--- draft: false date: 2020-01-22T07:30:55+01:00 title: "École-Club Migros et mots de passes" description: "Vous avez un compte sur la plateforme de l'École-Club Migros? Alors la sécurité de votre mot de passe est compromise." images: ["images/007-ECM_lock.png"] tags: ["Informatique", "Sécurité", "Mots de passes"] categories: ["Informatique"] externalLink: "" series: [] --- # Le stockage des mots de passes sur internet Pour stocker les mots de passes, on utilise en général une base de données[^bdd], mais il existe de multitudes de manières de stocker un mot de passe sur une plateforme web, certaines bonnes, d'autres désastreuses. ## Le stockage en clair La solution la plus simple est de stocker les mots de passes comme n'importe quel autre donnée, en général en associant un mot de passe à un nom d'utilisateur. | Username | Password | |---|---| | Alice | monsuperpassword | Si un site vous envoie votre mot de passe par e-mail, il y a de fortes chances qu'il utilise cette méthode de stockage. Le problème de cette méthode est que n'importe qui ayant accès à la base de donnée (un technicien, le type qui passait à la cafétéria pendant que l'ordinateur du technicien était ouvert, ...) a donc accès à tous les mots de passes des utilisateurs. ## Chiffrer les mots de passes Une solution pour éviter d'avoir les mots de passes écrits en clair dans une base de donnée est de les chiffrer. Pour y parvenir, il faut décider d'un algorithme[^algo] et l'appliquer à notre mot de passe, par exemple nous pourrions remplacer chaque lettre par sa position dans l'alphabet et séparer par un point[^algo1]. | Username | Password | |---|---| | Alice | 13.15.14.19.21.16.5.18.16.1.19.19.23.15.18.4 | Cette solution peut sembler résoudre un problème de sécurité, mais en fait toutes les personnes ayant connaissance de l'algorithme ont accès aux mots de passes. On peut éliminer le type qui passait à la cafétéria, si l'algorithme choisi n'est pas trop mauvais, mais tous les techniciens ont toujours les pleins pouvoirs. ## Hacher le mot de passe Bien évidemment, nous n'utiliserons pas d'outils tranchants ici. Contrairement au chiffrement, il n'y a ici pas de retour en arrière possible. Il est impossible de retrouver le mot de passe en connaissant sa valeur hachée. Une fonction de hachage simple pourrait être d'additionner la position de tous les caractères du mot de passe : 13+15+14+19+21+16+5+18+16+1+19+19+23+15+18+4 = 236. | Username | Password | |---|---| | Alice | 236 | Lorsque l'utilisateur va entrer son mot de passe, le système va le hacher et le comparer à la valeur enregistrée dans la base de donnée. Si les deux valeurs correspondent, alors le système va autoriser l'accès à l'utilisateur, sinon il rejettera la tentative de connexion. Cette fonction de hachage est bien évidemment très mauvaise, il y a beaucoup de mots de passes qui pourraient donner la même valeur, on parle de collisions. Nous utilisons donc des meilleures fonctions en réalité, mais le fonctionnement est identique. Avec cette solution, le technicien va pouvoir vérifier que le mot de passe entré correspond bien au mot de passe enregistré en base, mais sans jamais connaître le mot de passe[^secu]. C'est la bonne manière de faire. Évidemment c'est un poil plus compliqué en réalité mais le but de ce petit billet n'est pas d'apprendre à stocker des mots de passes, pour cela il y a suffisamment de ressources disponibles sur internet. Je voulais juste faire un petit point sur les bonnes méthodes utilisées par vos sites préférés. # Et l'École-Club Migros dans tout ça Alors, loin de moi l'idée de faire du *public shaming*, mais vu la faible réponse de la structure je me vois obligé d'en parler quelque part, car j'estime que c'est très grave et que tous les clients de leur plateforme sont exposés à une **énorme faille de sécurité**. ## Le contexte Je suis actuellement une formation de formateur d'adultes à l'École-Club Migros. Avant le début de la formation, tous les participant·e·s ont reçu un mail nous confirmant l'accès à la plateforme et en nous rappelant nos accès, avec mon mot de passe écrit en clair. Comme vous venez de lire les différentes manières de stocker un mot de passe, vous savez donc que la plateforme ne stocke pas les mots de passes hachés, mais soit en clair soit chiffrés, ce qui est problématique dans les deux cas. ## Le risque Au-delà du risque d'un accès compromis à la plateforme, ce qui est déjà suffisamment grave, énormément de personnes utilisent le même mot de passe sur plusieurs (toutes) autres plateformes. Si c'est votre cas et que vous avez (ou avez eu) un compte sur la plateforme de l'École-Club Migros, ce mot de passe est compromis. Qu'est-ce que cela veut dire? Premièrement, pour peu que votre nom d'utilisateur soit le même partout également (ce qui tend à être le cas avec l'utilisation des mails comme nom d'utilisateur), les techniciens ayant accès à la base de données ont connaissance de vos logins et peuvent donc se connecter sur toutes les plateformes que vous utilisez (gmail, facebook,[^off] etc.). Et dans le cas où votre nom d'utilisateur n'est pas le même, sachez qu'il est assez aisé de le deviner. Secondement, s'il y a eu une fuite de données, alors en plus des techniciens, il y a potentiellement des centaines (des milliers ?) de personnes mal intentionnées qui ont accès à ces informations. ## La réponse de