Oops... I did it again...

Par Sid, lundi 26 janvier 2009 à 13:08 :: (In)Sécurité
Lu 7370 fois :: #319 :: rss :: atom :: English

Monster

'est ce que doivent se dire les gens de chez Monster, après s'être encore fait voler des données utilisateur. Cette fois, ils se sont fait plier leur base de données. Et sévèrement qui plus est puisque même USAJobs est touché. Voilà qui doit laisser pensif plus d'un utilisateur.

D'après la note publiée sur le site, on trouve parmi les données touchées identifiants, mots de passe, identités complètes, adresses email ou encore numéros de téléphone. Mais vous pouvez dormir sur vos deux oreilles braves gens, votre CV n'est pas compromis, c'est bien précisé en gras. Ouf ! Genre le truc pas disponible ailleurs et qu'on ne veut surtout pas laisser connaître. Nous voilà rassurés, ne se sont faites voler que des données personnelles, rien de plus...

Update (28 janvier 2008) : d'après Écrans, il y aurait entre 4 et 4,5 millions de comptes touchés, selon les sources. Joli score...

En fait, il y a deux choses qui me dérangent particulièrement dans cette histoire. La première, c'est le laisser-aller dans la conception de la base de données. Comme l'auteur de la news sur Slashdot, la possibilité de pomper des mots de passe en clair me laisse pensif. Je pourrais me contenter d'un commentaire laconique du genre "mais putain faut vraiment être trop con pour laisser des mots de passe en clair dans une base de données", mais ce serait un poil lapidaire. En particulier quand la plupart des SGBDR viennent avec une jolie collections de fonctions particulièrement adaptées à ce genre d'usage, en particulier des choses comme MD5() ou SHA1(). Il est vrai que c'est trop difficile d'authentifier les gens avec quelque chose d'aussi simple que :

SELECT * FROM users WHERE login='$login' AND pass=SHA1('$pass')

Quant à écrire le script qui va vous hasher tout les mots de passe de la table users, je n'ose même pas y penser... Et puis ce n'est pas comme si votre langage de programmation Web favori ne fournissait aucune fonction similaire...

D'aucuns rétorqueront qu'un germe ne ferait pas de mal, ce qui est complètement vrai. Une solution pourra être de se tourner vers des fonctions plus spécialisées, quand elles sont disponibles, comme ENCRYPT() pour un MySQL tournant sur Unix, ou se faire sa propre fonction sur un modèle bien éprouvé comme celui de md5-crypt.

Bref, les solutions, plus ou moins robustes, ne manquent pas pour ne pas laisser de mots de passe en clair dans une base de données. Je veux dire, une application grand public comme Dotclear 2 hashe ses mots de passe en HMAC SHA1. Même Wordpress utilise du MD5 avec un germe depuis la 2.5 paraît-il... C'est dire...

La seconde chose qui me titille, c'est le contenu du communiqué qui fleure bon la langue de bois et le foutage de gueule. Rien que l'introduction :

As is the case with many companies that maintain large 
databases of information, Monster is the target of illegal 
attempts to access and extract information from its database. 
We recently learned our database was illegally accessed and 
certain contact and account data were taken, including Monster 
user IDs and passwords, email addresses, names, phone numbers, 
and some basic demographic data.

On est un gros site avec pleins de données donc on se fait attaquer régulièrement. Genre ça en serait presque normal qu'ils se soient fait compromettre. Mais on vous jure, dès qu'on a su, on a pris les mesures qui s'imposaient. Lesquelles ? On en sait pas. Par exemple, est-ce qu'ils ont implémenté un hash de mot de passe ? No se. Une bonne mesure aurait pû être de communiquer sur l'ampleur des dégâts, ou prévenir les personnes impactées. C'est n'est apparemment pas au programme non plus...

We continue to devote significant resources to ensure Monster 
has appropriate security controls in place to protect our 
infrastructure, and while no company can completely prevent 
unauthorized access to data, Monster believes that by reaching 
out to job seekers, the company can help users better defend 
themselves against similar attacks.

