Cyberattaque Scam : des « efforts soutenus » de protection… aux mots de passe envoyés en clair
Scam qui peut
La Scam vient d’annoncer être la cible d’une « cyberattaque de type ransomware ». Dans son communiqué, elle explique que cela s’est produit « malgré [ses] efforts soutenus en matière de prévention et de protection de [son] système d’information ».
Cela peut arriver, personne n’est à l'abri d’une cyberattaque plus ou moins sophistiquée, mais on peine un peu avec les « efforts » de la Scam.
Sur un de nos comptes, on utilise la procédure mot de passe oublié. Le site nous demande logiquement notre identifiant ou adresse email si nous sommes en cours d'adhésion. Jusque-là, tout va bien. Les choses se compliquent fortement lorsque l’on reçoit l’email intitulé « Vos identifiants » quelques secondes plus tard.
On y retrouve notre identifiant d’utilisateur (déjà précisé sur le site lors de la demande) et surtout notre mot de passe, en clair. Il ne s’agit pas d’un mot de passe provisoire, celui envoyé dans l’email est déjà utilisé depuis plus d’un an sur ce compte. De plus, une fois connecté, le site ne demande même pas d’en changer.
La Scam envoie donc dans un même message le mot de passe en clair et rappelle l’identifiant permettant de s’identifier. Si votre boîte email est compromise, c’est donc la catastrophe. Mais cela signifie aussi que, d’une manière ou d’une autre, la Scam peut accéder aux mots de passe des utilisateurs.
C’est pourtant une règle de base : « Les mots de passe ne doivent jamais être stockés en clair. Lorsque l’authentification a lieu sur un serveur distant, et dans les autres cas si cela est techniquement faisable, le mot de passe doit être transformé au moyen d’une fonction cryptographique non réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé », rappelle la CNIL.
Même si le mot de passe est stocké chiffré dans les bases de données de la Scam (on l’espère fortement…), elle dispose d’un moyen de les déchiffrer. Dans tous les cas, la fonction de chiffrement (si elle existe) n’est pas irréversible.
À défaut de savoir ce qui aurait été la cause de la cyberattaque de la Scam, ses « efforts soutenus en matière de prévention et de protection » du système d’information prennent du plomb dans l’aile.
Commentaires (15)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 21/06/2024 à 18h50
Le 21/06/2024 à 18h51
Déjà, si l'adresse mail sert de login, ça le fait mal, mais ici, ajouter l'identifiant dans le même mail, c'est le combo gagnant...
Modifié le 22/06/2024 à 13h13
Le 22/06/2024 à 15h47
Le 21/06/2024 à 18h55
Le 21/06/2024 à 19h44
Le 21/06/2024 à 19h14
Ma vision est explicite ou il faut que je précise ?
Le 22/06/2024 à 10h56
L'impression de lire un reply de notre ancienne taulière ;)
Le 22/06/2024 à 01h55
Le 22/06/2024 à 12h31
Le 22/06/2024 à 07h01
Le 22/06/2024 à 10h10
Le 22/06/2024 à 13h22
Le 23/06/2024 à 03h21
Le 23/06/2024 à 15h45