Piratage de ViaPresse, déjà prévenu en 2013...

1. Le 14/10/2013, je pousse une gueulante auprès de La Fnac et ViaPresse, parce qu'ils envoies les mots de passe en clair à chaque abonnement :
2.  
3. <Ref772106> Votre réclamation est en cours de traitement
4.  
5. Cher Client,
6.  
7. Nous avons pris bonne note de votre demande et allons lui accorder toute l'attention nécessaire.
8.  
9. Nous effectuons les recherches indispensables auprès de l'éditeur pour vous apporter une réponse précise dans les plus brefs délais.
10.  
11. Sincères salutations.
12.  
13.  
14.  
15. Service abonnement
16. Tel : 01.72.87.16.76- Code 14
17. Du Lundi au Vendredi de 9 h à 18h00
18. http://fnac.viapresse.com/
19.  
20.  
21. Le 17/10/2013
22.  
23. Bonjour,
24.  
25.  
26. Merci de votre réponse, qui, malheureusement et comme vous devez vous en douter, ne me satisfait pas vraiment.
27.  
28. Pour tous vos clients qui utilise le même mot de passe sur votre service et pour leur messagerie en ligne (nous savons tous deux qu'ils doivent être nombreux), je pense que le couple adresse mail et mot de passe peut être considéré comme une donnée "sensible".
29.  
30.  
31. Peut-être pouvez déjà faire effectuer quelques rapides retouches sur le SI actuel comme 
32.  
33. -ne plus afficher le mot de passe à l'écran (lors d'une commande, sur l'interface de consultation de votre service client et tout autre endroit ou il pourrait apparaitre)
34. -ne plus l'afficher dans l'e-mail de confirmation de commande
35.  
36.  
37. Quelle que soit votre procédure de modification de code, ça ne devrait pas mobiliser beaucoup de ressources et limiterait déjà l'accès à cette faille de sécurité aux personnes ayant accès à vos bases de données (légitimement ou non)
38.  
39.  
40. Cordialement,
41. xxxxxxxxxxx xxxxxxxxxxx
42.  
43.  
44.  
45. ----- Mail original -----
46. De: "xxxxx xxxxxxxx"
47. <xxxxxxx@viapresse.com>
48. À: Moi
49. Envoyé: Jeudi 17 Octobre 2013 15:00:41
50. Objet: Viapresse > Suite à votre mail
51.  
52.  
53. Bonjour, 
54.  
55.  
56. Je fais suite à votre mail sur l'enregistrement des mots de passe sur le site Viapresse. 
57.  
58.  
59. Tout d'abord en vous annonçant que cela ne va plus durer très longtemps, nous sommes en phase de recette de notre nouvelle plateforme qui intégrera évidemment un système d'encodage des mots de passe via un hash + salt comme vous l'indiquez. 
60.  
61.  
62. Deuxièmement, en précisant que le système ne contient pas d'informations dites sensibles, comme les RIB ou les coordonnées de cartes bancaires que nous ne conservons pas, vu qu'elles ne transitent pas par nos serveurs (nous utilisons les services de sociétés spécialisés). 
63.  
64.  
65. Nous sommes, et je suis à titre personnel, loin d'être insensibles à cette problématique, mais le remplacement du système de mot de passe dans la globalité du SI actuel, vétuste, alors qu'il est en pleine refonte, n'est pas aussi simple qu'il y parait. 
66.  
67.  
68. Je prends en tout cas bonne note de vos exemples que je connais très bien, et de votre avertissement. 
69.  
70.  
71. Bien cordialement, 
72.  
73.  
74.  
75.  
76.  
77.  
78.  
79.  
80. xxxxxxxxx xxxxxxxxxxxxx 
81. Directeur des systèmes d'information 
82. xxxxxxxxxxxxx@viapresse.com 
83. Tél : +33 xxx xxx xxx / Mob: +33 xxx xxx xxx
84.  
85.  
86. ********
87. Toujours le 17/10/2013
88.  
89. <Ref772106> Mot de passe stocké en clair dans vos base de données !!!!
90.  
91. Monsieur Moi,
92.  
93. Votre demande a bien été transmise au service informatique qui sera mieux placé pour vous répondre quant à votre demande.
94.  
95. Je suis navrée de n'avoir pas pu répondre correctement à votre demande.
96.  
97. Vous devriez recevoir une réponse à votre courriel prochainement
98.  
99. Merci de votre compréhension
100.  
101. Cordialement,
102.  
103.  
104. Sonia
105. Service abonnement
106. Tel : 01.72.87.16.76- Code 14
107. Du Lundi au Vendredi de 9 h à 18h00
108. http://fnac.viapresse.com/
109.  
110.  
111.  
112. -------------------------------------- 
113. Bonjour,
114.  
115.  
116. "Je vous informe toutefois que votre mot de passe n'est visible uniquement par notre service clientèle,"
117.  
118. ???
119. C'est une plaisanterie ?
120. Je n'avais pas vu cette ligne en première lecture, lisez la suite et voyez quel pouvoir vous donnez aux employés de votre service clientèle, et à quels risques vous exposez vos utilisateurs...effarants !
121.  
122.  
123. "Votre compte client ne risque pas d'être piraté, car vous seul connaissez le mot de passe et nous gardons le secret professionnel."
124.  
125. C'est faux : la sécurité absolue n'existe pas, si une personne veut s'introduire dans votre système d'information ce n'est qu'une question de temps et de motivation avant qu'elle ne découvre des failles techniques ou humaine (Ingénierie Sociale) lui permettant de parvenir à ses fins.
