websiteOwn/content/posts/007-MotsDePasse_Migros.md

296 lines
13 KiB
Markdown

---
draft: false
date: 2020-01-22T07:30:55+01:00
title: "École-Club Migros et mots de passes"
description: "Vous avez un compte sur la plateforme de l'École-Club Migros?
Alors la sécurité de votre mot de passe est compromise."
images: ["images/007-ECM_lock.png"]
tags: ["Informatique", "Sécurité", "Mots de passes"]
categories: ["Informatique"]
externalLink: ""
series: []
---
# Le stockage des mots de passes sur internet
Pour stocker les mots de passes, on utilise en général une
base de données[^bdd],
mais il existe de multitudes de manières de stocker un mot de passe
sur une plateforme web, certaines bonnes, d'autres désastreuses.
## Le stockage en clair
La solution la plus simple est de stocker les mots de passes
comme n'importe quel autre donnée, en général en associant
un mot de passe à un nom d'utilisateur.
| Username | Password |
|---|---|
| Alice | monsuperpassword |
Si un site vous envoie votre mot de passe par e-mail,
il y a de fortes chances qu'il utilise cette méthode de stockage.
Le problème de cette méthode est que n'importe qui ayant accès
à la base de donnée (un technicien, le type qui passait à la cafétéria
pendant que l'ordinateur du technicien était ouvert, ...)
a donc accès à tous les mots de passes des utilisateurs.
## Chiffrer les mots de passes
Une solution pour éviter d'avoir les mots de passes écrits en clair
dans une base de donnée est de les chiffrer.
Pour y parvenir, il faut décider d'un algorithme[^algo] et l'appliquer
à notre mot de passe,
par exemple nous pourrions remplacer chaque lettre par sa position dans
l'alphabet et séparer par un point[^algo1].
| Username | Password |
|---|---|
| Alice | 13.15.14.19.21.16.5.18.16.1.19.19.23.15.18.4 |
Cette solution peut sembler résoudre un problème de sécurité,
mais en fait toutes les personnes ayant connaissance de l'algorithme
ont accès aux mots de passes.
On peut éliminer le type qui passait à la cafétéria,
si l'algorithme choisi n'est pas trop mauvais,
mais tous les techniciens ont toujours les pleins pouvoirs.
## Hacher le mot de passe
Bien évidemment, nous n'utiliserons pas d'outils tranchants ici.
Contrairement au chiffrement, il n'y a ici pas de retour en arrière possible.
Il est impossible de retrouver le mot de passe en connaissant
sa valeur hachée.
Une fonction de hachage simple pourrait être d'additionner la position
de tous les caractères du mot de passe :
13+15+14+19+21+16+5+18+16+1+19+19+23+15+18+4 = 236.
| Username | Password |
|---|---|
| Alice | 236 |
Lorsque l'utilisateur va entrer son mot de passe,
le système va le hacher et le comparer à la valeur enregistrée dans la
base de donnée.
Si les deux valeurs correspondent, alors le système va autoriser l'accès
à l'utilisateur, sinon il rejettera la tentative de connexion.
Cette fonction de hachage est bien évidemment très mauvaise, il y a beaucoup
de mots de passes qui pourraient donner la même valeur,
on parle de collisions.
Nous utilisons donc des meilleures fonctions en réalité,
mais le fonctionnement est identique.
Avec cette solution, le technicien va pouvoir vérifier que le mot de passe
entré correspond bien au mot de passe enregistré en base, mais sans
jamais connaître le mot de passe[^secu].
C'est la bonne manière de faire.
Évidemment c'est un poil plus compliqué en réalité mais le but
de ce petit billet n'est pas d'apprendre à stocker des mots de passes,
pour cela il y a suffisamment de ressources disponibles sur internet.
Je voulais juste faire un petit point sur les bonnes méthodes utilisées
par vos sites préférés.
# Et l'École-Club Migros dans tout ça
Alors, loin de moi l'idée de faire du *public shaming*, mais vu la faible
réponse de la structure je me vois obligé d'en parler quelque part, car
j'estime que c'est très grave et que tous les clients de leur plateforme
sont exposés à une **énorme faille de sécurité**.
## Le contexte
Je suis actuellement une formation de formateur d'adultes à l'École-Club Migros.
Avant le début de la formation, tous les participant·e·s ont reçu un
mail nous confirmant l'accès à la plateforme et en nous rappelant nos
accès, avec mon mot de passe écrit en clair.
