--- draft: false date: 2020-01-22T07:30:55+01:00 title: "École-Club Migros et mots de passes" description: "Vous avez un compte sur la plateforme de l'École-Club Migros? Alors la sécurité de votre mot de passe est compromise." images: ["images/007-ECM_lock.png"] tags: ["Informatique", "Sécurité", "Mots de passes"] categories: ["Informatique"] externalLink: "" series: [] --- # Le stockage des mots de passes sur internet Pour stocker les mots de passes, on utilise en général une base de données[^bdd], mais il existe de multitudes de manières de stocker un mot de passe sur une plateforme web, certaines bonnes, d'autres désastreuses. ## Le stockage en clair La solution la plus simple est de stocker les mots de passes comme n'importe quel autre donnée, en général en associant un mot de passe à un nom d'utilisateur. | Username | Password | |---|---| | Alice | monsuperpassword | Si un site vous envoie votre mot de passe par e-mail, il y a de fortes chances qu'il utilise cette méthode de stockage. Le problème de cette méthode est que n'importe qui ayant accès à la base de donnée (un technicien, le type qui passait à la cafétéria pendant que l'ordinateur du technicien était ouvert, ...) a donc accès à tous les mots de passes des utilisateurs. ## Chiffrer les mots de passes Une solution pour éviter d'avoir les mots de passes écrits en clair dans une base de donnée est de les chiffrer. Pour y parvenir, il faut décider d'un algorithme[^algo] et l'appliquer à notre mot de passe, par exemple nous pourrions remplacer chaque lettre par sa position dans l'alphabet et séparer par un point[^algo1]. | Username | Password | |---|---| | Alice | 13.15.14.19.21.16.5.18.16.1.19.19.23.15.18.4 | Cette solution peut sembler résoudre un problème de sécurité, mais en fait toutes les personnes ayant connaissance de l'algorithme ont accès aux mots de passes. On peut éliminer le type qui passait à la cafétéria, si l'algorithme choisi n'est pas trop mauvais, mais tous les techniciens ont toujours les pleins pouvoirs. ## Hacher le mot de passe Bien évidemment, nous n'utiliserons pas d'outils tranchants ici. Contrairement au chiffrement, il n'y a ici pas de retour en arrière possible. Il est impossible de retrouver le mot de passe en connaissant sa valeur hachée. Une fonction de hachage simple pourrait être d'additionner la position de tous les caractères du mot de passe : 13+15+14+19+21+16+5+18+16+1+19+19+23+15+18+4 = 236. | Username | Password | |---|---| | Alice | 236 | Lorsque l'utilisateur va entrer son mot de passe, le système va le hacher et le comparer à la valeur enregistrée dans la base de donnée. Si les deux valeurs correspondent, alors le système va autoriser l'accès à l'utilisateur, sinon il rejettera la tentative de connexion. Cette fonction de hachage est bien évidemment très mauvaise, il y a beaucoup de mots de passes qui pourraient donner la même valeur, on parle de collisions. Nous utilisons donc des meilleures fonctions en réalité, mais le fonctionnement est identique. Avec cette solution, le technicien va pouvoir vérifier que le mot de passe entré correspond bien au mot de passe enregistré en base, mais sans jamais connaître le mot de passe[^secu]. C'est la bonne manière de faire. Évidemment c'est un poil plus compliqué en réalité mais le but de ce petit billet n'est pas d'apprendre à stocker des mots de passes, pour cela il y a suffisamment de ressources disponibles sur internet. Je voulais juste faire un petit point sur les bonnes méthodes utilisées par vos sites préférés. # Et l'École-Club Migros dans tout ça Alors, loin de moi l'idée de faire du *public shaming*, mais vu la faible réponse de la structure je me vois obligé d'en parler quelque part, car j'estime que c'est très grave et que tous les clients de leur plateforme sont exposés à une **énorme faille de sécurité**. ## Le contexte Je suis actuellement une formation de formateur d'adultes à l'École-Club Migros. Avant le début de la formation, tous les participant·e·s ont reçu un mail nous confirmant l'accès à la plateforme et en nous rappelant nos accès, avec mon mot de passe écrit en clair. Comme vous venez de lire les différentes manières de stocker un mot de passe, vous savez donc que la plateforme ne stocke pas les mots de passes hachés, mais soit en clair soit chiffrés, ce qui est problématique dans les deux cas. ## Le risque Au-delà du risque d'un accès compromis à la plateforme, ce qui est déjà suffisamment grave, énormément de personnes utilisent le même mot de passe sur plusieurs (toutes) autres plateformes. Si c'est votre cas et que vous avez (ou avez eu) un compte sur la plateforme de l'École-Club Migros, ce mot de passe est compromis. Qu'est-ce que cela veut dire? Premièrement, pour peu que votre nom d'utilisateur soit le même partout également (ce qui tend à être le cas avec l'utilisation des mails comme nom d'utilisateur), les techniciens ayant accès à la base de données ont connaissance de vos logins