L’histoire est classique : je m’inscris sur un magasin en ligne, je reçois un mail de confirmation dans ma boîte faisant office de poubelle.
Que vois-je à mon plus grand désarroi ?
Enfer et damnation ! J’ai été sympa, j’ai caché le nom du site (et mes identifiants, il ne faut pas déconner non plus).
Un mot de passe en clair dans un mail signifie non seulement qu’il est visible par votre prestataire de messagerie (ainsi que tous les intermédiaires et les éventuels pirates ensuite), mais aussi très certainement qu’il est stocké en clair dans leur base de données !
En 2015, il y a toujours des sites de commerce sérieux qui n’ont pas compris le message ? On n’envoie pas de mots de passe et on ne les stocke pas en clair ! Un hash du mot de passe avec un sel est le minimum, et encore, pas n’importe comment.
Je ne sais pas s’il faut blâmer les webmasters du site ou PrestaShop (une solution pour créer des boutiques en ligne) pour cette aberration. Je ne connais pas PrestaShop, mais si sa configuration par défaut est d’envoyer et stocker les mots de passe en clair, c’est grave et gage de peu de sérieux. En fait non, même si ce n’est pas le comportement par défaut, le simple fait de le proposer est un crime en soi ! Ou alors c’est une très ancienne version de PrestaShop, donc potentiellement vulnérable…
Bien sûr que c’est une très mauvaise pratique que d’envoyer un mot de passe par mail.
Mais ça ne signifie en rien qu’il est stocké en clair. Lorsque tu t’identifies sur 90% des sites,
les données sont envoyées en clair (sauf si HTTPS ou hashage avant envoi).
Donc, dans ce cas présent, tu viens de t’inscrire, en fournissant ton mot de passe (en clair),
tu ne peux présager de rien concernant le stockage dudit mot de passe.
La seule façon d’en être sûr, c’est de ne pas te connecter, et passer par la fonctionnalité
« mot de passe oublié ». Si on te renvoie ton mot de passe à cette occasion, alors oui, il
était stocké en clair.
Je trouve le raccourci « mail avec mot de passe » == « stockage en clair » un peu trop rapide.
PS: devoir activer du JS venant de google.com me navre énormément pour pouvoir poster
ce commentaire.
J’avoue que j’y ai pensé à la rédaction de cet article, je pense que je vais tester le « mot de passe oublié » 😉
Ah oui Google, à cause du captcha j’imagine. Vraiment navré, mais c’est le seul captcha vraiment efficace que j’ai trouvé 🙁