My Developpement Blog

Aller au contenu | Aller au menu | Aller à la recherche

Coup de gueule

mobileprive.com fait une grosse bourde

10/05/2010, 12:20. Coup de gueule

Le premier coup d’oeil

Je suis abonné à quelques newsletters telles que celle de vente-privee.com mais aussi son pendant pour les téléphones mobiles mobileprive.com. Le jeudi 6 mai, je reçois un mail me disant qu’une vente privée LG se profile à l’horizon.

En ouvrant mon mail que vois-je : mes identifiants de connexion (email et mot de passes). A ce moment là, mon sens ne fait qu’un seul tour et je me dit :

Leur site n’est pas très sécurisé

En effet, 2 cas sont possible :

  • Le mot de passe est en clair dans leur SI (Système d’informations) et ça, c’est plus que dangereux.
  • Le mot de passe est crypté donc déchiffrable et accessible si on cherche à casser le code.

Conclusion, il faut hasher le mot de passe, cela empêche d’accéder à une donnée sensible car de nombreux utilisateurs utilise le même mot de passe. Le hash étant par définition irréversible.

Analyse de la newsletter

mobile-prive-securite.pngConnaissant les newsletters, celle-ci ont un lien permettant de visualiser le contenu de celle-ci dans un navigateur, les webmails et logiciels de messageries ne faisant pas tous un rendu correct du contenu.

Et là, c’est de nouveau le drame : Mes identifiants sont à nouveau accessible et ce, aux yeux de tout le monde. Comprendre, que les hackers peuvent s’en donner a coeur joie en utilisant les moteurs de recherche (impossible d’utiliser cependant les moteurs respectant le fichier robots.txt). Cependant, rien n’empêchent les hackers, de générer des urls possibles pour retrouver les informations, et ainsi se faire une base de donnée de mails valides d’une part et de récupérer ensuite une quantité pouvant être non négligeable de mot de passe associé à un individu.

Mon sang à donc fait qu’un seul tour, une nouvelle fois

Pour information, je ne mets pas en cause la société envoyant la newsletter qui ne fait que remplir un modèle de mail avec les informations que l’on lui donne, mais la société qui a écrit la newsletter et fournie ces informations.

Contenu de ma lettre adressée à mobileprive.com

Madame, Monsieur,

Vous êtes des inconscients!!!

Vous transmettez dans vos newsletters des informations qui ne devrait pas y être (le couple identifiant / mot de passe en particulier), c’est le cas de l’email que j’ai reçu ce jour.

Pour information, les mails sont transmis en clair et peuvent donc être intercepté par n’importe quel ordinateur sur lequel transite le-dit mail. Cela dit, ce n’est pas le plus choquant dans l’histoire.

Le plus grave, c’est que sur ce mail, il existe comme pour la plupart des newsletters un lien permettant d’y accéder sur le web plutôt que via un logiciel de messagerie. Ces informations sont encore visibles et sont donc potentiellement accessibles sur Internet pour n’importe quel quidam.

Travaillant moi même dans le développement web, je pourrais en cherchant un peu, essayer de récuperer votre base client (ou une partie). En tout cas, je pourrais potentiellement obtenir les identifiants et mot de passes de vos clients. Et ce, sans être sous le coup de la loi, les informations étant disponible publiquement. L’utilisation de ces informations personnelles (revente ou connexion sur votre site avec ces données), elle, me mettrait dans l’illégalité.

Ces données sont sensibles pour vous, car elles permettent de faire de l’usurpation d’identité sur votre site. Beaucoup d’utilisateurs, quant à eux, utilisent le même mot de passe pour de nombreux sites, et là, j’espère ne pas avoir à vous apprendre les problèmes que cela peut faire.

Je ne comprends pas 2 choses concernant votre site :

- Pourquoi mon mot de passe m’a été transmis ?