l'École-Club Sachant que j'ai averti l'École-Club Migros de ce soucis le lundi 13 janvier, le jour de réception du mail, il y a dix jours maintenant, j'attendais de leur part un mail à **toutes** les personnes ayant un compte sur leur plateforme, expliquant le problème et les encourageant à changer leurs mots de passes partout ou il serait utilisé[^prob]. Plus d'une semaine est passée et j'ai uniquement reçu un accusé de réception de la part de la responsable de la formation, très certainement motivé par mon mécontentement exprimé en personne le vendredi 18 janvier. ## La réponse v2 Hier, lundi 27 janvier 2020, j'ai reçu la réponse suivante de la part du service technique : > Nous vous remercions pour votre message et des précieuses informations > sur la sécurité des mots de passe. Nous prenons ces données très au sérieux, > mais pour des raisons de sécurité, > nous ne fournissons aucune information sur la façon > dont nous conservons les mots de passe de nos clients sur notre site. > Toutefois, nous pouvons vous assurer que nous révisons régulièrement > les normes de sécurité et que nous tiendrons > bien entendu compte des aspects que vous avez mentionnés. > Nous avons maintenant inclus des recommandations concrètes > pour la modification des mots de passe dans la correspondance électronique. Essayons ensemble de décrypter ce message. ### La question de sécurité > Nous prenons ces données très au sérieux, > mais pour des raisons de sécurité, > nous ne fournissons aucune information sur la façon > dont nous conservons les mots de passe de nos clients sur notre site. Personne ne demande d'expliquer comment sont stockées les données en interne. Ce que je demande c'est qu'une méthode garantissant la confidentialité soit mise en place, vu qu'apparemment ce n'est actuellement pas le cas. L'École-Club me donne l'impression que cette problématique n'en est pas une, je ne vais pas rappeler tout ce que j'ai déjà expliqué ici. ### Les normes de sécurités > Toutefois, nous pouvons vous assurer que nous révisons régulièrement > les normes de sécurité et que nous tiendrons > bien entendu compte des aspects que vous avez mentionnés. Alors je pense qu'il faut clairement remettre en doute la qualification des personnes qui s'occupent de cette révision. ### Les recommandations aux utilisatrices et utilisateurs > Nous avons maintenant inclus des recommandations concrètes > pour la modification des mots de passe dans la correspondance électronique. Je répète ce que j'ai déjà dit, je demande à l'École-Club d'avertir la totalité de ses inscrits de cette problématique et encourage **tout le monde** à changer de mot de passe, si ce dernier a été utilisé ailleurs. La suite au prochain épisode. # Conclusion Je le répète, le but ici n'est pas de faire du *public shaming* envers l'École-Club Migros (ou de la plateforme MOODLE). Je suis en revanche très surpris du manque de réaction de la part d'une aussi grosse structure. Vu qu'ils n'ont pas l'air décidé à communiquer sur le sujet, je me permets donc de prendre la parole. Je répète ce que vous avez à faire. * Si vous avez un compte sur la plateforme de l'École-Club Migros * Si vous utilisez ce mot de passe ailleurs Alors, vous devez **absolument** modifier le mot de passe sur **toutes les autres plateformes concernées**. * Si vous connaissez des personnes qui ont un compte sur la plateforme de l'École-Club Migros Il faut **absolument** les avertir, ils sont potentiellement concernés par ce problème. Je ne veux pas être alarmiste, mais ce genre de problèmes de sécurité est très grave, il est important d'y répondre le plus rapidement possible. Dans tous les cas, j'espère que tous les inscrits sur la plateforme recevront rapidement (peut-être que ce billet accélérera les choses...) des informations à ce sujet et seront encouragés à changer le mot de passe utilisé. Tant qu'il n'y a aucun retour de la part des techniciens, il est très peu utile de modifier le mot de passe d'accès à la plateforme, ce nouveau serait immédiatement compromis. Prenez soin de vous et utilisez un gestionnaire de mots de passes. [^bdd]: À l'exception des sites statiques, tous les sites internet utilisent des bases de données pour stocker des informations (les données des utilisateurs, les articles écrits, les statistiques de visite...). [^algo]: Un algorithme est une méthode générale pour résoudre un type de problèmes. (Wikipedia) [^algo1]: Cet exemple d'algorithme est volontairement simpliste. Le but ici est de comprendre le fonctionnement, évidemment nous pouvons utiliser un meilleur algorithme. [^secu]: Bien évidemment, cela sous-entend que le technicien n'a pas de mauvaises intentions. Étant maître du système, il peut enregistrer le mot de passe ailleurs, mais n'envisageons pas le pire. [^prob]: Et j'ai bien conscience de ce que cela implique, mais malheureusement si le même mot de passe est utilisé à plusieurs endroits, s'il est compromis alors il faudra le changer partout. [^off]: J'avais indiqué le site des impôts. Après vérification, le portail e-démarches (du canton de Genève en tout cas) force l'authentification deux facteurs, par sms ou autre. Cet accès est donc protégé, mais avec la fuite dont je parle dans l'article la première sécurité est quand même compromise et je recommande donc à tous les inscrits sur la plateforme de l'école-club de modifier leurs mot de passe.