Alban JAMESSE

Alban JAMESSE
Responsable E-commerce

#ecommerce, #internet &Co

   

Tombé dans le commerce tout petit, puis dans l'internet un peu plus grand;
Je fais du e-commerce activement depuis 2008.

Écoutez moi tous les matins sur Goood Morning Web

Découvrez mon CV  
français - anglais

Contactez moi  
+33(0) 687.007.697


Votre message a bien été envoyé.

Votre message N'A PAS été envoyé.
Un problème est survenu. N'hesitez pas à me contacter par un autre moyen.

#Derrière les mots

Base de donnée piratée que comprendre/entendre

Base de donnée piratée que comprendre/entendre

Aujourd’hui dans l’actualité : Le site de location de voitures de Système U victime d’un piratage.

Que faut il comprendre derrière ces annonces (trop) fréquentes ?

 

• Dans les communiqués des entreprises s’étant fait dérober des données on lit toujours un message rassurant du type

Aucune donnée de paiement n’a été piratée

Dans les fait c’est normal.
Les données liées aux moyens de paiement ne sont jamais stockées.
Faire autrement serait criminel.

 

• On lit souvent également

Les pirates n’ont pas eu accès aux mots de passe

Là aussi c’est normal.
Dans les faits votre mot de passe n’est pas stocké dans la base de données.

Votre mot de passe est chiffré avec un protocole à sens unique qui ne peut pas être déchiffré, ce qui vient à dire qu’on ne stocke pas votre mot de passe mais qu’on stocke son empreinte.

Exemple.

Votre mot de passe est « cheval« .

Dans la base de donnée on enregistrera « 9f87ec4fda4a91dd564f6bdf1ab301c8 » qui est l’empreinte MD5 (nom du protocole de chiffrement) de votre mot de passe.

À chaque connexion le système chiffrera votre mot de passe pour comparer son empreinte avec celle enregistrée dans la base de donnée.

Mais il existe une faiblesse.
Il existe des bases de données qui enregistrent les concordances mots de passe/empreinte.
Ces bases de données s’appelle des Rainbow table.

Ainsi en cherchant sur Google vous trouverez des rainbow table vous indiquant que l’empreinte « 9f87ec4fda4a91dd564f6bdf1ab301c8 » équivaut au mot de passe « cheval« .

Il est donc très important de ne jamais entrer votre mot de passe dans un site qui vous promet d’analyser la sécurité de votre mot de passe. Il y a de forte chance que ce sitee serve à nourrir une rainbow table.

Donc on met en place une parade et on rajoute un peu plus d’infos dans votre mot de passe sans que vous ne le voyiez ou sachiez.
On dit qu’on sale l’enregistrement.

Par exemple le mot de passe que vous indiquez est toujours « cheval« , mais le système avant d’en faire l’empreinte, ajoute un peu de texte (ou un fichier, car le chiffrage fonctionne aussi avec les fichiers comme une image par exemple !) avant, après ou même dans votre mot de passe.

Dans l’exemple on va ajouter « bonjourbonjour » après la seconde lettre de votre mot de passe avant de stocker l’empreinte de tout ça.

On va donc faire l’empreinte de « chbonjourbonjoureval« .

L’empreinte deviendra « 5f50d426d2fd7c41fa9eba3293104f96« , et la les rainbow table sont tout de suite incapables de retrouver le cheval initial.

Les développeurs qui ne salent pas leurs enregistrement de mot de passe sont eux aussi criminels.

 

• Mais ce qu’on ne lit jamais, c’est à quoi vont bien servir ces données si le pirate ne peut accéder ni à votre carte bleue ni à votre mot de passe.

Dans la plus part des cas ces données seront utilisées pour faire du phishing.

Le phishing c’est le fait de vous envoyer des emails (issue de la base de donnée dérobée), avec tous les éléments pour vous mettre en confiance (toujours issue de la base de donnée), en se faisant passer pour ceux qui se sont fait voler la base de donnée.

Par exemple, avec la base de donnée du site de location de Système U, nous pourrions envoyer un emails à toutes les personnes ayant loué quelque choses ces trois derniers mois, pour leur indiquer qu’ils leur reste à payer quelques euros;
Ou à ceux qui ont une location de prévue dans les prochains jours/semaines, qu’il est nécessaire de payer avant le jour de la location, sur tel site (qui reprend idéalement l’interface du site de location de Système U).

 

Pour aller plus loin, il serait intéressant que les développeurs chiffrent avec des systèmes de chiffrage à double sens, qui peut être déchiffré, tous les éléments stockés en base de donnée.
Ainsi même en cas d’intrusion dans la base de donnée le pirate n’aura accès qu’à des données inutilisables sans la clés de déchiffrage.

Pour aller encore plus loin, si les données n’ont pas a être lues sans l’accord de l’internaute, cette clés de déchiffrage pourrait même être le mot de passe de l’internaute !

PS : Si vous souhaitez savoir si vous figurez dans des bases de données piratées et mises en ligne sur internet, vous pouvez rentrer votre email sur le site HaveIBeenPwned.com