Je ne l’ai nullement demandé et même si cela avait été le cas, vous auriez du me permettre dans saisir un nouveau. Cela signifie que au meilleur des cas, vous avez encodé mon mot de passe, ce qui vous permet de le décrypter en cas de demande. Mais si vous pouvez le faire, d’autres personnes mal intentionnées peuvent le faire aussi. Donc votre politique de sécurité n’est pas bonne. Dans le pire des cas, les mots de passes sont stockés en clair et toutes personnes ayant accès à votre système d’information (employé/prestataire/personnes malveillantes) peuvent récupérer ces informations.

- Pourquoi mettez vous 48h ouvrés pour supprimer les informations me concernant, alors que cela peut être fait de manière automatique et quasi-instannée (hors compte ayant au moins une opération en cours chez vous) ?

Je réitère donc ma phrase disant que vous êtes inconscient.

J’espère cependant avoir un retour concernant ce mail et avoir fait un mail pas trop brutale (hormis mon entrée en matière) et constructif.

Cordialement,

PS: un billet sur mon blog(http://nicolas.desaleux.fr) avec le contenu de ce mail sera publié sous 24-48h afin que vous puissiez prendre les mesures nécessaires pour résoudre ce soucis que j’estime majeur.

Solutions proposées :
* Faire supprimer les pages accessibles sur internet par votre prestataire que je ne remets pas en cause.
* Sécuriser votre système d’information concernant les mots de passes
* Envoyer un mail à vos clients leur disant de saisir un nouveau mot de passe afin que si quelqu’un a eu accès à ces informations, qu’elles ne soient que peu de temps utile.

Conseil :
* Faire vérifier dans votre modèle de mail que le couple identifiant/mot de passe ne soit jamais présent dans vos mails de newsletters, ceci est très dangereux pour votre système d’information et pour votre image de marque.

Comme dit plus haut, je laisse 48h pour vous permettre de corriger cela afin que cette faille ne soit pas utilisée mais aussi pour que mes informations personnelles aient été supprimées.

J’attends donc avec impatience leur réponse, que je mettrais à la suite de ce billet

Réponse de mobileprive

Voici la réponse que j’ai obtenu de leur part, le 6 mai. Je les remercie pour leur réactivité et leur laisse aussi la parole. Je me permet de commenter certains éléments de leur mail.

Monsieur,

Tout d’abord je vous remercie de votre mail et de vos commentaires.

Y a pas de quoi

Conformément à votre demande, tout information vous concernant a été supprimé de nos bases de données.

Ceci est rapide et efficace

Un lien automatique et immédiat en bas du mail vous permet également d’effectuer cette action.

J’ai eu un doute sur cela d’où mon interrogation

Les 48 heures inscrits en bas du mail concernant uniquement les personnes n’arrivant pas à utiliser le lien automatique, dans ce cas, une demande peut etre adressé et celle-ci est traité manuellement, d’où par conséquence, le délai indiqué.

Tout s’explique, mais soit la colère est mauvaise conseillère, soit ce ne pas explicite

Nous notons également votre remarque concernant l’identifiant et le mot de passe indiqué dans la newsletter. Ceux-ci étant indiqués suite à une forte demande des membres qui ne se rappelaient plus de leurs identifiants. Tous le monde n’étant pas aussi à l’aise dans l’utilisation des sites Internet, il était donc nécessaire de leur fournir une solution.

Une solution qui ne m’aurait pas fait bondir aurait été de rappeler aux gens non pas ces informations mais comment les récupérer ou regénérer le mot de passe.

Pour information, de nombreux sites Internet, de chaine de télévision par exemple, communiquent en clair dans des mails les identifiants et mot de passes de leurs clients.

Pour ma part, ceci est une aberration. Mais bon c’est peut être mon coté technique qui me fait dire ça. Cependant une erreur doit être corrigée et non dupliquée.

