Hostbasket, filiale de Telenet, ne crypte pas les mots de passe

Pieterjan Van Leemputten

Quiconque dispose d’un compte chez Hostbasket, a tout intérêt à utiliser un mot de passe unique. Ces données sont en effet conservées sous forme de texte brut.

Quiconque dispose d’un compte chez Hostbasket, a tout intérêt à utiliser un mot de passe unique. Ces données sont en effet conservées sous forme de texte brut.

Le consultant et spécialiste en sécurité Jan Guldentops a constaté le problème en sollicitant un mot de passe oublié. En cas de mots de passe cryptés, l’on obtient un lien pour restaurer le mot de passe, mais lorsqu’ils sont conservés en texte brut, ils peuvent alors être simplement transférés par mail à l’utilisateur. Tel était le cas chez l’entreprise d’hébergement de Telenet.

Inderdaad – @tijd mailt ook de wachtwoorden cleartext door #onbegrijpelijk #so1996 #fail RT @hannesvdvreken: @JanGuldentops De Tijd ook…

— Jan Guldentops (@JanGuldentops) October 8, 2013

Aussi longtemps que la base de données n’est pas piratée, cela ne pose aucun problème, mais il n’empêche, selon Guldentops, que cette approche ne répond pas aux règles de sécurité actuelles. “Le transcription de mots de passe en texte clair, c’est la solution de facilité. Dès que la base de données est piratée, l’on peut accéder directement aux données.”

Guldentops a aussi son avis sur la raison de la conservation non cryptée: “Cela arrive souvent parce qu’il est alors facile de transférer ces mots de passe vers un nouveau système en cas de migration.”

Il ajoute que vous pouvez contrôler vous-même si un service en ligne crypte bien les mots de passe. Lorsque vous sollicitez un mot de passe et que vous l’obtenez sans problème dans votre boîte mail (au lieu de recevoir un lien pour modifier votre code), cela signifie que les données sont insuffisamment protégées.

Telenet confirme que les mots de passe ne sont pas cryptés: “Hostbasket est une entreprise qui existe depuis 2000 déjà. Depuis lors, Hostbasket offre en effet à ses clients dans le portail clientèle (My Account) accès aux mots de passe non-cryptés pour permettre ainsi au client d’accéder aisément à son propre mot de passe. Pour les clients DNS actuels, tel est donc aussi le cas.”

Telenet fait en outre savoir que les mots de passe pour de nouveaux produits ne sont pas reproduits, alors que tel est bien encore le cas pour les nouveaux comptes clients. C’est ainsi que notre rédaction a créé hier un compte-test chez Hostbasket, pour ensuite recevoir le mot de passe séparément par courriel.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire