La Scam vient d’annoncer être la cible d’une « cyberattaque de type ransomware ». Dans son communiqué, elle explique que cela s’est produit « malgré [ses] efforts soutenus en matière de prévention et de protection de [son] système d’information ».
Cela peut arriver, personne n’est à l'abri d’une cyberattaque plus ou moins sophistiquée, mais on peine un peu avec les « efforts » de la Scam.
Sur un de nos comptes, on utilise la procédure mot de passe oublié. Le site nous demande logiquement notre identifiant ou adresse email si nous sommes en cours d'adhésion. Jusque-là, tout va bien. Les choses se compliquent fortement lorsque l’on reçoit l’email intitulé « Vos identifiants » quelques secondes plus tard.
On y retrouve notre identifiant d’utilisateur (déjà précisé sur le site lors de la demande) et surtout notre mot de passe, en clair. Il ne s’agit pas d’un mot de passe provisoire, celui envoyé dans l’email est déjà utilisé depuis plus d’un an sur ce compte. De plus, une fois connecté, le site ne demande même pas d’en changer.
La Scam envoie donc dans un même message le mot de passe en clair et rappelle l’identifiant permettant de s’identifier. Si votre boîte email est compromise, c’est donc la catastrophe. Mais cela signifie aussi que, d’une manière ou d’une autre, la Scam peut accéder aux mots de passe des utilisateurs.
C’est pourtant une règle de base : « Les mots de passe ne doivent jamais être stockés en clair. Lorsque l’authentification a lieu sur un serveur distant, et dans les autres cas si cela est techniquement faisable, le mot de passe doit être transformé au moyen d’une fonction cryptographique non réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé », rappelle la CNIL.
Même si le mot de passe est stocké chiffré dans les bases de données de la Scam (on l’espère fortement…), elle dispose d’un moyen de les déchiffrer. Dans tous les cas, la fonction de chiffrement (si elle existe) n’est pas irréversible.
À défaut de savoir ce qui aurait été la cause de la cyberattaque de la Scam, ses « efforts soutenus en matière de prévention et de protection » du système d’information prennent du plomb dans l’aile.
Commentaires (15)
#1
#2
Déjà, si l'adresse mail sert de login, ça le fait mal, mais ici, ajouter l'identifiant dans le même mail, c'est le combo gagnant...
#2.1
Historique des modifications :
Posté le 22/06/2024 à 13h06
Perso, le premier exemple qui me vient est le forum d'hardware.fr, pareil identifiant et MDP en clair
#2.2
#3
#3.1
#4
Ma vision est explicite ou il faut que je précise ?
#4.1
L'impression de lire un reply de notre ancienne taulière ;)
#5
#5.1
#6
#7
#8
#9
C'est donc cela l'ère de la post-vérité ? L'anticatastase mêlée aux buzzwords, tout pour l'apparence ?
#10