N’oublions pas, pour terminer, que le site MobilePrive.com ne dispose d’aucune information sensible et confidentielle nécessitant une extrème vigilance.

Un mot de passe est en soit une donnée sensible car celle-ci ne semble pas, pour vous, une donnée demandant une grande vigilance mais pour l’utilisateur qui l’a choisie, cela peut avoir une grande incidence comme peut l’être l’usurpation d’identité, que vous rendez possible.

Ceci étant dit, nous notons avec grand intéret votre remarque et allons donc procéder à une rectification. Ce qui vous prouve donc que nous ne sommes pas tout à fait “inconscients”, le mot étant bien fort.

Comme dit plus haut, la colère est mauvaise conseillère, mais bon, le principal est que le message soit passé

Je vous remercie encore une fois de votre intérêt

Toujours pas de quoi

et vous prie d’agréer en nos salutations distinguées.

Pareillement

Cordialement, L’équipe MobilePrive.com

Par Nicolas Desaleux. aucun commentaire aucun rétrolien

Virer moi cette balise que je ne saurai (a)voir - Lettre ouverte au développeur (en particulier d'Eurosport)

22/01/2009, 17:15. Coup de gueule Conception web HTML

Messieurs les développeurs ou les décideurs du site Eurosport,

Serait il possible de supprimer cette ligne :

<meta http-equiv="refresh" content="300" />

de vos pages d’actualités.

Il est pour ma part insupportable de ne pas pouvoir gérer ma lecture comme bon me semble, je peux être interrompu dans mon fil de lecture de l’article pour X raisons, mais en aucun cas ma lecture doit être interrompue par un rechargement non sollicité de la page en cours de lecture.

Si vous faites cela pour mettre à jour les commentaires en bas de page, c’est inutile voir ridicule.

  • La mise a jour des commentaires peuvent se faire sans un rafraichissement complet de la page (Cas d’utilisation d’AJAX utile/raisonnable) même si cela peut entraîner une problématique identique lors de la lecture d’un commentaire.
  • La mise à jour des commentaires peuvent se faire via un bouton, ce qui permet au lecteur de gérer lui même sa lecture.
  • virer les commentaires qui sont quasi tous inutiles, mal écrit, terrain à troll et à guerre de tranchés (Cette dernière solution est sans doute la meilleure solution)

A bon entendeur.

MaJ du 09 novembre 2009
Tentatives accessibles propose d’autres solutions à ce problème

Par Nicolas Desaleux. un commentaire aucun rétrolien

Ergonomie des commentaires des journaux web

15/12/2008, 11:41. Coup de gueule

Suite aux lectures répétées des informations publiées sur Le Monde ou sur le Nouvel Obs, je suis de moins en moins enclin à lire les commentaires qui peuvent être, soit dit en passant, pertinents voire intéressants.
Messieurs, qui developpés, ces sites, faites preuve d’expertise en n’effectuant pas bêtement des tâches que l’on vous donne.

Lire la suite

Par Nicolas Desaleux. aucun commentaire aucun rétrolien

Edition ENI ou le cordonnier mal chaussé

09/12/2008, 19:14. Coup de gueule ENI Presse

Comment peut on être une maison d’édition spécialisé dans l’informatique et avoir de tel carence informatique. Je vais vous décrire le processus d’achat afin d’acheter un livre chez eux.

Lire la suite

Par Nicolas Desaleux. aucun commentaire aucun rétrolien

Comment être exaspéré par les fora et mailing lists

02/12/2008, 19:47. Coup de gueule PHP

PHP est devenu un langage tellement abordable que tout le monde se permet de dire être développeur ou se veut de le croire. Cependant la masse de personnes compétentes dans le milieu est faible. Pour vous rendre compte, faites le tour des fora PHP et/ou des mailing lists. Il y a de quoi rigoler

Lire la suite

Par Nicolas Desaleux. aucun commentaire aucun rétrolien

Fil des billets
Fil des commentaires