Le MoNdE dE XaV'S

La SRC aurais besoin d’un cours de sécurité…

Ce matin j’ai reçu dans ma boîte de courriel un message qui ma donné des frissons dans le dos. J’ai encore énormément de difficulté à m’imaginer qu’en 2009, on hash même pas les mots de passe. Mais j’ai énormément de difficulté qu’en 2009, on envoie en texte clair un mot de passe par courriel. Malheureusement, c’est pas la «petite binnerie d’à côté» mais notre très chère Radio-Canada (SRC).

Ceci est une capture d’écran qui montre le dit courriel. Évidement, je ne suis pas suffisament «blondasse» pour laisser la dite information sans être cachée. Cependant, ce message (qui est venu sans demande de retrouver un mot de passe) me fais poser de grave questions par rapport aux données des utilisateurs qui sont inscrit au site de Radio-Canada.

Common, en 2009, conserver des mots de passe dans la base de données, en texte clair… faut être très incompétant (désolé, j’ai pas de meilleur mot qui me vient à l’esprit). Et encore, idéalement il faut se faire un hashage du mot de passe avec une donnée qui ne change pas (exemple : courriel, userid, etc.) afin de s’assurer de se protéger des «rainbow tables». C’est une pratique de sécurité de base.

Et en plus, de l’evoyer par courriel, c’est loin d’être sécuritaire. Ce protocole de communication envoie les information en clair. Ceci signifie que je n’aurais qu’à mettre un écouteur dans un réseau (en particulier un réseau déservi par des switches) et d’attendre qu’une personne télécharge son message (via POP) et voilà j’ai le contenu du message. Et surement que de capter ça dans une communication réseau sans fil non crypté, c’est une farce tellement que sa devrais être facile (mais je ne gosse pas dans ça, alors je ne peut pas parler par expérience vécue).

En espérant que la SRC voit mon billet et agisse rapidement !