Jump to content

Stockage des MDP des comptes client chez Orange/Sosh


Recommended Posts

Bonjour à tous,


 


Ancien client Orange passé chez Free puis revenu chez Sosh notamment pour l'option Europe et le réseau Orange non bridé, je suis resté avec un goût amer concernant mon expérience avec Orange ayant espéré que la situation se soit améliorée ces 2-3 dernières années.


 


Malheureusement, je viens de faire une découverte assez triste quant au soin qu'Orange/Sosh ne porte pas à la confidentialité de mes données. N'étant pas sûr de quels logins utiliser pour mon compte (j'avais un numéro temporaire en attendant la portabilité) j'ai cliqué sur "mot de passe perdu" et quelle ne fut pas ma surprise que de recevoir en CLAIR mon mot de passe par SMS au lieu d'un lien m'invitant à réinitialiser mon mot de passe.


 


Que se passe-t-il si Sosh se fait pirater ses serveurs avec les clefs/méthodes permettant de déchiffrer nos mots de passe ? Si Sosh/Orange est capable de me renvoyer mon MDP en clair c'est qu'il est soit stocké en clair soit la méthode de stockage utilise une méthode facilement réversible. Je n'arrive même pas à imaginer qu'en 2014, une entreprise comme Orange (qui a en plus un lourd passif concernant son manque de sécurité) stocke les mots de passe de ses clients en clair sur ses serveurs ou du moins sans l'aide de méthodes telles que DES, RSA, AES récent etc. avec un gros sel stocké sur un autre serveur.


 


J'attends donc une réponse d'Orange/Sosh convaincante avant de me tourner vers la CNIL pour une demande d'informations.


 


Si mes propos sont avérés cependant, mon expérience Sosh (et ceux des personnes que j'allais entrainer avec moi de free vers Sosh) va être bien courte...


 


Trouvez-vous normal de faire ce genre de constats ? N'est-il pas obligatoire pour les entreprises de sécuriser avec un niveau minimum de sécurité les données des utilisateurs ? N'existe t il pas des chartes de la CNIL permettant de reconnaitre les entreprises sérieuses des moins sérieuses ?


 


Merci pour vos réponses.


Link to comment
Share on other sites

Le fait qu'Orange puisse te renvoyer ton mot de passe ne veut pas dire qu'il est stocké en clair dans la base de données. Celui-ci peut y être fortement chiffré et puis déchiffré uniquement avant de te l'envoyer ou de l'utiliser. D'ailleurs, d'autres informations tout aussi sensible sont forcément chiffrées et non hashées puis salées car la réversibilité est obligatoire  : les coordonnées bancaires par exemple.

Là où cette technique pose un problème, c'est quand le message contenant le mot de passe circule en clair sur le réseau.

Certes, un bon Hash+sel ajoute une sécurité supplémentaire dans le sens où l'information est inconnue et théoriquement non retrouvable. Mais stocker un mot de passe fortement chiffré n'est pas une aberration.

 

Après, quant à savoir comment Orange fait les choses, il faut y être pour voir.

 

PS : la font grise, c'est pas pratique pour les skins foncés

Link to comment
Share on other sites

Certes mais par nature un mot de passe n'a jamais besoin d'être déchiffré contrairement aux données bancaires. Sur le piratage bancaire j'ai une assurance, sur le piratage de mon compte client je n'ai pas d'assurance donc aucun dédommagement possible si jamais il advenait que...

 

C'est la même histoire avec Apple et le chiffrement qui est du coté client et non réversible par Apple. Ca, c'est de la sécurité. J'en n'attends pas moins pour mon mot de passe pour le 7eme opérateur mobile mondial.

 

PS: la fonte grise, je n'ai rien paramétré c'est par défaut.

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.

×
×
  • Create New...