Des millions de mots de passe de clients d’entreprises de service public stockés en clair

Mots de passe

En septembre, un chercheur en sécurité a découvert que le site web de sa compagnie d’électricité offrait la possibilité d’envoyer par email les mots de passe aux utilisateurs qui les avaient perdus ou les avaient oubliés…

mots de passe

…par exemple en envoyant un email en clair et non chiffré, sans salage et sans même un soupçon de hachage, à quiconque fournirait l’adresse électronique d’un utilisateur donné, au lieu d’offrir l’option beaucoup plus sécurisée de “réinitialisation du mot de passe.

Le chercheur indépendant en sécurité, qui a choisi de rester anonyme, a raconté l’histoire à Jim Salter, collaborateur d’Ars Technica, qui a désigné le chercheur par “X” dans ses écrits.

A savoir, une saga de plusieurs mois qui consistait à tenter de convaincre l’éditeur de logiciel, qui s’occupait du site web, que son approche compromettait la sécurité des clients et de le persuader de corriger cette situation… ce qui ne s’est produit qu’après avoir refusé de répondre à X, puis a finalement renvoyé X vers son avocat, qui a demandé à X d’arrêter de parler à quiconque sur ce sujet et a insisté sur le fait que le processus de traitement des mots de passe de l’entreprise était tout à fait correct.

La société en question est SEDC : une entreprise d’Atlanta qui propose des “services et solutions pour la cyber-résilience”, une appellation un peu déroutante qui se traduit par un logiciel qui gère le paiement de factures, la cybersécurité et d’autres services pour les entreprises de service public.

Après que X ait trouvé la mention du copyright de SEDC dans le pied de page du site web du fournisseur d’énergie en question, le chercheur s’est mis à la recherche de plus de sites destinés aux clients, conçus par SEDC. X en a trouvé beaucoup : en fait, le chercheur a trouvé plus de 80 sites d’entreprises de service public proposant tous d’envoyer des mots de passe en clair par email.

Ars estime que ces entreprises s’occupent de quelque 15 millions de clients, mais ce nombre pourrait être beaucoup plus important : en effet, SEDC lui-même affirme que plus de 250 entreprises de service public utilisent ses logiciels.

X n’a ​​pas tenté d’exploiter les sites de ces entreprises de service public. Si tel avait été le cas, les bases de données des sites auraient été remplies d’identifiants qui n’auraient pas été masqués par le chiffrement. Une telle mine d’or non verrouillée aurait pu être vidée par des attaquants et utilisée pour des attaques de type credential stuffing : une technique bien connue dans laquelle les identifiants récupérés lors d’une violation sont utilisés sur d’autres sites web jusqu’à ce qu’un attaquant parvienne à pénétrer dans le système avec succès, que ce soit sur nos comptes bancaires en ligne, nos comptes de réseaux sociaux, nos comptes de messagerie, nos gadgets “smart-home” ou encore les nombreux autres lieux et choses que nous voulons sécuriser.

Malheureusement, la tendance déplorable des internautes à réutiliser les mots de passe rend cette attaque extrêmement courante.

Mais la réponse que X a reçu de SEDC est tout aussi regrettable.

Du silence absolu au haussement d’épaules

Voici l’avis de Salter, qui affirme avoir effectué de nombreux audits PCI-DSS (Payment Card Industry Data Security Standard) au fil des ans :

Lorsque X a informé SEDC qu’il y avait un problème de sécurité, la réponse de l’entreprise a varié du silence absolu aux haussement d’épaules. Finalement, l’avocat de SEDC a envoyé à X un email qui pouvait raisonnablement être paraphrasé ainsi : “Il n’y a aucun problème avec ce que SEDC fait, arrêtez de déranger SEDC, et dorénavant vous ne devez vous adresser qu’à moi”.

L’email de Mark Cole, avocat général du SEDC :

Nous avons été particulièrement surpris par votre accusation, car SEDC et nombre de nos clients sont soumis à des évaluations PCI annuelles, à des tests de pénétration PCI annuels et à des analyses trimestrielles ASV PCI, et aucune d’entre elles n’a identifié une quelconque vulnérabilité PCI DSS dont vous vous êtes plaint. Après vos appels initiaux à [censurer] Electric Cooperative, nous avons expressément exprimé votre inquiétude auprès d’un évaluateur de sécurité qualifié PCI certifié qui a confirmé que votre problème ne représentait pas une violation PCI : le mot de passe associé à un utilisateur non administrateur ne permet tout simplement pas l’accès aux informations de carte de crédit d’une manière qui viole la norme PCI DSS.

[…]

Enfin, je dois vous demander de cesser de contacter les employés de SEDC, les clients (autres que les fournisseurs dont vous êtes un utilisateur final) et les tiers, afin de réitérer vos affirmations erronées à ce sujet. 

