Archives par étiquette : mot de passe

Une fausse impression de sécurité des données

Aujourd’hui je vais vous raconter une petite anecdote qui m’est arrivée et qui doit arriver à beaucoup d’entre nous régulièrement. C’est le genre de petites histoires qui nous amènent à réfléchir à deux fois avant de choisir le mot de passe que l’on utilise sur un site / service.

La scène se déroule sur le portail d’une régie d’affiliation dont je tairais le nom mais que j’utilise sur l’un de mes sites pour fournir un lien vers un client de newsgroup (ouais je sais j’aurai pu dire directement de qui il s’agit…).

Pour constater mes gains – mon absence de gains en l’occurrence d’ailleurs – je me connecte à mon compte sur ledit portail. Je remarque un superbe (et inutile) https dans l’url qui me conduit logiquement à penser que mes informations de connexion sont transmises de façon cryptée au serveur. Je vous rassure tout de suite : c’est le cas !

Sauf qu’à force d’essais je suis incapable de me souvenir du mot de passe que j’avais utilisé sur ce site. Il faut dire que comme tout bon geek j’en ai plus d’une dizaine différents et que ceux-ci sont parfois tellement bien pensés que je les retrouve jamais…

Dans ce cas là, et comme souvent, je me résous à utiliser le lien « Mot de passe oublié » présent sous le formulaire de connexion pensant avoir à suivre une procédure longue et fastidieuse de réinitialisation du mot de passe. « Vos identifiants vous ont été envoyés par email ».

Et effectivement, en consultant ma boite mail j’ai la joie de retrouver mon couple login / mot de passe (p*tain je l’avais oublié celui là de mot de passe !) en clair.

Ce qui veut dire que, non contents de stocker le mot de passe en clair dans la base de données, ce qui en soit est à la fois grave et stupide, ils envoient ce même mot de passe en clair par mail !

En conclusion la même société qui est prête à investir dans un certificat SSL 128 bits Thawte (à partir de 150€ / an) n’est pas capable de crypter les mots de passes et de mettre en place un système de réinitialisation de celui-ci qui soit digne de confiance. C’est beau l’impression de sécurité, et ce n’est pas que sur TF1 !