Journal Sécurisation de l'authentification

Posté par . Licence CC by-sa
Tags : aucun
24
18
mar.
2011

Salut,

Cet aprèm, j'ai acheté des barres de toit pour ma voiture.
J'ai trouvé ce qu'il me faut sur un site web. Je me lance donc dans le processus d'achat :
Tout d'abord, créer un compte : formulaire pas en https, mes login / mot de passe et tout le reste vont transiter en clair...

Ne parlons même pas du https lorsque je suis connecté, le vole de session c'est des problèmes de paranos hystériques...

Après avoir créé un compte je reçois un mail de confirmation.
Dans ce mail, j'ai la joie de découvrir mon login et mon mot de passe récapitulés.

Donc en plus de ne pas sécuriser le formulaire d'inscription, on peut en déduire que mon mot de passe est stocké de manière lisible chez eux (merci la confiance), et ils se permettent de faire circuler mon mot de passe en clair dans un mail sans m'avoir rien demandé.

Une expérience de ce type, moi qui suis un peu sensible sur la question, ça me file des boutons. Pas que je craigne pour ma vie (sur ce type de site je sais bien qu'il faut pas leur faire confiance, et je suis méfiant), mais je trouve incroyable que des développeurs puissent se permettre de tels pratiques totalement irrespectueuses envers leurs clients. Et je sais très bien que le système de ce site qui me semble si insécurisé et si peu digne de confiance semblera tout à fait digne de confiance par la grande majorité des utilisateurs, ce qui est un peu flippant.

Étant vexé par ce manque de respect, je me suis donc permis de leur envoyer un message récapitulant les problèmes que leur système d'authentification me pose, et leur présentant des pistes d'évolutions qui pourraient améliorer leur service (hash des mot de passe en base, https, pas de pass dans le mail..., et idéalement OpenID).

Voila c'est tout, je voulais juste partager cette expérience afin éventuellement de motiver d'autres personnes à faire de même. Je me dis qu'en faisant systématiquement un retour négatif aux sites trop irrespectueux, peut-être que ça pourra participer à une petite prise de conscience des implications de cet irrespect. Et au passage ça pourrait faire de la pub à l'OpenID, ce qui ne peut pas faire de mal.

Ciao à tous

  • # Pareil

    Posté par . Évalué à 3.

    Je viens justement d'avoir la même expérience, et je m'apprêtais à envoyer un mail au site.

    C'est regrettable quand même, surtout pour les mots de passes en clair.

    J'ai vu aussi le cas d'un site qui s'était fait voler les mots de passes de tous ses utilisateurs (avec en plus des directeurs/cadres d'entreprises, un membre de l'assemblé,...), et qui même après ca continue de stocker ses mots de passes en clair.

    • [^] # Re: Pareil

      Posté par . Évalué à 10.

      Je viens justement d'avoir la même expérience, et je m'apprêtais à envoyer un mail au site.

      Punaise y'a tant de monde que ça qui veut acheter des barres de toit ?

    • [^] # Re: Pareil

      Posté par . Évalué à 10.

      Hum c'est pas parce que le mot de passe est envoyé en clair qu'il est forcément stocké en clair...

      <?php
      $pass = $_POST['pass'];
      $login = $_POST['login'];
      
      store_db_new_account($login,md5($pass));
      send_email_new_account($login,$pass);
      ?>
      

      Mais j'avoue que vu le reste... il y a des chances ;)

      • [^] # Re: Pareil

        Posté par (page perso) . Évalué à 9.

        moi j'ai un site alacon qui tout les ans m'envoie un mail « pour votre bien, comme chaque fois l'an, je vous rappelle que votre login et mot de passes sont … »

        En fait ils ont peut-être pensé que c'était une bonne raison de se rappeler à ma mémoire… m'enfin vive la sécu de la pratique commerciale ! Il faudra que je me désinscrive un jour, mais comme ils ne me spamment qu'une fois par an, j'avoue ne pas avoir fait le pas. Ce mot de passe est unique, et le service est un service alacon, je peux l'écrire ici si je veux… Mais dans l'idée, c'est tout de même impressionnant de bêtise !

        ce commentaire est sous licence cc by 4 et précédentes

      • [^] # Re: Pareil

        Posté par . Évalué à 6.

        Oui, mais il suffit de faire une demande de mot de passe oublié, si il est renvoyé, c'est qu'il est stocké en clair.

      • [^] # Re: Pareil

        Posté par . Évalué à -4.

        De meme si le formulaire de creation de compte n'est pas heberge sur une page https ne veut pas dire qu'il n'est pas poste en https.
        Et la page suivante peut aussi etre en http tout court, si leur serveur est suffisament malin pour balancer un 302 vers du chteuteupeu tout court en reponse au formulaire.

