Les Échos stocke le mot de passe de ses utilisateurs en clair, mais ça va changer
Vive l'Open Data !
Renvoyer un mot de passe par e-mail, en clair, en 2018, c'est encore possible. C'est en tous cas ce que nous prouve le site du journal Les Échos. Interrogée, son équipe nous confirme la situation mais travaille déjà à une solution.
Il y a quelques jours, un lecteur nous a averti qu'en cas d'oubli de mot de passe, le site du journal Les Échos lui avait renvoyé cette information en clair, par e-mail.
Nous avons effectué un essai en créant un compte et l'on peut remarquer plusieurs choses. Le champ où l'on tape son mot de passe ne masque pas les caractères à l'inscription. De plus, en cas d'oubli ou de modification, le mot de passe est bien envoyé dans un simple e-mail, en lieu et place d'un classique lien de réinitialisation. Une procédure douteuse à plus d'un titre.
Déjà parce qu'un e-mail est loin d'être une solution de communication idéalement sécurisée. Ensuite, parce que le fait même d'être capable de renvoyer le mot de passe signifie en général qu'il est stocké tel quel dans la base de données du site.
La CNIL refuse tout stockage en clair ou réversible
Une méthode de conservation qui contrevient à toutes les recommandations de sécurité, notamment celles établies par la CNIL. Dans sa délibération n°2017 - 190 du 22 juin 2017 elle précise ainsi :
« La commission considère que le mot de passe ne doit jamais être stocké en clair. Elle recommande que tout mot de passe utile à la vérification de l'authentification et devant être stocké sur un serveur soit préalablement transformé au moyen d'une fonction cryptographique non réversible et sûre (c'est-à-dire utilisant un algorithme public réputé fort dont la mise en œuvre logicielle est exempte de vulnérabilité connue), intégrant l'utilisation d'un sel ou d'une clé »
Dit de manière plus claire, un service auquel peuvent se connecter des utilisateurs ne doit pas stocker le mot de passe en clair ou chiffré de manière réversible. Les développeurs doivent lui préférer une empreinte (hash) calculée avec une composante aléatoire qu'il est le seul à connaître (le sel).
C'est cette empreinte qui sera comparée à celle du mot de passe entré par l'utilisateur lors d'une tentative de connexion.
Une empreinte, comment ça marche ?
Ainsi, si votre adresse e-mail est « [email protected] » et votre mot de passe « moncodetopsecret », seule la première information doit être stockée telle quelle par le site. Il devra appliquer un algorithme au mot de passe avant de le stocker. Pour vous donner un exemple plus parlant, reposant sur PBKDF2 cela donne les paramètres suivants :
- Mot de passe : moncodetopsecret
- Sel : CA7D6F872A1769FBC5F6AF531858287E
- Itérations : 1000
- Longueur : 32 bytes
- Empreinte calculée : i3p48N0gGl/bFFtj1lp0HMx7ffRfdMlACHyNS1ugd+4 =
C'est ce dernier élément qui sera stocké dans la base de données. L'algorithme étant non réversible, on peut vérifier qu'un mot de passe correspond à une empreinte, mais pas retrouver un mot de passe depuis une empreinte.
Lorsque vous tenterez de vous connecter, le site récupérera le mot de passe que vous avez entré, calculera son empreinte et vérifiera qu'elle correspond à celle stockée dans sa base de données. Ainsi, en cas de faille de sécurité, votre mot de passe ne se retrouvera pas dans la nature.
Les Échos va changer de méthode
Interrogé sur le sujet, Étienne Porteaux, actuel directeur de la diffusion et du marketing clients du journal Les Échos nous a indiqué être arrivé récemment à son poste et avoir découvert cette situation il y a quelques semaines.
Il nous confirme que les mots de passe sont bien envoyés en clair, et donc stockés tel quel, une couche de chiffrement étant simplement appliquée au niveau du stockage. Des travaux sont en cours afin de corriger le problème. Aucune date précise n'a néanmoins pu nous être confirmée.