126.  
127. Des sociétés comme OVH, Adobe ou Sony ne manquent pas de moyens pour assurer la sécurité de leurs données client, mais elles se les ont pourtant faites dérobées.
128. Ça n'arrive pas qu'aux autres.
129.  
130. Il est donc primordial de crypter les mots de passe de vos clients, qui, pour beaucoup, n'ont pas le réflexe d'utiliser des mots de passe différents pour chaque service en ligne (réseaux sociaux, mail, e-commerce, ...).
131. Si un utilisateur utilise le même mot de passe pour sa messagerie, quelqu'un qui arriverait à accéder à votre base de données disposerait alors d'une voie royale pour accéder à tout ce qui peut transiter sur une boite e-mail et se connecter à tous les services en lignes de l'utilisateur via la fonction "mot de passe oublié", qui enverra gentiment de nouveaux mots de passe sur la boite e-mail de l'utilisateur (si tant est que l'utilisateur n'utilise pas le même mot de passe pour tous ses services). À partir de là la possibilité de nuisance n'a plus de limites que l'imagination.
132.  
133. N'oublions pas les risques que quelqu'un passant derrière un de vos clients lise son mot de passe lorsque vous l'affichez à l'écran, que ce soit sur votre site web ou dans sa messagerie, et que toute personne pouvant accéder (de façon légitime ou non) aux serveurs de messagerie où sont stockés les e-mails de vos clients a de facto également accès aux mots de passe de vos clients.
134.  
135.  
136. Ce n'est donc pas un problème à traiter "début 2014" mais immédiatement (comme je l'ai déjà précisé, les modifications à effectuer sont assez simples et rapides à mettre en place).
137.  
138.  
139. Cordialement,
140. Moi
141.  
142.  
143. De: "Kiosque Presse Fnac" <kiosque-fnac@viapresse.com>
144. À: Moi
145. Envoyé: Jeudi 17 Octobre 2013 12:57:47
146. Objet: <Ref772106> Mot de passe stocké en clair dans vos base de données !!!!
147.  
148.  
149.  
150.  
151. Bonjour, 
152.  
153. Tout d'abord, nous vous prions de bien vouloir nous excuser pour cette réponse tardive. 
154.  
155. Votre message a retenue toute notre attention et soyez rassuré notre systèmre informatique va bientôt changer début 2014. 
156.  
157. Je vous informe toutefois que votre mot de passe n'est visible uniquement par notre service clientèle, la confidentialité de vos données ne sont en aucun cas diffusée. 
158.  
159. Votre compte client ne risque pas d'être piraté car vous seul connaissez le mot de passe et nous gardons le secret professionnel. 
160.  
161. Votre compte client ne comporte pas non plus de données bancaires. 
162.  
163. Nous vous prions cependant de bien vouloir nous excuser et nous transférons votre mail auprès de notre directeur du service informatique. 
164.  
165. En vous remerciant de la confiance que vous nous avez accordée. 
166.  
167. Cordialement, 
168.  
169.  
170. Sonia 
171. Service abonnement 
172. Tel : 01.72.87.16.76- Code 14 
173. Du Lundi au Vendredi de 9 h à 18h00 
174. http://fnac.viapresse.com/ 
175.  
176.  
177.  
178. -------------------------------------- 
179.  
180. Bonjour, 
181.  
182.  
183. Nous sommes en 2013, et je constate avec effarement que vous affichez toujours les mots de passe de vos clients à l'écran lorsque l'on a passé une commande et que vous le renvoyez par e-mail. 
184. Vous devez pourtant avoir un minimum de moyen pour assurer la sécurité de vos clients et ne pas ignorer que des bases de données client se font régulièrement piratées, même dans les entreprises les plus à même de les protéger : 
185.  
186.  
187. Quelques exemples récents : 
188. OVH 
189. http://www.lemonde.fr/technologies/article/2013/07/23/ovh-se-fait-pirater-les-donnees-de-ses-clients-europeens_3452455_651865.html 
190.  
191. Pearl.fr 
192. http://www.pcinpact.com/news/72867-un-pirate-monnaye-et-diffuse-partie-base-clients-pearl-fr.htm 
193.  
194. Adobe 
195. http://www.01net.com/editorial/604762/adobe-pirate-2-9-millions-de-comptes-clients-compromis/ 
196.  
197.  
198. Vous devez donc absolument, et sans attendre, crypter tous les mots de passe de vos clients et supprimer toute sauvegarde de base de données où nos mots de passe client apparaissent en clair. Sans cela, vous vous exposez à des sanctions de la part de la CNIL (que je vais informer de votre irresponsabilité) 
199.  
200. Je vous invite en particulier à lire cette interview : 
201.  
202. http://www.pcinpact.com/news/72419-interview-cnil-sur-defauts-securisation-donnees-personnelles.htm 
203.  
204. Et sans réaction rapide de votre part (étant informaticien je peux vous assurer qu'il ne faut pas plus d'une demi-journée pour passer d'un système de gestion de mot de passe open-bar à un stockage de mot de passe avec hash+sel qui rend impossible à toute personne de pouvoir retrouver le mot passe en clair) j'informerais également quelques journalistes et blogueurs influents pour qu'un maximum de vos clients sache que vous ne protégez par leurs données. 
205.  
206.  
207. Cordialement, 
208. Moi