        If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.

        • [^] # Re: Pareil

          Posté par . Évalué à 2.

          C'est tout aussi peu sécurisé. Car rien ne te dit qu'il y a pas un script malcieux type keylogger inséré frauduleusement sur la page. cf Le hack du login de Facebook en tunisie: http://nawaat.org/portail/2011/01/03/tunisie-campagne-de-piratage-des-comptes-facebook-par-la-police-tunisienne/ (désolé j'ai la flemme de trouver un lien plus sérieux mais il y en a plein)

          • [^] # Re: Pareil

            Posté par . Évalué à -2.

            si ta page est sujette a une faille XSS qui injecte un keylogger, forcement, tu vas avoir des soucis.
            Mais dans ce cas, https ou pas, t'es baise.

            De meme, si la police bloque le port 443, c'est sur qu'https va moins bien marcher (accent de bourvil inside), mais je vois pas en quoi c'est pertinent comme remarque.

            If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.

            • [^] # Re: Pareil

              Posté par . Évalué à 7.

              On parle pas d'une faille XSS là.

              Le FAI Tunisien insérait à la volée un code malicieux dans la page de login de Facebook qui était en http et postait les sur une URL en https.

              Si la page de login de Facebook avait été en https cette attaque n'aurait pas été possible. Ça ne résous pas tous les problèmes certes, mais poster les donées en https ne suffit pas le formulaire doit lui aussi être servit en https.

              • [^] # Re: Pareil

                Posté par . Évalué à -3.

                C'etait pas vraiment ca le probleme, plutot un bon vieux mitma.
                Et quand l'homme de le milieu c'est ton fai, que son autorite de certification est inclue dans ton navigateur, ya pas grand chose Que tu puisses faire.

                If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.

                • [^] # Re: Pareil

                  Posté par (page perso) . Évalué à 2.

                  tu peux retirer le certificat de ton navigateur

                  • [^] # Re: Pareil

                    Posté par . Évalué à -3.

                    Oui, une fois que t'as compris que tu t'es fait avoir, et que donc c'est deja trop tard...

                    If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.

                    • [^] # Re: Pareil

                      Posté par (page perso) . Évalué à 3.

                      T'es pas obligé d'attendre de te t'être fait cambriolé pour fermer ta porte.

                      • [^] # Re: Pareil

                        Posté par . Évalué à -4.

                        Tu proposes quoi alors?
                        Virer tous les certificats racines de ta machine et ne plus utiliser ssl?

                        Pour autant que je sache, le certificat de la tunisie etait de confiance jusqu'a ce qu'on se rende compte qu'ils s'en servaient a des fins malhonnetes, donc on fait quoi?
                        On vire tous les certifs de confiance sous le pretexte qu'un mechant pourrait avoir un certificat signe par un gentil?

                        If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.

                        • [^] # Re: Pareil

                          Posté par (page perso) . Évalué à 2.

                          commencer par virer les certif de confiance qu'on utilise pas, ou qui n'ont pas prouvé leur confiance

                          • [^] # Re: Pareil

                            Posté par . Évalué à -3.

                            Super! Et tu la verifie comment la confiance?

                            C'est justement le but des organisations racines, si tu part de ce genre de postulat, ne te connectes surtout pas a internet, tu ne peux faire confiance a personne...

                            Avec tes belles idees, tu vas finir par virer thawte et verisign, ca va etre sympa la navigation sur internet chez toi...

                            If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.

            • [^] # Re: Pareil

              Posté par (page perso) . Évalué à -2.

              Enfin en même temps tant qu'a faire une injection SQL est plus rapide que de se prendre la tête avec du XSS persistent (et plus 'discret') pour récupérer les cookies de session.

              http://www.theatre-eibel.fr http://www.isc2chapter-yorkshire.co.uk

      • [^] # Re: Pareil

        Posté par . Évalué à 1.

        Il suffit de demander une récupération de mots de passe pour en savoir un peu plus.

  • # OpenID

    Posté par . Évalué à 5.

    Pourrait-on dissiper mes craintes concernant OpenID ? J'aurais donc un login unique, mettons jean.dupont. Si un attaquant découvre le mot de passe de jean dupont (soit l'attaquant découvre les mots de passes en clair chez www.barres-de-toit.com, soit directement un admin malveillant de ces site), il peut ensuite utiliser mon identité sur tous les sites du monde ?

    • [^] # Re: OpenID

      Posté par . Évalué à 7.

