#Chronodrive stocke les mots de passe en clair

Mise à jour : Chronodrive supprime les données bancaire lorsqu’on tape trois fois un mauvais mot de passe. Cette mesure de sécurité part d’un bon sentiment, mais ne sert à rien en qu’à d’attaque de la base de données.

Je viens de découvrir que Chronodrive, le site pour faire ses courses en ligne, stocke les mots de passe en clair dans sa base de données.

Après avoir tapé 3 fois mon mot de passe en me trompant (je suis en mode gros doigts en ce moment), Chronodrive me propose de m’envoyer mon mot de passe par mail. Juste que là, rien d’anormal que d’envoyer un nouveau mot de passe par e-mail. Sauf que l’e-mail reçu contient mon mot de passe et non un nouveau.
Ca signifie que Chronodrive stocke les mots de passe en clair dans leur base de données.

En effet, lorsque les mots de passe sont chiffrés, il est impossible de le déchiffrer et donc de l’avoir en clair. Donc lorsque vous tapez votre mot de passe, le système le chiffre et le compare avec le mot de passe chiffré présent en base.

Vous vous demanderez peut-être quel est l’intérêt de stocker les mots de passe chiffrés dans une base de données. L’intérêt est simple, si vous vous faites attaquer votre base de données, le pirate récupérera les identifiants et les mots de passe mais ne pourra pas s’en servir. Bien sur, suivant la technique et la complexité du chiffrement utilisé, il pourra les déchiffrer mais il lui faudra du temps. Entre temps, le site aura vu qu’il s’est fait attaqué et enverra un mail à tous les utilisateurs afin qu’ils changent leur mot de passe. Ainsi lorsque le pirate aura les déchiffrés, la plus part sera inutilisable.

Or, chez Chronodrive, les mots de passe sont stockés en clair, ce qui signifie que s’ils se font attaquer, le pirate pourra directement utiliser les couples identifiants/mot de passe.
Le problème est que certains utilisateurs ont renseigné leur numéro de carte bancaire sur ce site. Donc le pirate pourra connaitre cette donnée plutôt sensible.
Et dernier point, beaucoup d’utilisateurs utilisent le même mot de passe sur plusieurs sites. Comme de nombreux sites permettent de se connecter avec le couple email/mot de passe, le pirate pourra aussi se connecter à d’autres sites, rien qu’en ayant attaqué Chronodrive.

En résumé, je trouve ça dommage que Chronodrive n’ai pas pensé à cette problématique lorsqu’ils ont fait leur site web car cette négligence peut être lourde de conséquence.

SCADA : vulnérabilité inquiétante

SCADA, pour Supervisory Control And Data Acquisition (soit Télésurveillance et Acquisition de Données en français), sert à contrôler à distance des éléments présents sur le terrain comme des vannes.
Avant, il fallait envoyer une personne manipuler la vanne, par exemple, alors que grâce à SCADA, on peut le faire depuis un poste de contrôle.

Le système est donc pratique en soit, puisqu’il permet une meilleure réactivité et aussi des coûts moins important (besoin de moins de personne). Mais le problème est que très souvent les systèmes sont faillibles et donc attaquent. Les éditeurs de ces solutions mettent beaucoup de temps à réagir. Et comme ces systèmes sont connectés sur Internet, ça peut vite devenir moche. Imaginons un jour que des terroristes attaquent le système d’une centrale électrique ainsi. Ils en ont la possibilité car ils ont de grandes ressources financières et souvent de bons black hack (hackers utilisant leurs connaissances à des fins néfastes).

Si vous pensez que ça ne risque pas d’arriver, vous avez tord (à mon avis). En 2008, les Etats-Unis d’Amérique et Israël ont mis au point un virus appelé Stuxnet. Son objectif était d’attaquer le système SCADA qui régissait une centrale nucléaire iranienne, et ainsi retarder voir saboter le programme nucléaire iranien.
Il ciblait le système gérant les turbines à vapeur de la centrale. Il a créé une surchauffe des turbines et les a ainsi endommagées voir détruites.
L’objectif a donc été atteint. Mais le problème est qu’il s’est retrouvé accidentellement sur Internet et s’est propagé dans d’autres centrales. Il a au total infecté 45 000 systèmes informatiques, dont 30 000 présents en Iran.

Donc, je ne sais pas ce que vous en pensez, mais je trouve ça inquiétant de savoir que nos centrales électriques, de distribution d’eau, etc, utilisent les systèmes SCADA. Tout en sachant que les distributeurs de ces solutions déconseillent de changer le mot de passe par défaut (qui circule bien entendu sur Internet).

Gmail vous prévient si un Etat vous espionne

Une petite nouvelle que je voulais partager avec vous.

Gmail vous prévient grâce à un bandeau rouge s’il suspecte qu’un Etat cherche à pirater votre compte. Cette suspicion est basée sur des analyses statistiques.

