Récemment, plusieurs sociétés ont admis conserver les mots de passe sous forme de texte non chiffré, une pratique comparable à la sauvegarde d’un mot de passe dans un fichier texte simple. Or, pour des raisons de sécurité, les mots de passe devraient être cryptés et salés. Comment expliquer que cette règle élémentaire ne soit pas respectée en 2019 ?
L’impératif de ne pas stocker les mots de passe en clair
Le stockage des mots de passe en texte brut expose ceux-ci à toute personne ayant accès à la base de données ou aux fichiers concernés. En cas de piratage, les mots de passe deviennent directement visibles et utilisables par des tiers.
Cette pratique est totalement inacceptable. Les mots de passe devraient faire l’objet d’un salage et d’un hachage, ce qui signifie concrètement l’ajout d’informations aléatoires, suivies d’un brouillage irréversible. Ainsi, même en cas de vol des données, les mots de passe ne pourraient pas être déchiffrés. Lors de la connexion, le système peut vérifier que le mot de passe saisi correspond à la version brouillée, sans pouvoir reconstituer le mot de passe d’origine à partir des données stockées.
Comment expliquer que certaines entreprises choisissent cette méthode ? Malheureusement, la sécurité n’est pas toujours une priorité. Parfois, le compromis est fait au profit de la commodité. Dans d’autres cas, le stockage initial est correctement géré, mais des fonctions de journalisation trop intrusives peuvent causer des fuites de mots de passe en clair.
De nombreuses entreprises épinglées pour de mauvaises pratiques
Vous avez peut-être déjà été touché par de telles pratiques. En effet, des entreprises telles que Robinhood, Google, Facebook, GitHub et Twitter ont été épinglées pour avoir stocké des mots de passe en texte brut.
Si Google a bien haché et salé les mots de passe de la majorité de ses utilisateurs, les mots de passe des comptes G Suite Enterprise étaient stockés en clair. Cette pratique, justifiée par la fourniture d’outils de récupération aux administrateurs, n’aurait pas été possible avec un stockage correct des mots de passe. Seule une procédure de réinitialisation devrait être la méthode employée dans ce cas.
De même, Facebook a reconnu avoir stocké des mots de passe en texte brut, sans donner de raison précise, mais une mise à jour ultérieure a révélé que :
… Nous avons découvert d’autres journaux de mots de passe Instagram stockés sous un format lisible.
Il arrive parfois qu’une entreprise gère correctement le stockage initial, mais introduise des failles via de nouvelles fonctionnalités. Outre Facebook, Robinhood, Github et Twitter ont également enregistré par erreur des mots de passe en texte brut.
La journalisation est un outil utile pour identifier les problèmes dans les applications ou le code système. Cependant, un manque de tests sur cette fonctionnalité peut engendrer plus de problèmes qu’elle n’en résout.
Dans le cas de Facebook et Robinhood, la fonction de journalisation a pu enregistrer les noms d’utilisateur et les mots de passe lors de leur saisie, puis les stocker ailleurs. L’accès à ces journaux permettait alors une prise de contrôle des comptes.
Enfin, certaines entreprises comme T-Mobile Australia ont fait preuve d’un manque de rigueur en matière de sécurité, parfois au nom de la commodité. Dans un échange Twitter depuis supprimé, un représentant de T-Mobile a avoué que l’entreprise stockait les mots de passe en texte brut, permettant ainsi aux opérateurs du service client de visualiser les quatre premières lettres pour des raisons de confirmation. Cette pratique a suscité une vive inquiétude auprès des utilisateurs de Twitter, conscients des risques engendrés par une telle vulnérabilité.