Actuellement, les équipes techniques travaillent notamment à la mise en conformité du site avec le RGPD (voir notre analyse). Cette mise à jour concernant les mots de passe devrait sans doute arriver d'ici là.
Que faire contre les sites qui stockent les mots de passe en clair ?
Bien qu'en 2018, une telle pratique ait presque totalement disparu, on voit avec Les Échos que des cas subsistent, parfois avec des sites à très forte audience. Mais que faire pour remédier à cette situation ?
Pour commencer, nous avons mis en place une adresse e-mail vous permettant de nous alerter sur des sites qui renvoient un mot de passe en clair par e-mail, et qui sont donc susceptibles de ne pas le stocker sous forme d'empreinte.
D'ici peu, nous mettrons en ligne un petit site dédié, dans le cadre de nos initiatives pour améliorer la protection de la vie privée des internautes français.
[email protected]
Commentaires (73)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 20/04/2018 à 05h11
Le 20/04/2018 à 05h43
Coincidence, j’ai fait un Auchan Drive hier, et j’ai du rechercher mon mot de passe.
Je l’ai retrouvé dans un mail. Pas un mot de passe temporaire, non, mon mien à moi-même personnellement choisi par mes soins.
Donc, Auchan stocke des mots de passe en clair dans ses DB ?
Le 20/04/2018 à 06h26
Je suis étonné qu’on parle des recommandations de la CNIL, sans donner ce lien qui récapitule tout : https://www.cnil.fr/fr/authentification-par-mot-de-passe-les-mesures-de-securite…
À noter que dans le lien ci-dessus, la CNIL est plus précise concernant le stockage des mots de passe :
Le mot de passe ne doit jamais être stocké en clair. Lorsque l’authentification a lieu sur un serveur distant, et dans les autres cas si cela est techniquement faisable, le mot de passe doit être transformé au moyen d’une fonction cryptographique non réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé.
On note donc une différence substantielle avec la délibération citée dans l’article. Dans sa délibération, elle recommande une fonction cryptographique non réversible et sûre, sans en faire un impératif. Dans le lien sur les mesures de sécurité élémentaires, elle indique que cela ne relève plus d’une recommandation, mais d’une obligation (usage du verbe devoir) dans le cas où l’identification se fait sur un serveur distant (donc tout formulaire de login/mot de passe sur le web)
Le 20/04/2018 à 06h39
Le 20/04/2018 à 07h26
Il faut faire encore plus de pub à ces sites.
" />
J’ai reçu il y a quelques semaine login+mdp en clair de la part de Naval Grouphttps://www.naval-group.com/fr/, suite à un contact 18mois plus tôt. Je l’ai signalé à l’anssi mais pas de réponse
Ma femme a reçu son mdp en clair de la part de Pôle Emploi, datant d’une inscription il y a 5 ans…
Comment demander aux assocs ou aux “petits” sites de gérer correctement ces données quand les mastodontes déconnent à plein tube???
Le 20/04/2018 à 07h51
La différence est surtout entre le chiffrement, qui est réversible, et le hashage du mot de passe qui ne l’est normalement pas
" />
" /> ), elle est là la différence. Donc si tu suis les arguments, non pas forcément chiffrer toutes les données (même si c’est mieux).
Quand tu te logues sur un site, ça rehash le pass et ça compare avec le hash en base (en gros hein, mais ma compétence dans le domaine s’arrête à de la compréhension basique du bousin
Le 20/04/2018 à 07h58
Ouai enfin pôle emploi, je me souviens surtout du mot de passe faible (que des chiffres) qu’ils te forcent et impossible à changer, alors le stockage en clair hein, ça m’étonne même pas, tout ça à cause de leur clavier visuel qui à l’inverse de la sécurisation (car affiche en visuel les chiffres et ça fais depuis des années que les keylogger screenshot aux cliques).
