Mise à jour : Chronodrive supprime les données bancaire lorsqu’on tape trois fois un mauvais mot de passe. Cette mesure de sécurité part d’un bon sentiment, mais ne sert à rien en qu’à d’attaque de la base de données.
Je viens de découvrir que Chronodrive, le site pour faire ses courses en ligne, stocke les mots de passe en clair dans sa base de données.
Après avoir tapé 3 fois mon mot de passe en me trompant (je suis en mode gros doigts en ce moment), Chronodrive me propose de m’envoyer mon mot de passe par mail. Juste que là, rien d’anormal que d’envoyer un nouveau mot de passe par e-mail. Sauf que l’e-mail reçu contient mon mot de passe et non un nouveau.
Ca signifie que Chronodrive stocke les mots de passe en clair dans leur base de données.
En effet, lorsque les mots de passe sont chiffrés, il est impossible de le déchiffrer et donc de l’avoir en clair. Donc lorsque vous tapez votre mot de passe, le système le chiffre et le compare avec le mot de passe chiffré présent en base.
Vous vous demanderez peut-être quel est l’intérêt de stocker les mots de passe chiffrés dans une base de données. L’intérêt est simple, si vous vous faites attaquer votre base de données, le pirate récupérera les identifiants et les mots de passe mais ne pourra pas s’en servir. Bien sur, suivant la technique et la complexité du chiffrement utilisé, il pourra les déchiffrer mais il lui faudra du temps. Entre temps, le site aura vu qu’il s’est fait attaqué et enverra un mail à tous les utilisateurs afin qu’ils changent leur mot de passe. Ainsi lorsque le pirate aura les déchiffrés, la plus part sera inutilisable.
Or, chez Chronodrive, les mots de passe sont stockés en clair, ce qui signifie que s’ils se font attaquer, le pirate pourra directement utiliser les couples identifiants/mot de passe.
Le problème est que certains utilisateurs ont renseigné leur numéro de carte bancaire sur ce site. Donc le pirate pourra connaitre cette donnée plutôt sensible.
Et dernier point, beaucoup d’utilisateurs utilisent le même mot de passe sur plusieurs sites. Comme de nombreux sites permettent de se connecter avec le couple email/mot de passe, le pirate pourra aussi se connecter à d’autres sites, rien qu’en ayant attaqué Chronodrive.
En résumé, je trouve ça dommage que Chronodrive n’ai pas pensé à cette problématique lorsqu’ils ont fait leur site web car cette négligence peut être lourde de conséquence.