Accueil » Quand Viapresse “rassurait” sur son stockage des mots de passe en clair
High-Tech

Quand Viapresse “rassurait” sur son stockage des mots de passe en clair

Dans un échange d’e-mails dont Numerama a pu prendre connaissance, Viapresse avait été contacté en 2013 par un client inquiet de voir son mot de passe stocké en clair par la plateforme. Le prestataire s’était voulu rassurant, à sa manière…

La négligence révélée ce week-end par Zataz pourrait coûter extrêmement cher à Viapresse, dont le fichier d’abonnés à des services de presse en ligne a été piraté. En tout, près de 2 millions d’identifiants et de mots de passe en clair ont été obtenus par un groupe de hackers baptisé “Linker Squad”, depuis un sous-domaine de TF1 qui proposait le service de kiosque de Viapresse en marque grise. 

Les BDD sont des mines d’or. Les données (…) seront sûrement revendues“, a menacé le groupe qui affirme également détenir des coordonnées bancaires de clients, ce que TF1 et Viapresse ont démenti. Mais peu importe.

Le seul fait de stocker des mots de passe en clair sur un service en ligne qui n’est jamais à l’abri d’un piratage est une erreur absolument inadmissible en 2014. Ca l’était déjà en 2010 lorsque nous avions dénoncé la même pratique par Skyrock (qui trouvait ça normal !), ça l’est encore plus quatre ans plus tard. Les internautes étant ce qu’ils sont, beaucoup d’entre eux utilisent le même mot de passe sur de nombreux services en ligne, et le fait de découvrir un mot de passe utilisé pour Viapresse donne très souvent accès aux e-mails de la victime, lequel donne accès à l’ensemble des autres services en ligne qui se proposent de renvoyer un nouveau mot de passe par e-mail. Accédez aux e-mails, et c’est généralement la caverne d’Alibaba qui s’ouvre (voir à ce sujet notre article sur la synchronisation des mots de passe par Google Chrome).

“VOTRE MOT DE PASSE EST VISIBLE UNIQUEMENT PAR NOTRE SERVICE CLIENTÈLE”

Or Viapresse avait été alerté de longue date du problème, et l’avait d’abord pris à la légère. Dans un échange d’e-mails daté d’octobre 2013 dont Numerama a pu prendre connaissance, Viapresse avait affirmé à l’un de nos lecteurs inquiets que “votre compte client ne risque pas d’être piraté car vous seul connaissez le mot de passe et nous gardons le secret professionnel“.

Je vous informe que votre mot de passe n’est visible uniquement par notre service clientèle, la confidentialité de vos données ne sont en aucun cas diffusée” (sic), ajoutait le prestataire dans une grammaire approximative. Il reconnaissait toutefois en creux le problème, en annonçant qu’un nouveau site serait mis en place début 2014, qui aurait pour effet de renforcer la sécurisation.

Nous sommes en phase de recette de notre nouvelle plateforme qui intégrera évidemment un système d’encodage des mots de passe via un hash + salt comme vous l’indiquez“, avait confirmé le même jour un technicien auquel l’échange avait été transmis.

Nous sommes, et je suis à titre personnel, loin d’être insensibles à cette problématique, mais le remplacement du système de mot de passe dans la globalité du SI actuel, vétuste, alors qu’il est en pleine refonte, n’est pas aussi simple qu’il y parait“, ajoutait-il, il y a plus d’un an.

Viapresse n’était pas joignable par téléphone ce lundi matin pour répondre à nos questions. Ce qui est apparemment fréquent, si l’on en croit le dernier tweet publié par Viapresse en septembre 2014 :

A propos de l'auteur

Sébastien T.

Sébastien T.

Passionné depuis toujours par l'informatique et les jeux vidéos, je transforme ma passion en expertise. J'utilise quotidiennement les outils et systèmes Microsoft. Je ne délaisse pas mon côté ouvert, notamment via l'utilisation des OS Debian et Archlinux.

Ajouter un commentaire

Cliquez ici pour poster un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Suivez nous sur les réseaux sociaux !

FR | GeekParadizeHub ➜ Communauté Multigaming

4 User(s) Online Join Server
  • WartraxX
  • RegFau1t
  • Luzrod
  • Adrien Marmoud

Rejoignez nous sur Teamspeak

Rejoindre notre Teamspeak

Abonnez-vous à notre newsletter

Recevez par email toute l'actualité High-Tech chaque matin
Abonnez-vous à notre newsletter et rejoignez les 957 autres abonnés.

Je souhaite m'abonner à la newsletter par email. J'ai compris la Déclaration de protection des données.
Je peux modifier mon consentement pour l'usage de mon courriel à n'importe quel moment, en ouvrant le lien "Se désinscrire" à la fin de la newsletter ou sur mon profil.

Tester votre débit

Suivez nous sur les réseaux sociaux !

FR | GeekParadizeHub ➜ Communauté Multigaming

4 User(s) Online Join Server
  • RegFau1t
  • Adrien Marmoud
  • WartraxX
  • Luzrod

Rejoignez nous sur Teamspeak

Rejoindre notre Teamspeak

Abonnez-vous à notre newsletter

Recevez par email toute l'actualité High-Tech chaque matin
Abonnez-vous à notre newsletter et rejoignez les 957 autres abonnés.

Je souhaite m'abonner à la newsletter par email. J'ai compris la Déclaration de protection des données.
Je peux modifier mon consentement pour l'usage de mon courriel à n'importe quel moment, en ouvrant le lien "Se désinscrire" à la fin de la newsletter ou sur mon profil.

Tester votre débit

Oui Non

Rapport de faute d’orthographe

Le texte suivant sera envoyé à nos rédacteurs :