" />
Mais bon, peut être qu’un jour …. on à le droit de rêver
Le 20/04/2018 à 08h04
Autant je suis pour le fait de le signaler à la CNIL ou à l’éditeur du site, autant je ne vois pas pourquoi j’irais balancer cette information à NXI. Quel est le but ? Avoir une base de données des sites à éviter ?
Le 20/04/2018 à 08h19
Voiles et voiliers faisaient ça. Je ne suis pas abonné, donc si le coeur vous en dit.
Pourquoi ne feriez-vous pas le wall of shame des sites fr? Ce n’est pas politiquement correct certes, mais ça peut intéresser du monde.
Le 20/04/2018 à 08h42
Le 20/04/2018 à 09h19
Le 20/04/2018 à 09h54
Allons y dans le name & shame, societe.com qui fait encore mieux : à chaque fois qu’on tape un pass foireux, ça renvoi strictement à l’identique un mot de passe en clair par e-mail (donc si on se goure 10 fois, ça envoi 10 mails, assez drôle le spam).
Du coup, bien évidemment, quand on change son mot de passe, ça envoi le notre en clair également.
Le 20/04/2018 à 10h00
Message reçu - même si l’approche des européennes n’a strictement rien à voir avec le fait de dénoncer une censure généralisée et continue depuis 11 ans…
Pour le reste, je dis qu’en 2018, les fonctions permettant de hacher le mot de passe en PHP tiennent dans les doigts d’une main, et qu’une société, ou ici un journal, qui ne crypte pas les mots de passe de ses usagers, n’a aucune excuse valable. Ne mettons pas les développeurs du site incriminé sur le grill : la seule raison logique qui pourrait pousser à un tel laxisme est une décision de la société même de récolter ces données à d’autres fins. Et ce d’autant plus que la majorité des usagers sont inconscients, et utilisent les mêmes mots de passe sur tous leurs sites web. Ma question est donc : à qui sont revendues ces données ?
Le 20/04/2018 à 10h03
Disons que je sais qu’avec l’approche des élections, ces messages ont tendance (globalement) à se faire plus récurrents, donc je préfère prévenir ;)
Le 20/04/2018 à 10h23
Ca ne te gêne peut-être pas que tout le monde apprenne en regardant par ta fenêtre quel canapé tu as, mais ça te ferait probablement plus chier que tout le monde puisse trouver un plan en ligne pour faire une copie de la clé de chez toi.
C’est de la responsabilité de l’admin de faire un système qui protège au moins un minimum l’utilisateur. Ce n’est pas plus long, ce n’est pas plus compliqué, il faut juste le faire.
Le 20/04/2018 à 10h24
Sans compter qu’on est en 2018 et qu’il existe d’autres langages et frameworks que ceux basés sur PHP. Dans la plupart de ceux que j’ai vu les fonctions de gestion de mot de passe sont sécurisés par défaut.
Le 19/04/2018 à 18h16
Moi oui, mais c’est ce qu’a fait Les echos ?
" />
Le 19/04/2018 à 19h13
ça me rappelle quelque chose
Le 19/04/2018 à 19h56
Un attaquant qui rentre dans l’infra a accès à tous les MDP ce qui est inacceptable aujourd’hui.
Le 19/04/2018 à 20h34
http://plaintextoffenders.com/
Le 19/04/2018 à 20h36
Je ne te suis pas… pour toi stocker des mots de passe en clair sur un espace de stockage chiffré c’est sécurisé ? Ahem… la réponse est évidemment NON.
Déjà parce que ça signifie que les échos peuvent accéder à ton mot de passe ce qui est donc anormal car seul toi doit pouvoir connaître ton mot de passe.
Et de 2, la clé de chiffrement de l’espace de stockage est connue des logiciels d’exploitation pour justement exploiter les données. Donc quiconque utilise les logiciels d’exploitation peut connaître les clés.
Le 19/04/2018 à 20h42
Petite pensée pour tous ces sites sous prestashop qui, après inscription, vous envoient un email de confirmation avec mot de passe en clair…
Le 19/04/2018 à 20h45
Et alors ? Tout ce qui concerne ton abonnement est sous la garde de celui qui te fournit l’abonnement.