Moi je crois surtout que si, effectivement, personne ne peut, à un moment ou à un autre, éviter de se faire déchirer, ça devrait inciter à réfléchir un peu à des mesures, souvent simples, de protection en profondeur, pour reprendre l'expression consacrée. Comme par exemple ne pas stocker de mots de passe en clair... Se faire pirater, ça arrive. Ce n'est pas vraiment là le soucis. Le vrai problème tient aux dimensions que ça prend parce que le système n'est pas conçu pour encaisser ce type d'incident.

Je râle, je râle, mais depuis dix minutes, je ne suis plus utilisateur de Monster, puisque ce site permet à présent de détruire son compte, fonction que je me suis empressé d'utiliser. Ce n'est pas comme si ma dernière mise à jour datait de mi-2004, le jour où j'ai effectivement remplacé la plupart des champs sensibles par des conneries. Ceci étant, je remercie Monster de sa sollicitude quand il m'avertit au moment de supprimer mon compte :

Sans votre compte, vous ne pourrez plus postuler aux offres 
aussi facilement et rapidement qu'aujourd'hui.

Si ça permet de rendre plus difficile la collecte de mes informations personnelles, je crois que je parviendrai à me faire une raison...

Et de me demander pourquoi je supprime mon compte. Hummm, en voilà une question qu'elle est bonne...

Note : 4.9/5 pour 8 votes

Trackbacks

1. Le jeudi 29 janvier 2009 à 09:49, de Armetiz.info

Et si monster.com se faisait pirater ?

4.5 Millions de comptes piratés ? Des mots de passe stockés en clair ? Une identité numérique en péril ? Un scénario catastrophe qui rappelle l'histoire d?anna. Le problème, c'est qu'il ne s'agit pas d'une histoire mais d'un fait...

2. Le mardi 10 février 2009 à 14:26, de CNIS Mag

Fuites d'information : l'orchestration de l'indifférence

Le refus des responsabilités porte un nom. Un nom qui, étrangement, se retrouve dans toutes les cultures. Mektoub dans les pays arabes, Fatalitas chez les Chéribibiens, Fatum pour les victimes des tragédies antiques, Destin dans le langage courant...

3. Le mardi 10 février 2009 à 14:29, de CommunauTech

Fuites d'information : l'orchestration de l'indifférence

Le refus des responsabilités porte un nom. Un nom qui, étrangement, se retrouve dans toutes les cultures. Mektoub dans les pays arabes, Fatalitas chez les Chéribibiens, Fatum pour les victimes des tragédies antiques, Destin dans le langage courant...

4. Le mardi 10 février 2009 à 14:31, de Le MagIT

Spécial sécurité : fuites d'informations, la faute à pas de chance ?

Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, zoom sur l'étrange indifférence qui entoure les affaires de fuites d'information. Avant de faire un détour vers le prochain mardi des rustines...

5. Le dimanche 8 mars 2009 à 23:12, de Haypo

Sécurité

* DatalossDB.org
* Oops... I did it again... (perte monster.fr)

6. Le jeudi 3 décembre 2009 à 20:53, de Supinfo - Laboratoire Linux

Stocker les mots de passe - Des mauvais exemples ?

4.5 Millions de comptes piratés ? Des mots de passe stockés en clair ? Une identité numérique en péril ? Le problème, c'est qu'il ne s'agit pas d'une histoire mais d'un fait...

Les trackbacks pour ce billet sont fermés.

Commentaires

1. Le lundi 26 janvier 2009 à 14:23, par Vincent

Ouais enfin WordPress si ça a pas change il suffit du md5 pour s'authentifier...

Réponse de Sid

Je n'ai pas regardé ce truc là. Mais si c'est effectivement du genre t'as juste besoin du MD5 pour construire un cooky de session valide, bon ben voilà...

