L’histoire est classique : je m’inscris sur un magasin en ligne, je reçois un mail de confirmation dans ma boîte faisant office de poubelle.

Que vois-je à mon plus grand désarroi ?

Oh un mot de passe en clair sauvage apparaît !

Enfer et damnation ! J’ai été sympa, j’ai caché le nom du site (et mes identifiants, il ne faut pas déconner non plus).

Un mot de passe en clair dans un mail signifie non seulement qu’il est visible par votre prestataire de messagerie (ainsi que tous les intermédiaires et les éventuels pirates ensuite), mais aussi très certainement qu’il est stocké en clair dans leur base de données !

En 2015, il y a toujours des sites de commerce sérieux qui n’ont pas compris le message ? On n’envoie pas de mots de passe et on ne les stocke pas en clair ! Un hash du mot de passe avec un sel est le minimum, et encore, pas n’importe comment.

Je ne sais pas s’il faut blâmer les webmasters du site ou PrestaShop (une solution pour créer des boutiques en ligne) pour cette aberration. Je ne connais pas PrestaShop, mais si sa configuration par défaut est d’envoyer et stocker les mots de passe en clair, c’est grave et gage de peu de sérieux. En fait non, même si ce n’est pas le comportement par défaut, le simple fait de le proposer est un crime en soi ! Ou alors c’est une très ancienne version de PrestaShop, donc potentiellement vulnérable…