Il chiffre les données de la base, c’est bien suffisant.
Si on suit vos arguments, il faudrait chiffrer toutes les données (pourquoi s’arrêter au mot de passe ?) à l’intérieur de la base de données pour éviter le risque d’une récupération par l’explotant de l’OS, puis du moteur de BDD etc. Et pourquoi pas crever les yeux des admins tant qu’on y est ?
Pourquoi devriez-vous être le seul à connaître le mot de passe ? C’est idiot, le mec à l’autre bout peut générer un autre mot de passer, effacer toutes vos infos, killer votre abonnement, etc… de toute façon.
Le 19/04/2018 à 20h51
Le 19/04/2018 à 21h11
quitte à pinailler encore plus, autant utiliser argon2 ou scrypt, qui sont des fonctions de hachage modernes, conçues explicitement pour le stockage de mots de passe et qui permettent de se protéger contre les attaques par GPU, mais qui sont un peu plus dures à mettre en oeuvre.
Le 19/04/2018 à 21h28
D’un autre coté, la page de création de compte est en http… http://www.lesechos.fr/acces/espaceconso/creation_espaceconso.php
Du coup, qu’ils soient stockés en clair, c’est moyennement étonnant !
(certes la version https marche, mais depuis la page d’accueil https, le lien de création pointe vers la version http…)
Le 19/04/2018 à 21h58
Don’t feed the troll.. mais quand même je vais le nourrir : Non ce n’est pas suffisant.
Pour la simple raison que les gens utilisent très souvent le même mot de passe pour plusieurs services.
Et si l’admin n’est pas le seul à avoir accès, mais les stagiaires aussi?
Et si la base se fait pirater?
Bref, non, chiffrer le support n’est pas suffisant.
Le 19/04/2018 à 22h36
Super initiative. Est-ce que l’on peut imaginer la même chose pour les applis bancaires qui ne contrôlent pas l’empreinte du certificat et permettant donc du MITM ?
Le 19/04/2018 à 22h46
oui je confirme c’est un cas particulier avec les pagesperso de Free depuis le compte principal
Le 19/04/2018 à 22h59
Peut-on demander une quelconque sécurité à un torchon européiste, qui participe activement à la censure de l’UPR et d’Asselineau, comme ses petits copains l’immonde, ouste france, laberration, et leptitgorret ?
On ne demande pas aux traîtres d’être experts en sécurité. Juste de trahir les français et de désinformer les cons.
Le 20/04/2018 à 03h42
on est d’accord, dans le cas idéal ou tlm utilise un mdp généré aléatoirement par site, hasher les mdp ça ne sert pas à grand chose..
" />
Le problème étant la réutilisation des mdp par les gens, donc le mdp devient une donnée sensible puisque exploitable sur d’autres sites…
De même pour ceux qui utilisent des template de mdp ( mais avec variante pour chaque sites ) tu t’évite les connexion auto, mais un humain peu souvent comprendre ton template et l’adapter à n’importe quel site ..
et puis tu aurrais put attendre 1h20 pour pêcher à la dynamite
Le 20/04/2018 à 04h18
Le 22/04/2018 à 15h21
Eh Oh ! Vosu avez esasyre de vous inscrire sur l’action de groupe de la Quadrature du Net ? Hum .. Mot de passe de passe envoyé en clair dans un mail … on peut le modifier … et il n’est pas renvoyé par mail … ouf !!!
Bref les cordonniers sont parfois les plus mal chaussés !
Le 22/04/2018 à 20h48
« Déjà parce qu’un e-mail est loin d’être une solution de communication idéalement sécurisée », donc toutes les plateformes qui proposent un reset de mot de passe par mail ne sont pas sécurisées ?
