From 756c079c4a25cb45cbb4229741807fba65607c80 Mon Sep 17 00:00:00 2001 From: Gregory Trolliet Date: Thu, 27 Feb 2020 10:16:58 +0100 Subject: [PATCH] [Edit] 007-MotsDePasse_Migros --- content/posts/007-MotsDePasse_Migros.md | 46 +++++++++++++++++++++++++ 1 file changed, 46 insertions(+) diff --git a/content/posts/007-MotsDePasse_Migros.md b/content/posts/007-MotsDePasse_Migros.md index a8b9fc5..01686bd 100644 --- a/content/posts/007-MotsDePasse_Migros.md +++ b/content/posts/007-MotsDePasse_Migros.md @@ -233,6 +233,52 @@ pour but de résoudre le problème une bonne fois pour toutes. En attendant, je laisse chacun en parler à son entourage et à mettre en place tout ce que j'ai déjà suffisamment expliqué dans ce billet. +## Situation au 26 février +On avance, pas vite mais on avance. +Voici la réponse du jour. + +> Cher Monsieur Trolliet, +> +> Suite à nos différents échanges de mail, +> nous souhaitons vous remercier pour votre remarque concernant +> l’attribution des mots de passe. +> Nous ne vous envoyons notre réponse qu’aujourd’hui car +> nous tenions à examiner votre demande en détail et de manière approfondie. +> +> En collaboration avec notre service de sécurité informatique, +> nos experts informatiques ont analysé en détail nos processus +> en s’intéressant plus particulièrement à +> la question de la sécurité des mots de passe. +> Nous procédons actuellement à la mise à jour des +> processus d’attribution des mots de passe. +> Cela signifie que nous n’enverrons plus de mots de passe par e-mail. +> Par la suite, nos experts informatiques définiront de nouvelles mesures +> qui contribueront à renforcer la sécurité des mots de passe de nos clients. +> +> Nous sommes convaincus que les mesures prévues permettront +> d’améliorer considérablement la protection par mot de passe. + +Cette nouvelle semble bonne au premier abord, +mais il y a des problèmes évidents. + +### L'envoi par mail +Ne pas envoyer de mot de passe par e-mail est une bonne chose, +mais si l'École-Club enregistre toujours les mots de passes en clair +alors la sécurité n'est pas du tout garantie. + +### Renforcer la sécurité +Je me répète encore, l'enregistrement des mots de passes est une +discussion résolue depuis des décennies. +Je n'arrive même pas à comprendre comment une plateforme aussi imposante +que celle de l'École-Club a pu envisager d'enregistrer des mots de passes +en clair. + +### Avertir les clients +Comme expliqué trop de fois dans ce billet, il faut que l'École-Club +avertisse ses clients et qu'elle recommande un changement de mot de passe +sur toutes les autres plateformes pour lesquelles le mot +de passe a été utilisé. + # Conclusion Je le répète, le but ici n'est pas de faire du *public shaming* envers l'École-Club Migros (ou de la plateforme MOODLE).