2. Le lundi 26 janvier 2009 à 15:21, par jmdesp

Pour ceux qui pensent encore utiliser seulement le MD-5 (sous une forme ou une autre, y compris caché dans un cooky), les rainbow table rendent cela vraiment dangeureux. Il faut le salt !

Quelques liens si besoin:
http://gdataonline.com/
http://www.freerainbowtables.com/fr/tables/md5/
http://md5.rednoize.com/

Réponse de Sid

C'est valable pour toutes les fonctions de hashing qui n'utilisent pas de germe, avec en tête NTLM, ou comme tu le dis un MD5 simple, voire même un SHA1. Pour les cookies, la problématique me semble quelque peu différente, parce que ça dépend aussi de la manière dont on le construit. Parce que derrière, tu peux tout à fait te retrouver dans une situation de type pass-the-hash... Auquel cas tu n'as même pas besoin de récupérer le mot de passe en clair...

3. Le lundi 26 janvier 2009 à 15:38, par Vincent

@jmdesp:

http://gdataonline.com/
http://www.freerainbowtables.com/fr/tables/md5/
-> Search in 53,653,949 md5/sha1 hashes
-> Database contains 1,133,760,931 unique entries.

http://www.hardware.fr/medias/photos_news/00/23/IMG0023841.gif
-> 460,000,000 / second (sans le distribuer)

Faut vivre avec son temps hein. Les rainbows c'est has been. :)

Réponse de Sid

EDPR = Elcomsoft Distributed Password Recory

Mais là aussi faut vivre avec son temps. EDPR, c'est soooo last year ! Maintenant c'est BarsWF qu'il faut regarder...

4. Le lundi 26 janvier 2009 à 15:51, par Armetiz

Et pourtant, Monster c'est pas une petite boite... Ca fait vraiment flipper, on dit souvent que le problème vient de l'intérieur et que ce sont les utilisateurs qui ne savent pas gérer leurs identités... Mais pour ceux qui savent gérer leur identité ? Le problème il vient d'où ? du grand n'importe quoi.

J'avais rédigé un scénario se basant sur la problématique du stockage de mot de passe en claire.
http://www.armetiz.info/gestion-mots-de-passe-clair-cryptographie/

5. Le lundi 26 janvier 2009 à 16:15, par Nico

Tu es chanceux, tu as pu "supprimer" ton compte.

Sur de nombreux sites soit l'option n'existe pas, soit on ne te facilite pas la vie...

Mais je me demande surtout combien de sites n'effacent pas vraiment le compte et les donnees qui lui sont liees, en plus de garder x revisions de tes informations.

Le bon vieux "add-only" - syslog | /dev/imprimante_matricielle - du parano des annees 80, version sites sociaux 2009.

Nico.

6. Le lundi 26 janvier 2009 à 16:59, par windu.2b

Quant à écrire le script qui va vous hasher tout les mots de passe de la table users, je n'ose même pas y penser...
Le "script" en question ne va pas être dur à écrire : il consiste en 1 seule requête SQL (un UPDATE).

Réponse de Sid

Non !... C'est vrai ?!... Sans déconner ?...

Windu.2b: cette réponse aussi, c'est du second degré ;)

7. Le lundi 26 janvier 2009 à 18:45, par Jean-Philippe

C'est ce qu'on appel une brèche monstrueuse.

Finalement c'est presque décevant la dernière fois qu'ils avaient eu un problème il y avait un virus a la clé pour les utilisateurs finaux. La bof rien pour l'instant.

Ils sont capable de dépenser plus de 3 Millions de $ pour 30sec de pub pour le prochain Superbowl, mais je me demande combien ils dépensent pour leur sécurité informatique, audit etc etc ...

Encore plus intéressant vont ils perdre des clients a cause de ce type d'incident ou finalement tout le monde s'en fiche ?

Réponse de Sid

C'est un peu ça qui laisse un goût amère. Que tout le monde s'en foute. Ou qu'on n'ait pas forcément le choix. Parce que si on se met à la place de quelqu'un qui veut profiter de tels services, finalement, si il est démontré par la pratique que Monster, bof bof, rien ne nous dit que ce n'est pas pire ailleurs...

