S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

[MàJ] Fuite de mots de passe : le Figaro détaille les raisons techniques

L'expression WTF prend tout son sens...

Mise à jour :  Le Figaro a finalement publié un billet détaillant les raisons de cette faille, qui aura au final touché seulement 168 comptes parmi ses utilisateurs. On sera au passage rassuré sur le fait que les mots de passe sont effectivement stockés de manière chiffrée.

Korben vient de remonter une information plutôt inquiétante pour les membres enregistrés du Figaro : leurs mots de passe semblent apparaitre en clair via une simple requête Google. En effet, les développeurs du site d'information ont cru bon de laisser celui-ci dans les URL du site sur certaines pages, qui ont en plus le malheur d'être référencées par le moteur de recherche.

Si vous êtes membres du Figaro, nous vous invitons donc à changer ce dernier au plus vite, en attendant une réaction de l'équipe du Figaro, notamment si ce mot de passe vous sert aussi pour d'autres services. On en profitera d'ailleurs pour vous rappeler que cela ne devrait jamais être le cas, et que des outils tels que KeePass vous aideront à en générer et à en stocker pour chacun de vos comptes en ligne. 

 

Figaro Fuite mots de passe

 

On peut néanmoins se demander comment l'équipe technique a pu laisser passer un tel trio sans que des éventuels soucis de sécurité n'aient été soulevés :

  • Affichage du mot de passe en clair
  • Utilisation dans une URL
  • Référencement d'une page avec accès abonné

Rapidement, il a été indiqué que l'équipe technique traitait le suejt, et était en train de régler les choses, par des membres de la rédaction :

 

La thèse d'une attaque informatique évoquée, mais rapidement mise de côté

Un message a ensuite été publié, indiquant que moins d'1 % des membre était concerné, et évoquant la piste d'une potentielle attaque, ce qui semble assez peu probable étant donné la nature de la faille. Un point qui a rapidement été écarté via une mise à jour  :

 

« Une faille informatique a permis de consulter en clair les mots de passe d’un petit nombre (moins d’1%) des internautes inscrits au Figaro.fr et ayant déposé récemment des commentaires. Alertés le 10 juillet au soir, les équipes techniques du Figaro.fr travaillent activement à la correction de cette faille et enquêtent sur la piste d’une éventuelle attaque informatique.

 

Par mesure de sécurité, les mots de passe des internautes présents sur les moteurs de recherche seront réinitialisés d’office par nos équipes. Un nouveau mot de passe leur sera communiqué par email. Nous invitons également les membres Mon Figaro à changer leur mot de passe (icône représentant un écrou tout en haut à droite du site une fois connecté, cf capture ci-dessus).

 

En parallèlle, Le Figaro.fr alerte les équipes de Google pour supprimer ces pages de l’index du moteur de recherche.

 

N’hésitez pas à nous contacter si besoin à cette adresse : animation@lefigaro.fr »

 

On regrettera tout d'abord que plus de 12 heures après avoir été alerté, rien n'ai été coupé, et que le Figaro attende que du bruit ait été fait avant de réagir auprès de ses abonnés. Il en est de même pour la procédure qui aboutit à l'envoi d'un nouveau mot de passe, en clair, par un simple mail. Nous vous recommandons donc de le changer dès sa réception. Rajoutons qu'il est impératif de changer votre mot de passe sur l'ensemble de vos services si vous êtes touchés, certains ayant déjà pu rentrer dans les comptes mail ou Facebook de plusieurs membres.

Les raisons de la faille : tout d'abord, l'utilisation d'une vieille version de Drupal

Plus tard dans la soirée, l'équipe technique a détaillé les raisons de cette faille dans un billet complet qui devrait intéresser les développeurs en herbe. Pour faire simple, c'est le système de gestion de contenu (CMS) Drupal qui est utilisé pour la section communautaire du site le Figaro. Celui-ci a été touché par une faille identifiée dans sa version 6 il y a deux ans et rapidement corrigée depuis.

 

Elle consiste en la transmission de l'ensemble des variables d'une page via l'URL dans le système de pagination, mot de passe compris. Ce comportement a été entièrement retravaillé dans Drupal 7 (publié l'année dernière), mais dans la version 6, la variable du mot de passe avait simplement été exclue.