“Ridicule” de dire “parlez à mon avocat” au lieu de dire “Merci”

Lors de sa tentative visant à convaincre SEDC de reconnaître et de remédier à cette vulnérabilité en matière de sécurité, X a reçu des conseils de Nate Cardozo, avocat principal en cybersécurité à l’Electronic Frontier Foundation (EFF), et de l’avocat de l’EFF, Jamie Williams, sur les responsabilités en matière de divulgation légale et éthique. Voici ce que Cardozo a déclaré à Ars :

En 2019, il est ridicule que les éditeurs répondent aux chercheurs en sécurité par l’intermédiaire d’un conseiller juridique, et non via un programme bug bounty. 

Le dernier email de Cole à X indique à nouveau que rien n’empêche les mots de passe en clair en ce qui concerne le PCI-DSS … mais que SEDC l’a quand même corrigé.

En quelque sorte dirons-nous.

Je tenais à vous informer que SEDC a modifié la manière dont notre logiciel traite les demandes de “mot de passe oublié” au niveau du portail de paiement, et nous avons annoncé le changement à tous nos clients. Nous avons également divulgué ce changement et l’historique de vos communications, dont nous avons eu connaissance, avec SEDC et nos employés, auprès de certains de nos clients, sur les réseaux sociaux en général, et en détail auprès de notre conseil d’administration, composé d’une douzaine de nos clients-membres. Ils ne croient pas qu’une autre divulgation de la part de SEDC soit nécessaire ou appropriée. 

Étant donné qu’il n’y a pas eu de violation du PCI, ni d’indication d’accès de tiers aux données personnelles de quiconque (en fait, le mot de passe en clair qui est en cause ne permet pas un tel accès), il est difficile de savoir quelle “divulgation” devrait, selon vous, être faite, encore moins en vertu de quelle autorité vous pensez qu’une telle divulgation serait nécessaire. 

Comme le souligne Salter, SEDC ne dit pas que les mots de passe sont maintenant chiffrés, avec un hachage fort, avec un salage cryptographique unique pour chaque enregistrement. Cela signifie que nous ne savons pas si ces mots de passe sont stockés de manière sécurisée. Tout ce que nous savons, c’est que les sites des clients de SEDC invitent désormais les utilisateurs à réinitialiser les mots de passe perdus ou oubliés, au lieu de les envoyer par email en clair.

Salage et hachage

Ceux qui oublient les conséquences du stockage de mots de passe en clair, sans salage ni hachage corrects, risquent de ne pas mesurer les implications juridiques potentielles, si le standard du secteur en matière de sécurité est ignoré.

Un exemple est LinkedIn, qui a été poursuivi non pas pour avoir ignoré le salage et le hachage, mais pour avoir fait le travail à moitié. En 2012, LinkedIn a été victime d’une faille massive qui a entraîné la fuite de millions de mots de passe SHA-1 non salés, qui ont ensuite été mis en ligne et craqués en quelques heures.

Un salage est une chaîne aléatoire ajoutée à un mot de passe avant son chiffrement.

Le salage n’est pas un secret en soi, il est juste là pour s’assurer que deux personnes avec le même mot de passe obtiennent des hachages différents. Cela empêche les pirates d’utiliser des “rainbow tables” (tables arc-en-ciel) de hachages pré-calculés pour déchiffrer les mots de passe et vérifier par recoupement la fréquence de hachage par rapport à la popularité des mots de passe (dans une base de données de hachages non salés, le hachage qui apparaît le plus souvent est probablement la version hachée du célèbre “123456”, par exemple).

Saler et hacher un mot de passe une seule fois ne suffit cependant pas. Pour résister à une attaque par crackage de mots de passe, un mot de passe doit être salé et haché encore et encore, plusieurs milliers de fois.

Ne pas le faire “enfreint les méthodes classiques de protection des données et représente des risques importants pour l’intégrité [des] données confidentielles des utilisateurs”, selon les accusations émanant d’une action collective à 5 millions de dollars (environ 4.4 millions d’euros) lancées contre LinkedIn.

Mieux vaut être en sécurité avec des mots de passe uniques que désespéré avec le fameux 123456

Nous ne savons pas si SEDC a constaté l’erreur de ses méthodes sans salage ni hachage, mais nous savons que le moyen pour les utilisateurs de rester en sécurité dans cette situation est de s’assurer qu’ils utilisent un ensemble unique et puissant d’identifiants pour chaque site et chaque service.

Les mots de passe doivent comporter au moins 12 caractères et mélanger des lettres, des chiffres et des caractères spéciaux, et c’est encore mieux si vous utilisez un gestionnaire de mots de passe ou une clé de sécurité matérielle, telle que Yubico, Yubico ou Titan.

Enfin, prions pour que le web sans mot de passe arrive bientôt !


Billet inspiré de Millions of utilities customers’ passwords stored in plain text, sur Sophos nakedsecurity.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.