      A mon avis la majorité des utilisateurs de services en lignes ont 1 login et mot de passe qu'ils utilisent pour tous les sites (quand c'est possible)

    • [^] # Re: OpenID

      Posté par (page perso) . Évalué à 5.

      Tous les sites du monde compatibles OpenID (et acceptant ton serveur OpenID) : oui

      Bienvenue dans le monde du SSO !

      Cela dit, il existe des fournisseurs OpenID qui savent faire autre chose que du login/mot de passe. On parle plutôt de problème d'authentification forte dans ce cas.

    • [^] # Re: OpenID

      Posté par (page perso) . Évalué à 6.

      soit l'attaquant découvre les mots de passes en clair chez www.barres-de-toit.com, soit directement un admin malveillant de ces site

      Ben le principe c'est que ton mot de passe n'est pas chez www.barres-de-toit.com mais chez ton provider openId...

      Donc www.barres-de-toit.com n'y pourra rien... par contre rien n'empêche un maichant admin de ton provider openId (qui je l'espère lui ne stockers pas en clair) de resetter le mot de passe (vu qu'il est pas en clair il peut pas piquer le mot de passe) et usurper ton identité.

      Le maichant admin de ton provider openId il s'en fout à la limite du mot de passe si lui peut le changer.

      Mais même si je sais que www.barres-de-toit.com ne pourra pas avoir mon passe si j'utilise openId, ce qui me gène avec la protection openId c'est l'unique point de défaillance qu'il implique... mon compte openId compromis donne accès à tous les sites openId... alors qu'un compte d'un site (si tu t'amuses pas à mettre toujours le même pass) n'a compromis que ce compte. Ce problème est rédhibitoire pour moi et j'utilise donc pas openId. Le SSO rin à foot !

      • [^] # Re: OpenID

        Posté par . Évalué à 7.

        Rien ne t'empèche d'être ton propre provider OpenID, c'est un des services les moins compliqués à mettre en place.

        Mais c'est vrai que moi aussi je préférerai une authentification sans "tiers de confiance". Genre ton navigateur stocke une clé privée et tu te logue à la SSH.

      • [^] # Re: OpenID

        Posté par . Évalué à 7.

        Mais même si je sais que www.barres-de-toit.com ne pourra pas avoir mon passe si j'utilise openId, ce qui me gène avec la protection openId c'est l'unique point de défaillance qu'il implique...

        T'as qu'à créer un compte OpenID par site ... :)

  • # Y a pire

    Posté par . Évalué à 10.

    Chez pixmania, pour changer son mot de passe il faut l'envoyer par email à un pseudo responsable de la sécurité ! Ça me fait penser que j'ai demandé la suppression de mon compte il y a 7 mois et que ça n'a toujours pas été mis en application allez hop, mail de rappel avec référence à la loi informatique et liberté

    • [^] # Re: Y a pire

      Posté par . Évalué à 7.

      Demande à la CNIL de le faire pour toi.

    • [^] # Re: Y a pire

      Posté par (page perso) . Évalué à 7.

      J'utilise une base de donnée toute bête (des fichiers texte) avec mes identifiants. Un différent pour chaque site.

      Je regarde dans pixmania.fr.txt...
      Le contenu de mon fichier est: "Ne plus acheter chez eux" :-)
      Modification datée de 6 mois après la création du fichier.

      • [^] # Re: Y a pire

        Posté par (page perso) . Évalué à 1.

        C'est original comme pseudo. Ils acceptent les espaces? À moins que ce soit le mot de passe.

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # Parano

    Posté par . Évalué à -8.

    Si tu n'as rien à te reprocher, tu n'as rien à cacher.

    Si vous n'aimez pas ce commentaire c'est qu'il est ironique.

    • [^] # Re: Parano

      Posté par (page perso) . Évalué à 10.

      "Privé" et "Reprochable" ne sont pas synonymes
      "Personnel" et "Coupable" ne sont pas synonymes
      "Sécurisé" et "Immoral" ne sont pas synonymes
      "Public" et "Honnête" ne sont pas synonymes
      "Mutuel" et "Innocent" ne sont pas synonymes
      "Insécure" et "Bon" ne sont pas synonymes

      Alors les bêtises du genre "si tu n'as rien à te reprocher tu n'as rien à cacher" ou encore "si tu es honnête tu n'as pas besoin de veiller à ta sécurité", on s'en passera, trois petits tour et puis s'en vont !

      ce commentaire est sous licence cc by 4 et précédentes

      • [^] # Re: Parano

        Posté par . Évalué à 10.

        Ironie

        PS: J'ai mis le lien en SSL, juste au cas où ... :-p

        Si vous n'aimez pas ce commentaire c'est qu'il est ironique.