Personnalisation du fomulaire + cache maison = mots de passes indexés

Malheureusement, l'équipe du Figaro a décidé de retravailler certains éléments afin de les adapter à son site, sans passer à Drupal 7 depuis. Un fomulaire spécifique a été créé et le champ de mot de passe étant nommé différement, il n'a pas été exclu et apparaissait donc dans les URLs. Une faille qui serait sans doute passée innaperçu si Google n'existait pas et si un système de cache n'avait pas été mis en place, reprenant leur mot de passe au sein des liens de pagination pour l'ensemble des utilisateurs suivants, que le moteur de recherche pouvait alors indexer.

 

Il fallait donc, pour qu'il soit touché, que l'utilisateur : 

  • Se connecte sur le site
  • Qu'il soit à l'origine des pages générées par le cache
  • Que le robot Google passe à ce moment là, avant l'expiration du cache des données

Cette combinaison était tout de même assez malheureuse, mais n'a donc au final touché que 168 personnes, qui ont été contactées par le service client, sans que le Figaro n'en dise plus. On sera tout de même rassuré d'apprendre que, contrairement à ce que nous avions pu penser au départ, les mots de passe ne sont pas stockés en clair. Reste qu'une telle pratique est encore trop courante sur de nombreux sites, un point que nous devrions rapidement évoquer.

David Legrand

Rédacteur en chef adjoint et responsable des L@bs de Nancy. Geek de l'extrême spécialisé dans l'analyse des produits high-tech, les réseaux sociaux et les trios d'écrans. Adepte du libre.

Google+

Publiée le 12/07/2012 à 08:30

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 279 commentaires

Avatar de Lochnar INpactien
Lochnar Le mercredi 11 juillet 2012 à 13:00:31
Inscrit le mardi 20 novembre 07 - 1001 commentaires
Oo passage d'info sensible en GET ?
Avatar de ano_635301045460992542 INpactien
ano_635301045460992542 Le mercredi 11 juillet 2012 à 13:02:10
Inscrit le mardi 13 octobre 09 - 4184 commentaires
Et le site est payant en plus, non ?
Avatar de geekounet85 INpactien
geekounet85 Le mercredi 11 juillet 2012 à 13:03:19
Inscrit le mercredi 9 juin 04 - 8092 commentaires
Oo passage d'info sensible en GET ?

comment on dit déjà?
ha oui : EPIC FAIL!
Avatar de ano_635110013168370034 INpactien
ano_635110013168370034 Le mercredi 11 juillet 2012 à 13:03:21
Inscrit le mardi 19 juillet 05 - 8330 commentaires
Commentaire de Quintus supprimé le 11/07/2012 à 13:08:18 : Liens inappropriés
Avatar de faaf78 INpactien
faaf78 Le mercredi 11 juillet 2012 à 13:04:15
Inscrit le lundi 19 avril 04 - 138 commentaires
beaucoup vont expliquer leur commentaire raciste par un vol de compte...
Avatar de tAran INpactien
tAran Le mercredi 11 juillet 2012 à 13:06:41
Inscrit le samedi 21 mai 05 - 3859 commentaires
par contre, vous auriez pu cacher l'URL, c'est pas malin, parceque même si le figaro corrige le problème, les login/password seront toujours référencé dans google
Avatar de ActionFighter INpactien
ActionFighter Le mercredi 11 juillet 2012 à 13:06:49
Inscrit le lundi 7 février 11 - 7510 commentaires
Et le site est payant en plus, non ?

Non, certains article sont en accès gratuit, et tu peux créer un compte pour commenter, moi-même j'en ai un mais je ne suis pas abonné
Avatar de Jarodd INpactien
Jarodd Le mercredi 11 juillet 2012 à 13:07:09
Inscrit le mardi 26 octobre 04 - 19539 commentaires
La vache en deux clics on a l'e-mail et le password des comptes Mais comment est-ce possible de laisser à ce point des trous

Si vous êtes membres du site, nous vous invitons donc à changer ce dernier au plus vite


Ca ne sert à rien tant que le Figaro n'a rien corrigé : le nouveau mdp peut aussi remonter dans l'url.
Commentaire de tAran supprimé le 11/07/2012 à 13:16:23 : Citation d'un commentaire supprimé
;