De manière générale, on se retrouve avec de plus en plus de données personnelles stockées en ligne, pas forcément avec notre accord, avec des niveaux de sécurité qui laissent manifestement à désirer et surtout personne pour nous garantir quoi que ce soit dans ce sens. Et tout le monde s'en fout. Par contre, quand sort un l'article du Tigre sur Marc L., c'est l'étonnement général. Et on ne parle là que de données publiques. On n'ose pas imaginer ce que ça va donner quand ce sera un fichier santé qui va leaker dans la nature, comme c'est arrivé de l'autre côté de la Manche...

8. Le lundi 26 janvier 2009 à 23:09, par TLG

Une telle compromission a aussi des effets de bord non négligeables malheureusement. La plupart des internautes ayant tendance à choisir des mots de passe identiques pour accéder à l’ensemble de leurs sites, ce ne sont pas les cibles qui vont manquer pour ceux qui ont récupéré les mots de passe (et les logins, et les emails, etc). Ca sent l'open bar sur de nombreux comptes Paypal, Gmail & co.

Autant la communauté de la sécurité est sensibilisée à ces problèmes, autant monsieur tout le monde est loin d’imaginer la portée potentiellement monstrueuse d’une telle compromission et ce n’est pas le communiqué laconique de Monster qui va lui mettre la puce à l’oreille.

Bref c’est toujours une catastrophe et ce n’est malheureusement que le début.

Et hop un autre compte Monster en moins.

9. Le mardi 27 janvier 2009 à 07:17, par Vincent

@sid: Il n'est pas distribuable le truc russe si je ne me trompe pas ?

Réponse de Sid

C'est en cours. De toute manière, la distribution du crackage de mots de passe, ce n'est pas à proprement parler du calcul distribué. Tu scindes l'espace de recherche entre tes nœuds et tu les laisses chercher chacun dans leur coin jusqu'à ce qu'un te dise qu'il a trouvé. Ça ne casse pas trois pattes à un canard, tu pourrais faire la même chose avec à peu près n'importe quel cracker à la main. L'intérêt d'EDPR, c'est qu'il a une jolie GUI pour tout gérer.

Sinon, ils sont en train de commencer à bosser sur la version distribuable de BarsWF.

10. Le mardi 27 janvier 2009 à 09:24, par Looic

Cliquer sur un bouton pour supprimer son compte c'est une choses.

Supprimer les données qui vont avec (sauvegardes, externalisations, ...) c'est moins évident...

Réponse de Sid

Tu ne crois pas si bien dire :)

 Vous avez souhaité supprimer votre compte. Toutes vos
 coordonnés personnelles seront supprimées du système. Si vous 
 avez souscrit à des emails de Monster, il faudra jusqu'à 10 
 jours pour que votre nom disparaisse de nos listes d'abonnés.

10 jours...

11. Le mardi 27 janvier 2009 à 09:59, par Vincent

sid:
L'intérêt d'EDPR, c'est qu'il a une jolie GUI pour tout gérer.

Plus une installation en quiet (super pratique pour le distribué) et ne pète pas que les md5.
Le seul désavantage est effectivement que pour le scripter, c'est pas simple.

12. Le mardi 27 janvier 2009 à 11:27, par bartavelle

Et qu'il est lent pour tout ce qui n'est pas GPU. Et qu'il est plein de bugs. Et qu'il ne fait que du brute force bête.

13. Le mardi 27 janvier 2009 à 11:40, par newsoft

Deezer utilise aussi MD5 ... mais mal !
http://news0ft.blogspot.com/2009/01/comment-accder-un-compte-deezer.html

14. Le mardi 27 janvier 2009 à 12:57, par Thomas

Quant au stockage en clair des mot de passe: est-ce une pure négligeance, ou plutôt un choix délibéré de positionner le tradeoff sécurité/utilisabilité en faveur de l'utilisabilité (permettre le renvoi des mots de passe à leur utilisateur)... ?