    • [^] # Re: Parano

      Posté par (page perso) . Évalué à 6.

      Si tu n'as rien à te reprocher, tu n'as rien à cacher.

      C'est exactement ce que dit le gouvernement Iranien aux homosexuels.
      Mais je crois que tu n'as pas compris. Il ne craint pas que l'état vérifie ses achats de barre de toit. Il craint qu'un méchant lui pique se fasse passer pour lui. Et là, le "rien à se reprocher", je ne vois pas ce qu'il fait là.
      C'est comme si tu te fais agresser dans la rue. Tu n'as rien à te reprocher, mais tu as 3 dents cassées tout de même.

    • [^] # Re: Parano

      Posté par (page perso) . Évalué à 5.

      Rassure-moi, c'était ironique, n'est-ce pas ?

      • [^] # Re: Parano

        Posté par . Évalué à 5.

        Je présume aussi à quand les tags humour pour les commentaires ?

        Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

        • [^] # Re: Parano

          Posté par (page perso) . Évalué à 3.

          curieusement ça m'a fait sourire et il est à -10...

        • [^] # Re: Parano

          Posté par (page perso) . Évalué à 2.

          Le tag humour existe depuis longtemps. Suivant la langue on nomme ça un smiley, un rigolard, une émoticône, etc.
          C'est fait pour transmettre quelques nuances basiques, et ça fonctionne bien.

          • [^] # Re: Parano

            Posté par . Évalué à 7.

            Oui, mais ça coupe un peu l'effet pince-sans-rire que je voulais donner.
            En même temps, je récolte les conséquences de cet effet :-)

            Si vous n'aimez pas ce commentaire c'est qu'il est ironique.

            • [^] # Re: Parano

              Posté par (page perso) . Évalué à 5.

              Je pense que le pince-sans-rire ne peut pas marcher sur un espace de discussion où les gens ne se connaissent pas forcément, et surtout, où des gens sincèrement cons peuvent intervenir. Du coup, on ne sait pas forcément si la personne est sincère ou non… sauf à regarder ses précédents commentaires.

              DLFP >> PCInpact > Numerama >> LinuxFr.org

              • [^] # Re: Parano

                Posté par . Évalué à 6.

                Une signature ça peut le faire aussi :

                Oh, une signature ! Si vous n'aimez pas ce commentaire c'est qu'il est ironique.

                Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

            • [^] # Re: Parano

              Posté par . Évalué à 10.

              Pour un effet pince sans rire, c'est à dire quand on veut éviter une émoticône qui diminue la « crédibilité » du message, il y a un signe de ponctuation que j'avais eu le plaisir de découvrir dans une encyclopédie de 1900 mais qui a disparut dans les encyclopédies récentes faute d'usage (je ne sais pas depuis quand).

              Néanmoins, ce symbole reste connu, et quelque personnes l'utilisent. Il existe en Unicode, et Wikipédia possède une page à son sujet.

              J'ai nommé… Le point d'ironie !

              Est-ce que le message semble suffisamment sérieux de ce point de vue ?

              « Si tu n'as rien à te reprocher, tu n'as rien à cacher ⸮ »

              … Après, on perd peut être de l'effet si toute la compréhension de la phrase est bafoué par ce point que ton interlocuteur ne connaît pas. Mais j'aime bien ce point, alors quand je fais de l'ironie (ce qui est trop rare par écrit, chez moi), j'utilise ce point, et j'en profite pour augmenter la culture de mes interlocuteurs.

              • [^] # Re: Parano

                Posté par . Évalué à 5.

                Merci, je ne connaissais pas :-)

                Mais bon, un message pince-sans-rire indiquant explicitement qu'il l'est, l'est-il toujours autant ⸮

                Si vous n'aimez pas ce commentaire c'est qu'il est ironique.

      • [^] # Re: Parano

        Posté par . Évalué à 6.

        It was :-D

        Manifestement, ça n'a pas semblé si évident à beaucoup de monde...

        Si vous n'aimez pas ce commentaire c'est qu'il est ironique.

    • [^] # Re: Parano

      Posté par . Évalué à 2.

      Tu ne mets pas de rideaux à ta fenêtre de chambre à coucher ? (encore plus si tu vis avec quelqu'un ?).

      Tu ne fermes pas la porte quand tu vas aux toilettes, ou quand tu te douches ?

  • # Et alors ...

    Posté par . Évalué à -10.

    Tes barres de toits tu n'es pas obligé de les acheter sur Internet si tu es parano. Donc ton journal on s'en branle :)

  • # Il y a une page linuxfr pour ça

    Posté par (page perso) . Évalué à 7.