Comme vous venez de lire les différentes manières de stocker un mot de passe,
vous savez donc que la plateforme ne stocke pas les mots de passes
hachés, mais soit en clair soit chiffrés, ce qui est problématique dans
les deux cas.
## Le risque
Au-delà du risque d'un accès compromis à la plateforme, ce qui est déjà
suffisamment grave, énormément de personnes utilisent le même
mot de passe sur plusieurs (toutes) autres plateformes.
Si c'est votre cas et que vous avez (ou avez eu) un compte sur la plateforme
de l'École-Club Migros, ce mot de passe est compromis.
Qu'est-ce que cela veut dire?
Premièrement, pour peu que votre nom d'utilisateur soit le même partout
également (ce qui tend à être le cas avec l'utilisation des mails comme
nom d'utilisateur), les techniciens ayant accès à la base de données
ont connaissance de vos logins et peuvent donc se connecter sur toutes
les plateformes que vous utilisez (gmail, facebook,[^off] etc.).
Et dans le cas où votre nom d'utilisateur n'est pas le même, sachez
qu'il est assez aisé de le deviner.
Secondement, s'il y a eu une fuite de données,
alors en plus des techniciens,
il y a potentiellement des centaines (des milliers ?) de personnes
mal intentionnées qui ont accès à ces informations.
## La réponse de l'École-Club
Sachant que j'ai averti l'École-Club Migros de ce soucis le lundi 13 janvier,
le jour de réception du mail,
il y a dix jours maintenant, j'attendais de leur part un mail à **toutes**
les personnes ayant un compte sur leur plateforme,
expliquant le problème et les encourageant à changer leurs mots de passes
partout ou il serait utilisé[^prob].
Plus d'une semaine est passée et j'ai uniquement reçu un accusé de réception
de la part de la responsable de la formation, très certainement motivé
par mon mécontentement exprimé en personne le vendredi 18 janvier.
## La réponse v2
Hier, lundi 27 janvier 2020, j'ai reçu la réponse suivante de la part du
service technique :
> Nous vous remercions pour votre message et des précieuses informations
> sur la sécurité des mots de passe. Nous prenons ces données très au sérieux,
> mais pour des raisons de sécurité,
> nous ne fournissons aucune information sur la façon
> dont nous conservons les mots de passe de nos clients sur notre site.
> Toutefois, nous pouvons vous assurer que nous révisons régulièrement
> les normes de sécurité et que nous tiendrons
> bien entendu compte des aspects que vous avez mentionnés.
> Nous avons maintenant inclus des recommandations concrètes
> pour la modification des mots de passe dans la correspondance électronique.
Essayons ensemble de décrypter ce message.
### La question de sécurité
> Nous prenons ces données très au sérieux,
> mais pour des raisons de sécurité,
> nous ne fournissons aucune information sur la façon
> dont nous conservons les mots de passe de nos clients sur notre site.
Personne ne demande d'expliquer comment sont stockées les données
en interne.
Ce que je demande c'est qu'une méthode garantissant la confidentialité
soit mise en place, vu qu'apparemment ce n'est actuellement pas le cas.
L'École-Club me donne l'impression que cette problématique n'en est pas
une, je ne vais pas rappeler tout ce que j'ai déjà expliqué ici.
### Les normes de sécurités
> Toutefois, nous pouvons vous assurer que nous révisons régulièrement
> les normes de sécurité et que nous tiendrons
> bien entendu compte des aspects que vous avez mentionnés.
Alors je pense qu'il faut clairement remettre en doute la qualification
des personnes qui s'occupent de cette révision.
### Les recommandations aux utilisatrices et utilisateurs
> Nous avons maintenant inclus des recommandations concrètes
> pour la modification des mots de passe dans la correspondance électronique.
Je répète ce que j'ai déjà dit,
je demande à l'École-Club d'avertir la totalité de ses inscrits de cette
problématique et encourage **tout le monde** à changer de mot de passe,
si ce dernier a été utilisé ailleurs.
La suite au prochain épisode.
## Situation au 17 février 2020
Nous en sommes à cinq semaines après que je leur ai soulevé le problème
et bientôt trois semaines après une discussion téléphonique avec,
entre autres, Monsieur T. Delachaux, directeur de l'École-Club Migros.
Je n'ai toujours rien reçu de leur part donc j'imagine que personne
n'est au courant de la problématique.
J'avoue que je commence à en avoir un peu raz-le-bol de devoir suivre
cette affaire qui aurait dû être réglée, je le rappelle, comme suit :
* 13 janvier 2020, ~ 9h :
l'École-Club est informée de ma part de la problématique ;
* 14 janvier 2020, l'École-Club informe tous ses client·e·s du problème,
explique qu'il faut modifier les mots de passes sur toutes les
autres plateformes de manière préventive et qu'iels recherchent
activement une solution au problème interne ;
* plus tard, une fois le problème interne résolu, l'École-Club nous
informe toutes et tous de la situation finale.
C'est incroyable de penser que cette procédure,
très simple et que j'ai clairement expliqué le 13 janvier,
se fait autant attendre et qu'nous sommes toujours sans nouvelles.
De mon côté, lors de notre échange téléphonique j'ai proposé de venir
discuter et expliquer le problème.
J'estime avoir mis en place tout ce qui était possible pour que la
situation puisse se régler sans faire de vagues.
Ce que je remarque c'est que faire du bruit sur les réseaux sociaux,
sans avoir apporté de solution, a peut-être permis à certain·e·s de
découvrir le problème et le régler, et m'a permis d'avoir une discussion
téléphonique.
C'est pourquoi je continue dans le but de régler ce souci qui me prends
beaucoup trop de temps par rapport au temps que j'ai à disposition en ce
moment.
En revanche, l'École-Club nous laisse toutes et tous dans le flou
en refusant de s'exprimer sur le sujet et me demande simplement d'attendre
encore un peu et d'arrêter de faire du bruit.
Donc, si par hasard Monsieur T. Delachaux tombe encore une fois
sur cet article, je suis ouvert à avoir une discussion cordiale qui aurait
pour but de résoudre le problème une bonne fois pour toutes.
En attendant, je laisse chacun en parler à son entourage et à mettre
en place tout ce que j'ai déjà suffisamment expliqué dans ce billet.
# Conclusion
Je le répète, le but ici n'est pas de faire du *public shaming* envers
l'École-Club Migros (ou de la plateforme MOODLE).
Je suis en revanche très surpris du manque de réaction de la part d'une
aussi grosse structure.
Vu qu'ils n'ont pas l'air décidé à communiquer sur le sujet,
je me permets donc de prendre la parole.
Je répète ce que vous avez à faire.
* Si vous avez un compte sur la plateforme de l'École-Club Migros
* Si vous utilisez ce mot de passe ailleurs
Alors, vous devez **absolument** modifier le mot de passe sur **toutes
les autres plateformes concernées**.
* Si vous connaissez des personnes qui ont un compte sur la plateforme de l'École-Club Migros
Il faut **absolument** les avertir, ils sont potentiellement concernés par
ce problème.
Je ne veux pas être alarmiste, mais ce genre de problèmes de sécurité est
très grave, il est important d'y répondre le plus rapidement possible.
Dans tous les cas, j'espère que tous les inscrits sur la plateforme
recevront rapidement (peut-être que ce billet accélérera les choses...)
des informations à ce sujet et seront encouragés à changer le mot
de passe utilisé.
Tant qu'il n'y a aucun retour de la part des techniciens, il est
très peu utile de modifier le mot de passe d'accès à la plateforme,
ce nouveau serait immédiatement compromis.
Prenez soin de vous et utilisez un gestionnaire de mots de passes.
[^bdd]: À l'exception des sites statiques, tous les sites internet utilisent
des bases de données pour stocker des informations
(les données des utilisateurs, les articles écrits,
les statistiques de visite...).
[^algo]: Un algorithme est une méthode générale pour résoudre un
type de problèmes. (Wikipedia)
[^algo1]: Cet exemple d'algorithme est volontairement simpliste.
Le but ici est de comprendre le fonctionnement, évidemment nous
pouvons utiliser un meilleur algorithme.
[^secu]: Bien évidemment, cela sous-entend que le technicien n'a pas de
mauvaises intentions. Étant maître du système, il peut enregistrer le
mot de passe ailleurs, mais n'envisageons pas le pire.
[^prob]: Et j'ai bien conscience de ce que cela implique, mais malheureusement
si le même mot de passe est utilisé à plusieurs endroits, s'il est compromis
alors il faudra le changer partout.
[^off]: J'avais indiqué le site des impôts.
Après vérification, le portail e-démarches (du canton de Genève en tout
cas) force l'authentification deux facteurs, par sms ou autre.
Cet accès est donc protégé, mais avec la fuite dont je parle dans
l'article la première sécurité est quand même compromise et je
recommande donc à tous les inscrits sur la plateforme de l'école-club
de modifier leurs mot de passe.