Problème de sécurité avec les mots de passe

[iBelieveHikeAndFlyyyy]

Bonjour tout le monde,

[Message en priorité aux admins du site web pour signaler un problème de sécurité]

J'ai vu en m'inscrivant enfin au forum que mon mot de passe m'est renvoyé par mail. J'imagine bien que la majorité des parapentistes ne sont pas des cadors de l'informatiques et de sa sécurité, mais renvoyé comme cela un mot de passe est une bien bonne erreur (Assez commune sur les vieux sites web).
Je m'explique premièrement cela veut dire que le mot de passe de tous les utilisateurs sont au moins à un moment dans leur boite mail (Si ce n'est tout le temps s'il n'est pas supprimé). Cela veut dire que n'importe qui qui a accès à une des boites mails peut trouver ce mot de passe. Comment ? En profitant de failles dans les services des fournisseurs de mail, ce n'est pas forcément courant mais cela arrive (https://fr.wikipedia.org/wiki/Yahoo!#Vol_de_donn%C3%A9es) ou tout simplement si cet utilisateur utilise un mot de passe trop faible sur son compte mail.
Bon maintenant que l'on voit que quelqu'un peut pirater une boite mail, que pourrait il faire avec le compte du Chant du vario ? Sur le forum pas grand chose à par balancer du spam troller les sujets de discutions d'accord. A votre avis combien d'utilisateur du forum utilise le même mot de passe (ou presque) pour plusieurs comptes sur internet (ou à leur travail) ? Là on peut arriver dans un état un peu plus critique.

Au vu de la situation, il est possible aussi de réfléchir à comment sont stockés les mots de passe dans la base de données du forum. On reçoit notre mot de passe en clair, cela veut dire que le forum le détient à un moment, soit il "rédige"  en réponse immédiate de l'inscription et sécurise le mot de passe ensuite. Soit il stocke aussi le mot de passe en clair et là c'est maintenant une très grosse erreur. Un mot de passe doit être stocké après être passé par un algorithme ne permettant pas de retrouver le mot de passe à partir de la donnée stocké, même pour le forum (http://www.coopernet.fr/infos/securite/gerer-mot-de-passe).
Dans l'éventualité où les mots de passe sont stockés directement en clair, lorsqu'un mec arrivera à pirater la base de données, tous les mots de passe seront récupéré en même temps, ce qui décuple le risque précédement explique. 

Bon j'imagine que vous vous dites que je viens bien vous faire chier pour rien, mais gardez bien en tête que vous ne voyez pas les risques et comment tout cela est possible, d'autres le savent et vous en remercie ! Inutile de leur rendre la tâche facile.

Je rajoute en lien quelques liens:
- Des recommandations sur la gestion des mots de passe par la CNIL: https://www.cnil.fr/fr/authentification-par-mot-de-passe-les-mesures-de-securite-elementaires
- Pour tous les visiteurs... et tous les autres, on site permettant de tester si des mots de passe de comptes utilisé par une adresse mail apparait dans les piratage connu (Tester tous c'est rapide et très utile): https://haveibeenpwned.com/

Sur ce bonne journée et bons vols à tous !

[piwaille]

Bonjour .. et merci pour ton alerte

Je te confirme que, dans la base de données, les mots de passe sont cryptés. Le mot de passe est donc envoyé lors de l'inscription.

Je confirme aussi que c'est une très bonne idée d'avoir un mot de passe pour chaque site (ou au moins une logique de création de mot de passe qui permet de créer des mots de passe uniques, sachant qu'il faudrait avoir plusieurs schémas de génération de mot de passe selon plusieurs secteurs)

[montblanc]

Bonjour .. et merci pour ton alerte

Je te confirme que, dans la base de données, les mots de passe sont cryptés chiffrés. Le mot de passe est donc envoyé lors de l'inscription.

Je confirme aussi que c'est une très bonne idée d'avoir un mot de passe pour chaque site (ou au moins une logique de création de mot de passe qui permet de créer des mots de passe uniques, sachant qu'il faudrait avoir plusieurs schémas de génération de mot de passe selon plusieurs secteurs)

Le soucis c'est qu'avec smf1 on ne peut pas désactiver ce putain de mail qui ne sert à rien.
Je dois faire un passage en version smf2 d'un forum qui est en version 1, je te dirais si c'est chiant et si ça vaut le coup ...

[piwaille]

ah ben j'ai déjà la réponse par rapport au chiant !
c'est juste pas faisable sur le chant du vario. J'ai fait tourner plusieurs proto de migration, à chaque fois la migration de la BDD foire (elle est trop grosse)

[Hub]

Y'a pas moyen de trouver le bout de code qui envoie ça, et de le hacker (commenter la ligne kivabien) ?

[montblanc]

Y'a pas moyen de trouver le bout de code qui envoie ça, et de le hacker (commenter la ligne kivabien) ?

Si c'est faisable assez facilement. Après faut plus faire de mises à jour ... mais ça c'est facile cette branche 1 du forum n'a plus de mises à jour ...

[montblanc]

ah ben j'ai déjà la réponse par rapport au chiant !
c'est juste pas faisable sur le chant du vario. J'ai fait tourner plusieurs proto de migration, à chaque fois la migration de la BDD foire (elle est trop grosse)

Tu importes ta base chez toi. Tu fais la migration de la base sur ta machine, et tu la réimporte (avec le script BigDump qui mouline l'import SQL directement sur le serveur sinon c'est mort : https://www.ozerov.de/bigdump/ )

[iBelieveHikeAndFlyyyy]

J'y repensais pour supprimer le mot de passe du mail d'inscription, il doit suffir de trouver dans le template de mail la ligne où il apparait et de la supprimer. Un simple "grep -r" avec les premiers mots de la ligne sur le dossier racine du site web permettra de trouver le bon fichier.