Je pencherai pour le second... auquel cas ça donne un éclairage un peu différent sur le problème car de nombreux site permettent le renvoi des mots de passe par mail (ce qui implique bien évidemment qu'ils les stockent). Faut-il donc pointer du doigt Monster seul ou plutôt recenser les sites permettant cette "fonctionnalité"... ?

Réponse de Sid

Je dirai que non. Parce que pour supprimer mon compte, j'ai dû recourir à la fonctionnalité de rappel de mot de passe. On te maile l'URL d'une page qui te permet de fournir un nouveau mot de passe :
 Vous avez demandé à modifier votre mot de passe. (Si vous 
 n'avez pas fait cette demande, ignorez cet email.)
 Pour modifier votre mot de passe, cliquez le lien 
 ci-dessous:
 http://mon.monster.fr/password/createnewpassword.aspx?...
Effectivement, beaucoup de sites gardent les mots de passe en clair pour pouvoir le fournir, mais ça ne semble pas être le cas de Monster.

15. Le mardi 27 janvier 2009 à 19:02, par Bertrand

Franchement ya des baffes qui se perdent.

Si une ou deux têtes sautaient dans la DSSI de Monster, peut être que les autres feraient attention par la suite.

Mais comme il ne va rien se passer, personne ne sera incité à faire attention...

Grrrrrrrr

16. Le mercredi 28 janvier 2009 à 10:42, par Kirikou

People never learn...

Réponse de Sid

Dans la SSI, c'est un peu comme dans la finance. Apparemment, on a très peu de mémoire (cf. à 7'38")...

17. Le mercredi 28 janvier 2009 à 14:58, par Kevin

'' Vous avez demandé à modifier votre mot de passe. (Si vous n'avez pas fait cette demande, ignorez cet email.)
Pour modifier votre mot de passe, cliquez le lien ci-dessous:
http://mon.monster.fr/password/createnewpassword.aspx?... ''

Un simple lien http:// ? sans SSL? sans blague?

Eh bindidon, la sécurité chez monster est prise au sérieux.

18. Le mercredi 28 janvier 2009 à 15:09, par dany5

comme tu le dit très bien en réponse au com 8, De manière générale, on se retrouve avec de plus en plus de données personnelles stockées en ligne, pas forcément avec notre accord, avec des niveaux de sécurité qui laissent manifestement à désirer et surtout personne pour nous garantir quoi que ce soit dans ce sens.

et si on commencait par limiter les données personnelles en ligne, ou bien en étant encore plus basique, si on trouvait un moyen, au moins, que ses données personnelles ne soient pas en plusieurs exemplaires un peu partout sur la toile, ça donnerait déja un peu plus de controle : je veux supprimer une adresse mail de mes infos persos, ça m'oblige à me promener sur tous les sites qui l'ont enregistré pour la supprimer... que pensez-vous de l'initiative oauth, portée par google (oui je sais google et vie privée ça peut faire sourire). je trouve que ça va dans le bon sens, en enlevant un peu du contrôle des données de l'hébergeur vers la personne concernée (moi utilisateur).

19. Le mercredi 28 janvier 2009 à 17:08, par newsoft

@dany5: le reste du monde (hors Google) utilise OpenID ... même Microsoft ! :)

20. Le jeudi 29 janvier 2009 à 10:17, par R

OpenID pose beaucoup plus de problemes de securite qu'il n'en resoud.

21. Le samedi 31 janvier 2009 à 14:01, par Tuxicoman

Le stockage des mots de passe en clair dans la BDD a des avis partagés par d'autres : http://www.ejabberd.im/plaintext-passwords-db. Notamment que ca évite d'envoyer le mdp en clair.

Réponse de Sid

C'est une boutade ou quoi ? Je ne vois pas en quoi stocker les mots de passe en clair dans la base de données évite des les envoyer en clair sur le réseau, ou que les stocker chiffrés impliquerait leur envoi en clair...