Bien entendu, la meilleur protection est d’avoir un mot de passe unique pour chaque site et robuste.
Pour ceux qui se demanderaient à quoi ressemble un mot de passe robuste, c’est au moins 8 caractères, avec des chiffres, des lettres en minuscules et majuscules ainsi que des caractères spéciaux. Il ne doit pas lié à vous, c’est-à-dire pas de date d’anniversaire, pas le nom des enfants ou du chien, etc. Toutes ces données étant facilement récupérables (merci les réseaux sociaux).
Dernier point, il ne faut pas non plus le noter sur papier. Pour les stocker, il est recommandé d’utiliser une application spécifique pour ceux qui ont un smartphone, sinon pour les autres un fichier texte (de préférence dans une partition chiffrée sur une clef usb) fera l’affaire.
Pour ceux qui n’auraient pas d’idées pour créer un mot de passe sécurisé, il existe des applications pour ça (sur internet, sur smartphone, ou autre).
Voici un exemple de mot de passe robuste : si#JEw*I7

Pourquoi le wifi ouvert du bars ou de la gare n’est pas sur

Lorsque vous vous connectez à un wifi ouvert dans un bars, à la gare ou autre, ce que vous faites sur Internet n’est pas protégé.

Un wifi ouvert est un wifi qui ne possède pas une clef de protection (WEP, WPA ou WPA2). Même s’il vous amène sur une page web qui vous demande un mot de passe, vos informations passeront en clair dans les ondes.

Il est très facile pour quelqu’un ayant le logiciel adéquat de faire croire à votre ordinateur qu’il est la borne wifi. Ainsi votre ordinateur lui envoie tout, la personne regarde ce que vous voulez faire et envoie à la vrai borne. Il récupère la réponse et vous la transmet. C’est-à-dire que si vous cherchez « maison à vendre » dans votre moteur de recherche préféré, cette personne verra la demande. Pas bien méchant pour une recherche, mais si vous vous connectez à votre boite mail, si l’adresse ne commence pas par https:// la personne récupéra facilement votre login et votre mot de passe.

Ce n’est pas le seul type d’attaque réalisable sur un réseau Wifi ouvert.
Par exemple, il existe des logiciels qui sniffent le réseau Wifi pour voir les informations qui y transitent.
Sachez que ce genre de logiciel est très simple à trouver, et qu’il en existe pour les smartphones. J’en ai un sur mon téléphone et me permet d’éduquer mes amis en leur montrant que je vois ce qu’ils font. 🙂

Je vous conseille donc de ne pas vous connecter via un wifi ouvert à vos adresses critiques (mail, compte en banque, etc). Si vraiment vous ne pouvez pas faire autrement (question de vie ou de mort par exemple), connectez vous qu’aux comptes dont l’adresse web commence par https:// (mail google, ou compte en banque par exemple). De même, si vous avez le choix entre un wifi ouvert et le réseau téléphonique de votre smartphone, utilisez ce dernier. Le chiffrage du réseau change régulièrement ce qui limite les risques d’écoutes.

Injection SQL : l’aéroport de Tahiti vulnérable

Je me permets d’écrire ce billet, parce que le site de l’aéroport est réparé.

Nous allons donc parler de l’injection SQL : à quoi ça sert et comment ça marche.

Avant de commencer, je tiens à rappeler que le but de cet article n’est pas de vous donner envie d’entrer sur des sites. Mais plutôt de vous permettre de vérifier le votre et aussi d’augmenter vos connaissances informatiques.

L’injection SQL est une faille de sécurité permettant d’écrire du code SQL (code de base de données) dans un champ texte d’un site. Je vous recommande d’aller voir la page Wikipédia sur le sujet, ainsi que celle sur les bases de données pour ceux qui ne connaissent pas.

Pour faire simple, l’utilité de ce genre d’attaque est de récupérer des données de la base.

Très souvent les sites vérifient les login et mot de passe ainsi : on récupère le nom d’utilisateur et le mot de passe dans le formulaire (via les champs à renseigner). Ensuite, on demande à la base de données de renvoyer l’identifiant de la personne ayant le nom d’utilisateur et le mot de passe renseigné.

Dans le cas d’une injection SQL, on modifie la requête ce qui permet d’avoir une connexion sur le site sans connaitre l’identifiant et le mot de passe d’un utilisateur. C’est le problème qu’avait le site de l’aéroport de Tahiti. Via cette attaque, on pouvait rentrer en tant qu’administrateur sur le site.

Pour vérifier si un site est sensible à cette attaque, il suffit de taper dans un champ la commande suivante ‘OR 1=1 ‘#. Si l’application ne vous renvoie pas une page 404, mais plutôt plein de trucs bizarres à l’écran, c’est que le site n’est pas sécurisé contre cette attaque.
Si vous tapez le code donné ci-dessus dans un formulaire de connexion, vous pourrez entrer tranquillement sur le site. Habituellement, la base de données renvoie les identifiants de la première personne renvoyée par la base, qui est très souvent l’administrateur du site. Aussi sans connaitre de mot de passe, ni l’identifiant, vous voila administrateur du site.