    J'ai commencé une page sur les problèmes de sécurité du point de vue de l'utilisateur lambda. Elle est un peu légère pour l'instant, mais il ne faut pas hésiter à l'enrichir!

    https://linuxfr.org/wiki/Paranoia

    http://devnewton.bci.im

    • [^] # Re: Il y a une page linuxfr pour ça

      Posté par . Évalué à 1.

      [Vu que LinuxFR ne propose plus de messages privés, je me permets de faire ici une remarque qui change un peu de sujet.]

      Votre générateur de "passgrid" crée des grilles qui peuvent être reconstruites à l'identique en utilisant le login (qui est d'ailleurs imprimé avec la carte). Si cette façon de faire a bien une utilité, elle ne permet pas de vérifier ce point que vous indiquez sur la page :

      Les agents secrets peuvent détruire leurs passgrids avant d'être fait prisonnier et ne pas révéler leurs mots de passe, même sous la torture.

      La façon de réussir ce point est au contraire de ne jamais pouvoir reconstruire une grille.

      • [^] # Re: Il y a une page linuxfr pour ça

        Posté par (page perso) . Évalué à 4.

        Le principe d'un wiki, c'est qu'on peut participer directement au lieu d'envoyer un message...

        • [^] # Re: Il y a une page linuxfr pour ça

          Posté par . Évalué à 1.

          C'est à propos de son site que je fais une remarque (pas à propos des passgrids), or son site n'est pas un wiki.
          Quant au wiki de LinuxFR, il y a peu de chances qu'il voit ma remarque rapidement. En revanche, en répondant à un de ces messages, il y a au contraire toutes les chances pour qu'il la voit.

      • [^] # Re: Il y a une page linuxfr pour ça

        Posté par (page perso) . Évalué à 2.

        Bien vu!

        J'ai ajouté un mode non déterministe au générateur.

        http://devnewton.bci.im

        • [^] # Re: Il y a une page linuxfr pour ça

          Posté par . Évalué à 2.

          Le script ne fonctionne plus, mon navigateur se plaint de l'utilisation de "console" dans passgrid.js, variable qui n'existerait pas.

          La présence des 2 modes est une bonne idée, mais il faudrait ajouter une note d'explication, comme par exemple :

          Le mode déterministe vous permet de rééditer une grille si vous l'avez perdue, à condition de fournir le même identifiant.

          Le mode non-déterministe est totalement aléatoire, chaque grille générée ne pourra pas être reconstruite ! Ainsi, vous devez imprimer la grille en autant de copies que vous souhaitez, mais personne (pas même vous) ne pourra retrouver votre grille si vous détruisez, volontairement ou involontairement, toutes les copies.

  • # pub openid

    Posté par (page perso) . Évalué à 2.

    Et au passage ça pourrait faire de la pub à l'OpenID, ce qui ne peut pas faire de mal.

    hmmm, peux-tu élaborer ?
    Quitte à faire de la pub' autant que tu reprennes les mérites que tu as vantés, cela peut donner des idées et cela permettra de proposer un exemple sur la page OpenID accessible de Paranoïa ;-) (même si je n'apprécie pas trop le terme de paranoïa, j'avais commis un début de recensement de parano ordinaire à une époque).

    • [^] # Re: pub openid

      Posté par (page perso) . Évalué à 3.

      J'ai appelé la page ainsi, car quand je parle de sécurité, la génération "no private life" me réponds généralement "ça sert à rien, t'es parano". Plutôt que d'argumenter longuement, je préfère finalement assumer sur le mode "oui être parano et savoir que le fbi ne pourra pas voir mes photos de vacances me fait du bien" :-)

      http://devnewton.bci.im

  • # OpenID ?

    Posté par (page perso) . Évalué à 6.

    Je suis très mitigé sur OpenID.

    Déjà, ça permet d'avoir un identifiant unique pour tracer une identité d'un utilisateur. Il est donc facile de savoir qu'est-ce qu'il l'intéresse.

    Mais surtout, c'est la complexité du bousin. Le site marchand dont tu parles a vraisemblablement été codé par des personnes non compétentes.

    OpenID est vraiment trop compliqué pour des développeurs de ce niveau. Même avec une bonne librairie.

    Sans parler de la complexité du protocole, qui demande des requêtes dans tout les sens, une confirmation, et plein d'autres choses.

    Envoyé depuis mon lapin.

  • # à propos

    Posté par . Évalué à 1.

    je dévie un peu, mais je crois avoir entendu parler d'une alternative à la PKI centralisée pour HTTP... une sorte de HTTP-over-GPG. Ça vous dit quelque chose ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.