIGzgIGVzdCBqdXN0ZSBwb3VyIHRlIGZhaXJlIHBlcmRyZSA1bW4gOyk=

Relationship Closeness Inventory

Promo code Genesis Mining

Sha 256 cloud mining

Best Bitcoin debit card

Zcash Mining