Le 23/04/2018 à 07h03
Le 23/04/2018 à 08h14
C’est “marrant” car ce que j’ai trouvé est aussi un truc qui stocke des numéros de plaque; l’inscription pour l’accès à la déchetterie…
Le 23/04/2018 à 08h33
Non, il s’agissait d’empreintes, c’était le ministre de l’intérieur. pas de celui des finances qui lui aurait pu s’intéresser aux emprunts.
J’ai essayé de lui monter la différence un peu plus haut mais en vain. Il a dû être traumatisé à l’école…
Le 23/04/2018 à 08h39
Le 23/04/2018 à 08h41
J’ai raté la première moitié en le lisant !
" />
Le 23/04/2018 à 17h06
Pas que les échos où le mot de passe est en clair.
" />
Dans la superbe communication pour le changement de prestataire du Vélib reçue fin décembre, on m’avait adressé mon mot de passe en clair pour que je mette à jour mon compte.
Le 19/04/2018 à 16h35
super initiative le site.
un peu de name and shame ça fait pas de mal.
Le 20/04/2018 à 11h37
Si tu pouvais arrêter de nous spammer avec tes élucubrations hors sujet
" />
Le 20/04/2018 à 12h37
Les autorités sont vulnérables, à quoi bon
">
" />
======================>
Le 20/04/2018 à 12h48
Modèle pour copier-coller HS:
Peut-on demander une quelconque {SUJET( nom )} à un torchon {SUJET( adjectif )} , qui participe activement à la censure de l’UPR et d’Asselineau, comme ses petits copains l’immonde, ouste france, laberration, et leptitgorret ?
On ne demande pas aux traîtres d’être experts en {SUJET( nom )}. Juste de trahir les français et de désinformer les cons.
Le 20/04/2018 à 13h04
Le 20/04/2018 à 13h43
PBKDF2
Le 20/04/2018 à 14h03
En SSII / mission en clientèle, j’en ai vu de la MOA qui voulait le renvoie du mot de passe par email, malgré les cris d’effroi des techniques (interne ou externe).
Quand on est junior, on s’écrase. Quand on l’est moins, on demande la signature une décharge de responsabilité en indiquant bien les risques [Une lettre type serait pas mal dans un article]. ;)
Le 20/04/2018 à 14h06
Le 20/04/2018 à 14h06
De toute façon dans 10 ans, on va se logé avec notre empreinte digitale xD
Le 20/04/2018 à 14h24
Le 20/04/2018 à 14h39
Tu m’étonnes john.
Cela me rappel des hackeurs allemand qui avaient réussi à choper l’emprunte d’un des ministres ^^
http://www.lepoint.fr/actualites-technologie-internet/2008-03-31/l-empreinte-dig…
Le 20/04/2018 à 16h07
Ce qui sera chouette avec la biométrie, c’est que si tu es piraté tu n’auras plus le droit à rien…
Le 20/04/2018 à 18h35
Ils avaient emprunté son empreinte ?
Le 21/04/2018 à 09h34
Avant ça ;) 
Next INpact
Le 21/04/2018 à 20h43
En parlant de mdp, toussa, j’ai remarqué sur Facebook, que si on se connectait en inversant les majuscules et minuscules de notre mdp à la connexion, cela fonctionnait quand même !
Par exemple, mon mdp est : MonMotDePasse
si pour se connecter on tape : mONmOTdEpASSE
la connexion au compte réussis ! (et je l’ai fait tester à des potes, ce n’est donc pas que pour mon compte).
Je ne sais pas l’utilisation qui est fait en aval pour que l’inversion des majuscules et minuscules n’empêche la connexion !
Le 22/04/2018 à 09h23
Le ministre voulait passer une lois pour enregistrer toutes les empruntes. Du coup, les hackers avaient récupéré son empreinte via un verre d’eau.
Le 22/04/2018 à 09h37
Oui c’est sûre ^^
Mais les gens sont con. Entre une clef qui ne faut pas perdre et une emprunte digitale qui reste toujours avec toi…
Le 19/04/2018 à 16h36
Super initiative
Le 19/04/2018 à 16h47
Il y a tellement de sites marchands sur des prestashop un peu à l’arrache qui balancent directement le mot de passe à l’inscription encore en 2018 qui je n’ai pas plus d’espoir que ça… En tout cas ça reste une bonne initiative.