et peuvent donc se connecter sur toutes les plateformes que vous utilisez (gmail, facebook,[^off] etc.). Et dans le cas où votre nom d'utilisateur n'est pas le même, sachez qu'il est assez aisé de le deviner. Secondement, s'il y a eu une fuite de données, alors en plus des techniciens, il y a potentiellement des centaines (des milliers ?) de personnes mal intentionnées qui ont accès à ces informations. ## La réponse de l'École-Club Sachant que j'ai averti l'École-Club Migros de ce soucis le lundi 13 janvier, le jour de réception du mail, il y a dix jours maintenant, j'attendais de leur part un mail à **toutes** les personnes ayant un compte sur leur plateforme, expliquant le problème et les encourageant à changer leurs mots de passes partout ou il serait utilisé[^prob]. Plus d'une semaine est passée et j'ai uniquement reçu un accusé de réception de la part de la responsable de la formation, très certainement motivé par mon mécontentement exprimé en personne le vendredi 18 janvier. ## La réponse v2 Hier, lundi 27 janvier 2020, j'ai reçu la réponse suivante de la part du service technique : > Nous vous remercions pour votre message et des précieuses informations > sur la sécurité des mots de passe. Nous prenons ces données très au sérieux, > mais pour des raisons de sécurité, > nous ne fournissons aucune information sur la façon > dont nous conservons les mots de passe de nos clients sur notre site. > Toutefois, nous pouvons vous assurer que nous révisons régulièrement > les normes de sécurité et que nous tiendrons > bien entendu compte des aspects que vous avez mentionnés. > Nous avons maintenant inclus des recommandations concrètes > pour la modification des mots de passe dans la correspondance électronique. Essayons ensemble de décrypter ce message. ### La question de sécurité > Nous prenons ces données très au sérieux, > mais pour des raisons de sécurité, > nous ne fournissons aucune information sur la façon > dont nous conservons les mots de passe de nos clients sur notre site. Personne ne demande d'expliquer comment sont stockées les données en interne. Ce que je demande c'est qu'une méthode garantissant la confidentialité soit mise en place, vu qu'apparemment ce n'est actuellement pas le cas. L'École-Club me donne l'impression que cette problématique n'en est pas une, je ne vais pas rappeler tout ce que j'ai déjà expliqué ici. ### Les normes de sécurités > Toutefois, nous pouvons vous assurer que nous révisons régulièrement > les normes de sécurité et que nous tiendrons > bien entendu compte des aspects que vous avez mentionnés. Alors je pense qu'il faut clairement remettre en doute la qualification des personnes qui s'occupent de cette révision. ### Les recommandations aux utilisatrices et utilisateurs > Nous avons maintenant inclus des recommandations concrètes > pour la modification des mots de passe dans la correspondance électronique. Je répète ce que j'ai déjà dit, je demande à l'École-Club d'avertir la totalité de ses inscrits de cette problématique et encourage **tout le monde** à changer de mot de passe, si ce dernier a été utilisé ailleurs. La suite au prochain épisode. ## Situation au 17 février 2020 Nous en sommes à cinq semaines après que je leur ai soulevé le problème et bientôt trois semaines après une discussion téléphonique avec, entre autres, Monsieur T. Delachaux, directeur de l'École-Club Migros. Je n'ai toujours rien reçu de leur part donc j'imagine que personne n'est au courant de la problématique. J'avoue que je commence à en avoir un peu raz-le-bol de devoir suivre cette affaire qui aurait dû être réglée, je le rappelle, comme suit : * 13 janvier 2020, ~ 9h : l'École-Club est informée de ma part de la problématique ; * 14 janvier 2020, l'École-Club informe tous ses client·e·s du problème, explique qu'il faut modifier les mots de passes sur toutes les autres plateformes de manière préventive et qu'iels recherchent activement une solution au problème interne ; * plus tard, une fois le problème interne résolu, l'École-Club nous informe toutes et tous de la situation finale. C'est incroyable de penser que cette procédure, très simple et que j'ai clairement expliqué le 13 janvier, se fait autant attendre et qu'nous sommes toujours sans nouvelles. De mon côté, lors de notre échange téléphonique j'ai proposé de venir discuter et expliquer le problème. J'estime avoir mis en place tout ce qui était possible pour que la situation puisse se régler sans faire de vagues. Ce que je remarque c'est que faire du bruit sur les réseaux sociaux, sans avoir apporté de solution, a peut-être permis à certain·e·s de découvrir le problème et le régler, et m'a permis d'avoir une discussion téléphonique. C'est pourquoi je continue dans le but de régler ce souci qui me prends beaucoup trop de temps par rapport au temps que j'ai à disposition en ce moment. En revanche, l'École-Club nous laisse toutes et tous dans le flou en refusant de s'exprimer sur le sujet