La négligence révélée ce week-end par Zataz pourrait coûter extrêmement cher à Viapresse, dont le fichier d'abonnés à des services de presse en ligne a été piraté. En tout, près de 2 millions d'identifiants et de mots de passe en clair ont été obtenus par un groupe de hackers baptisé "Linker Squad", depuis un sous-domaine de TF1 qui proposait le service de kiosque de Viapresse en marque grise.
"Les BDD sont des mines d'or. Les données (…) seront sûrement revendues", a menacé le groupe qui affirme également détenir des coordonnées bancaires de clients, ce que TF1 et Viapresse ont démenti. Mais peu importe.
Le seul fait de stocker des mots de passe en clair sur un service en ligne qui n'est jamais à l'abri d'un piratage est une erreur absolument inadmissible en 2014. Ca l'était déjà en 2010 lorsque nous avions dénoncé la même pratique par Skyrock (qui trouvait ça normal !), ça l'est encore plus quatre ans plus tard. Les internautes étant ce qu'ils sont, beaucoup d'entre eux utilisent le même mot de passe sur de nombreux services en ligne, et le fait de découvrir un mot de passe utilisé pour Viapresse donne très souvent accès aux e-mails de la victime, lequel donne accès à l'ensemble des autres services en ligne qui se proposent de renvoyer un nouveau mot de passe par e-mail. Accédez aux e-mails, et c'est généralement la caverne d'Alibaba qui s'ouvre (voir à ce sujet notre article sur la synchronisation des mots de passe par Google Chrome).
"VOTRE MOT DE PASSE EST VISIBLE UNIQUEMENT PAR NOTRE SERVICE CLIENTÈLE"
Or Viapresse avait été alerté de longue date du problème, et l'avait d'abord pris à la légère. Dans un échange d'e-mails daté d'octobre 2013 dont Numerama a pu prendre connaissance, Viapresse avait affirmé à l'un de nos lecteurs inquiets que "votre compte client ne risque pas d'être piraté car vous seul connaissez le mot de passe et nous gardons le secret professionnel".
"Je vous informe que votre mot de passe n'est visible uniquement par notre service clientèle, la confidentialité de vos données ne sont en aucun cas diffusée" (sic), ajoutait le prestataire dans une grammaire approximative. Il reconnaissait toutefois en creux le problème, en annonçant qu'un nouveau site serait mis en place début 2014, qui aurait pour effet de renforcer la sécurisation.
"Nous sommes en phase de recette de notre nouvelle plateforme qui intégrera évidemment un système d'encodage des mots de passe via un hash + salt comme vous l'indiquez", avait confirmé le même jour un technicien auquel l'échange avait été transmis.
"Nous sommes, et je suis à titre personnel, loin d'être insensibles à cette problématique, mais le remplacement du système de mot de passe dans la globalité du SI actuel, vétuste, alors qu'il est en pleine refonte, n'est pas aussi simple qu'il y parait", ajoutait-il, il y a plus d'un an.
Viapresse n'était pas joignable par téléphone ce lundi matin pour répondre à nos questions. Ce qui est apparemment fréquent, si l'on en croit le dernier tweet publié par Viapresse en septembre 2014 :
@benoistpasteau Navré que vous n'arriviez pas à nous joindre par téléphone. Comment pouvons-nous vous aider ?
— Viapresse (@Viapresse) 26 Septembre 2014
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.