Le 19/04/2018 à 16h49
Perso j’utilise la fonction password_hash de php. L’avantage c’est que tout est géré par php (y compris la comparaison du hash) et qu’on a 1 sel par utilisateur.
Par contre en contre partie, le sel est stocké avec le hash.
Du coup question : est-ce que c’est plus sécure ou moins qu’un sel unique mais non stocké dans la bdd ?
Le 19/04/2018 à 16h49
Vous devriez faire un tour sur Société.com, c’est le cas, je leur ai signalé l’été dernier, mais aucun retour.
" />
Edit : Je vous ai envoyé l’info par mail
Le 19/04/2018 à 16h59
Disons que de mémoire leur gestion des comptes (et donc des mots de passe) est… particulière
" /> Mais bon, on va rentrer dans la base après vérification 
" />
Le 19/04/2018 à 17h03
Avec un sel par utilisateur, ça empêche que plusieurs utilisateurs avec le même mot de passe aient la même emprunte. Je ferais ça. Mais rien n’empêche les deux.
En cas de cata, faut bien avoir une sauvegarde du sel global (sinon tout le monde va devoir réinitialiser par e-mail, tant pis pour ceux qui n’ont plus leur passe de mail)
Le 19/04/2018 à 17h05
Ça m’intrigue, tu entends quoi par “gestion des comptes” ? J’imagine bien que l’infra derrière n’a pas évolué depuis au moins 10 ans, mais on parle de nos données, surtout avec la RGPD qui arrive.
On sera en mesure de les “attaquer” pour ce motif de non sécurisation des données ?
Le 19/04/2018 à 17h10
PBKDF2 est peut-être un exemple parlant pour illustrer le hashage de mots de passe, mais c’est plus une méthode de dérivation de clé à coupler à une vraie fonction de hashage (sha-xxx ou autre) qu’une fonction de hashage à part entière, même si elle parfois utilisée pour ça.
" />
bcrypt serait un exemple moins tendancieux.
M’enfin je pinaille
Le 19/04/2018 à 17h14
Le 19/04/2018 à 17h18
Je l’avais remarqué depuis 4 ans. C’est pour ça que je passe par un tiers de confiance comme g+.
Easytrip.fr qui ne crypte pas ses flux http aussi bien sur la partie login c’est pas mieux…
Le 19/04/2018 à 17h26
Chez free aussi les mots de passe sont en clair (enfin pas tous).
" />
Il suffit pour s’en rendre compte d’avoir un compte “bas débit” (gratuit quoi,https://subscribe.free.fr/accesgratuit/index.html ) avec des adresses mails supplémentaires et juste en cliquant sur “Mots de passe des comptes supplémentaires oubliés”, pouf, on reçoit tout sur l’adresse mail du compte principal, en clair !
J’ai testé il y a quelques semaines sur un vieux comptes avec des vieilles adresses, ça a très bien marché. Peut-être que ça a changé avec les comptes plus récents mais bon …
Le 19/04/2018 à 17h35
Un peu HS mais : existe il un moyen pour signaler les sites qui stockent des données perso et vulnérable aux injections sql?
Le 19/04/2018 à 17h50
Pour le déclarer aux autorités fr, je te conseille l’ANSSI et leur page ici :
République Française
Le 19/04/2018 à 17h54
Il nous confirme que les mots de passe sont bien envoyés en clair, et donc stockés tel quel, une couche de chiffrement étant simplement appliquée au niveau du stockage.
Les mots de passe sont stockés en clair, mais il y a du chiffrement pour le stockage.
J’envoie de suite un mail à [email protected]
Le 19/04/2018 à 18h01
Tu peux chiffrer ton HDD qui contient les données de la BDD dont des mdp en clair ;)
Le 19/04/2018 à 18h08
Ou là…
" /> 
" />