De nos jour, on parle de plus en plus de sécurité sur internet. Malgré beaucoup d’avertissements et d’informations sur le sujet, on continue de constater que quelques sites web ne respecte pas les réglés de sécurité les plus importantes et les plus simples.

Pour les plus ignorant d’entre vous, Sur un site internet Web 2,0, on observe la plupart du temps que le gentille webmaster qui a construit le site demande à tout bon utilisateur de choisir un mot de passe pour s’enregistrer. Ce mot passe qui est pour vous comme la clé de votre voiture ou de votre maison, est stocké dans une base de donné (dans la plupart des cas une base MySQL). En théorie pour diverse raison de sécurité ce passe doit être contenue dans la base de donné sous forme crypté. Le principe du cryptage de mot de passe est simple, d’une chaine de caractère x(c.a.d mot de passe non-crypté) par cryptage on obtient une chaine de caractère y(c.a.d mot de passe crypté) donc on peut allez de x à y, mais avec la même chaine de caractère y on ne peut pas retrouver la chaine de caractère x donc on ne peut pas aller de y à x. c’est un cryptage irréversible.

l’intérêt du cryptage est d’empêcher quelqu’un de connaitre votre mot de passe.

Pour en revenir à Newegg, c’est sur le blog de « Ashercodes » qu’on trouve un article qui nous raconte l’histoire du blogueur qui a l’honneur d’échanger avec le service client à cause d’un problème technique.  Cette histoire  nous donne pleins de bonnes raisons de penser que Newegg ne crypte pas les mots de passe.

L’histoire raconte que le blogueur avait un problème d’identification sur le site, pour faire simple il utilise des adresse mail avec une syntaxe de ce type moi+newegg@example.com (Par exemple gmail accepte cette syntaxe) ce qui lui permet d’identifier dans sa boite mail les mails en provenance de Newegg. Mais le mauvais Webmaster qui à par définition codé le site permet l’utilisation de cette syntaxe à certaine endroit du site mais pas de partout. Le blogueur qui ne fait pas les chose a moitié a donc contactée le service technique pour trouver une solution.

Aux cour de ses échange la personne chargé des relation client de chez newegg a été en mesure de lui envoyer sont mot de passe.

 Delivered-To: j + newegg@example.com
 Message-Id: <4ddc1c9a.41312b0a.306d.1602SMTPIN_ADDED mx.google.com @>
 From: "Mav (cs.us1.Newegg)"
 Pour: «j + newegg@example.com"
 Sujet: Mot de passe Newegg
 Thread-topic: Mot de passe Newegg
 Date: Tue, 24 mai 2011 21:01:12 0000

 Veruca

 Mav
 Public Image professionnelle

 9997 Rose Hills Road
 Whittier, CA 90601

C’est a cause de ce mail qu’on peut penser que les mots de passe ne sont pas crypté, en effet si les mots de passes étaient crypté comme il aurai du l’être, personne de Newegg aurai put le lui envoyer.

Une autre hypothèse es que les mots passe sont belle et bien crypte mais de maniéré obsolète ainsi newegg serai capable de trouver le mots de passe de n’importe qui.

Laisser un commentaire


Blogroll