Les services techniques de Skyrock.com ont confirmé que les mots de passe des 32 millions de membres inscrits sur la plate-forme, et notamment ceux de la plate-forme du gouvernement Waka, sont stockés en clair. Ils n'y voient cependant pas un problème de sécurité, alors qu'une faille a été exploitée qui a pu permettre d'accéder à l'ensemble des mots de passe.

Skyrock, Waka, Vie privée

Samedi, nous rapportions que le site du gouvernement Waka hébergé par Skyrock.com pour consulter la jeunesse a permis à un hacker de stocker des scripts sur les serveurs de l'éditeur, et peut-être d'accéder aux bases de données de la plate-forme. C'est potentiellement l'une des plus graves atteintes à la sécurité des données des utilisateurs jamais connue sur le web français. Mais Skyrock cherche à minimiser l'évènement, et ose même prétendre que le stockage non chiffré des mots de passe de ses 32 millions de membres n'est pas une immense faille de sécurité, mais un service rendu aux utilisateurs. "It's not a bug, it's a feature", comme dit l'adage bien connu des développeurs.
Interrogé par LeMonde.fr, le responsable de la prévention et de la sécurité de Skyrock.com Jérôme Aguesse a défendu le fait que les mots de passe des membres du service ne sont pas chiffrés dans les bases de données, comme l'impose la sécurité la plus élémentaire. "Nous conservons dans une base protégée un historique des mots de passe en clair afin, d'une part, d'assister les utilisateurs lors des vols de mots de passe et, d'autre part, de pouvoir restituer leur mot de passe aux utilisateurs qui le demandent et dont les emails d'inscription ne sont plus valides", indique ainsi Jérôme Aguesse.
Pour Skyrock, le service apporté au client est jugé plus important que la sécurité apportée aux données de ces mêmes clients. Et ce, en dépit des recommandations qu'aurait apportées la CNIL à Skyrock il y a un an demi, lorsque la Commission avait constaté l'absence de chiffrage lors d'un contrôle. Beaucoup d'internautes utilisent en effet le même mot de passe pour tous leurs services en ligne. Il suffit donc de mettre la main sur un mot de passe dans une base données pour accéder ensuite, par exemple, à tous les e-mails d'un utilisateur.
Sur Numerama comme beaucoup de sites internet, les mots de passe des membres ne sont pas stockés. Seul le résultat d'une formule mathématique très complexe (une signature de type SHA-1 ou MD5) appliquée au mot de passe lors de sa saisie est stocké. Si lors d'une nouvelle saisie du mot de passe le résultat obtenu en appliquant la même formule est le même, alors le mot de passe est réputé valide. Sinon, l'utilisateur peut se faire envoyer par mail un nouveau mot de passe généré aléatoirement, dont encore seule la signature est stockée. Ainsi, si nos bases de données sont un jour corrompues par un hacker (personne n'est à l'abri), il saura que le résultat de la formule mathématique est "10", mais pas si le mot de passe est "5+5", "7+3" ou "8+2". Or les algorithmes SHA-1 ou MD5 étant immensément plus complexes, il est virtuellement impossible de trouver le mot de passe à partir de cette signature.
A l'image de son très mollasson message d'alerte, qui parlait de simple "tentative d'intrusion", Skyrock a tenu à préciser au Monde qu'il n'avait "à ce stade aucune certitude sur l'éventuelle action de l'intrus". Mais peu importe. La seule possibilité qu'une intrusion puisse permettre de découvrir les mots de passe de 32 millions d'utilisateurs est inacceptable.
Dans son message d'alerte adressé à ses membres, Skyrock osait écrire que "la meilleure protection contre tout piratage de ton compte est le changement régulier de ton mot de passe". Comme si la faute incombait aux utilisateurs plus qu'à la négligence caractérisée de Skyrock...