et me demande simplement d'attendre encore un peu et d'arrêter de faire du bruit. Donc, si par hasard Monsieur T. Delachaux tombe encore une fois sur cet article, je suis ouvert à avoir une discussion cordiale qui aurait pour but de résoudre le problème une bonne fois pour toutes. En attendant, je laisse chacun en parler à son entourage et à mettre en place tout ce que j'ai déjà suffisamment expliqué dans ce billet. ## Situation au 26 février On avance, pas vite mais on avance. Voici la réponse du jour. > Cher Monsieur Trolliet, > > Suite à nos différents échanges de mail, > nous souhaitons vous remercier pour votre remarque concernant > l’attribution des mots de passe. > Nous ne vous envoyons notre réponse qu’aujourd’hui car > nous tenions à examiner votre demande en détail et de manière approfondie. > > En collaboration avec notre service de sécurité informatique, > nos experts informatiques ont analysé en détail nos processus > en s’intéressant plus particulièrement à > la question de la sécurité des mots de passe. > Nous procédons actuellement à la mise à jour des > processus d’attribution des mots de passe. > Cela signifie que nous n’enverrons plus de mots de passe par e-mail. > Par la suite, nos experts informatiques définiront de nouvelles mesures > qui contribueront à renforcer la sécurité des mots de passe de nos clients. > > Nous sommes convaincus que les mesures prévues permettront > d’améliorer considérablement la protection par mot de passe. Cette nouvelle semble bonne au premier abord, mais il y a des problèmes évidents. ### L'envoi par mail Ne pas envoyer de mot de passe par e-mail est une bonne chose, mais si l'École-Club enregistre toujours les mots de passes en clair alors la sécurité n'est pas du tout garantie. ### Renforcer la sécurité Je me répète encore, l'enregistrement des mots de passes est une discussion résolue depuis des décennies. Je n'arrive même pas à comprendre comment une plateforme aussi imposante que celle de l'École-Club a pu envisager d'enregistrer des mots de passes en clair. ### Avertir les clients Comme expliqué trop de fois dans ce billet, il faut que l'École-Club avertisse ses clients et qu'elle recommande un changement de mot de passe sur toutes les autres plateformes pour lesquelles le mot de passe a été utilisé. # Conclusion Je le répète, le but ici n'est pas de faire du *public shaming* envers l'École-Club Migros (ou de la plateforme MOODLE). Je suis en revanche très surpris du manque de réaction de la part d'une aussi grosse structure. Vu qu'ils n'ont pas l'air décidé à communiquer sur le sujet, je me permets donc de prendre la parole. Je répète ce que vous avez à faire. * Si vous avez un compte sur la plateforme de l'École-Club Migros * Si vous utilisez ce mot de passe ailleurs Alors, vous devez **absolument** modifier le mot de passe sur **toutes les autres plateformes concernées**. * Si vous connaissez des personnes qui ont un compte sur la plateforme de l'École-Club Migros Il faut **absolument** les avertir, ils sont potentiellement concernés par ce problème. Je ne veux pas être alarmiste, mais ce genre de problèmes de sécurité est très grave, il est important d'y répondre le plus rapidement possible. Dans tous les cas, j'espère que tous les inscrits sur la plateforme recevront rapidement (peut-être que ce billet accélérera les choses...) des informations à ce sujet et seront encouragés à changer le mot de passe utilisé. Tant qu'il n'y a aucun retour de la part des techniciens, il est très peu utile de modifier le mot de passe d'accès à la plateforme, ce nouveau serait immédiatement compromis. Prenez soin de vous et utilisez un gestionnaire de mots de passes. [^bdd]: À l'exception des sites statiques, tous les sites internet utilisent des bases de données pour stocker des informations (les données des utilisateurs, les articles écrits, les statistiques de visite...). [^algo]: Un algorithme est une méthode générale pour résoudre un type de problèmes. (Wikipedia) [^algo1]: Cet exemple d'algorithme est volontairement simpliste. Le but ici est de comprendre le fonctionnement, évidemment nous pouvons utiliser un meilleur algorithme. [^secu]: Bien évidemment, cela sous-entend que le technicien n'a pas de mauvaises intentions. Étant maître du système, il peut enregistrer le mot de passe ailleurs, mais n'envisageons pas le pire. [^prob]: Et j'ai bien conscience de ce que cela implique, mais malheureusement si le même mot de passe est utilisé à plusieurs endroits, s'il est compromis alors il faudra le changer partout. [^off]: J'avais indiqué le site des impôts. Après vérification, le portail e-démarches (du canton de Genève en tout cas) force l'authentification deux facteurs, par sms ou autre. Cet accès est donc protégé, mais avec la fuite dont je parle dans l'article la première sécurité est quand même compromise et je recommande donc à tous les inscrits sur la plateforme de l'école-club de modifier leurs mot de passe.