Je n'ai pas regardé le modèle d'authentification de eJabberd, mais la réponse est un peu fumeuse... Je cite :
 it is more secure to send passwords encrypted over the
 network, and store them in plaintext on the database, 
 than sending the passwords in plaintext over the network 
 and store them encrypted on the database
Oui, effectivement. Sauf que c'est encore plus secure de faire les deux, surtout quand l'un des deux, l'envoi des données chiffrées, est une fonctionnalité attendue par les utilisateurs... Enfin, l'argument du genre "Ah ouais, mais on doit utiliser TLS+SASL-PLAIN, donc on doit avoir du plaintext" est un poil biaisé. On peut chiffrer des champs de manière symétrique avec des jeux de clés définis en configuration. Pour peu qu'on ait pensé trente secondes à son modèle de données, l'extraction de ces données en clair devient loin d'être triviale (mais pas forcément impossible).

22. Le mardi 3 février 2009 à 11:37, par yan

Pour ce qui est du stockage de mdp en clair... Je pense que SFR procède ainsi. Mieux, les anciens clients neuf/tele2 actuellement migrés suite au rachat reçoivent les mdp qu'ils ont rentrés (2fois! Et donc sont censés connaitre!) via leur page de gestion de compte (en https, pas mal jusque là)... en clair sur l'adresse fournie (qui peut, facteur aggravant, être externe à sfr... et le sera sans doute souvent, au moins temporairement, a la création du compte/neufId)!

Ensuite, la gabégie continue: On doit migrer sur une adresse SFR. Super, l'IMAP supporte le SSL (pratique en itinérance sur hot-spots ouverts)... mais pas le SMTP pour l'envoi des messages, dont l'authentification (la même!) est aussi forcément en clair.

En plus, comme cette authentification sert aussi pour les hot spot neuf/fon, auquel on a désormais droit (ce qui est au fond un gros plus de cet opérateur, désormais)... on est très rassurés de l'usage qui pourra être fait de son compte et pourrait par exemple valoir ce genre de désagréments:
http://www.lesmotsontunsens.com/homme-qui-ne-voulait-pas-faire-sauter-l-elysee-3245

Corbeaux en tous genres, sortez wireshark!

Bravo, Mr SFR! Entre le renvoi inutile des mdp en clair (et donc probablement stockés ainsi) et la sécurité en sens unique des identifiants... on est tranquilles! Vu la période, une migration client de masse, c'est vraiment chercher les ennuis... bien plus que Monster...

23. Le mardi 3 février 2009 à 20:18, par Bertrand

Hier je me suis "amusé" à contacter quelques sites Internet sur lesquels j'ai un compte et qui stockent les mots de passe en clair, qui l'envoient par e-mail en clair à la création du compte, et qui l'envoient en clair sur demande (oubli du mot de passe).

Je leur ai bien expliqué que c'était pas bien, que c'était dangereux pour leurs utilisateurs, que c'était inutile, que ça faisait d'eux une cible de choix, patati patata...

Pas un seul n'a daigné répondre. On pourrait me dire que c'est trop tot, mais à mon avis ils m'ont pris pour un gros relou parano et je ne suis pas près de recevoir une réponse...

La palme revient à un site qui envoie une newsletter hebdomadaire avec un rappel du login/password en bas de chaque mail (sans doute pour des raisons marketing - vaut mieux risquer la compromission de quelques comptes plutôt que de risquer de perdre le moindre utilisateur qui aurait perdu son mot de passe et serait incapable d'en redemander un).

Ce qui est fou c'est que ces sites pensent bien à demander un mot de passe pas trop court, avec au moins un chiffre et un caractère non alphanumérique. Comme si ça avait la moindre importance si le mot de passe est stocké (et souvent circule) en clair... (ce type de mesure est surtout utile, corrigez moi si je me trompe, pour éviter un cassage par force brute trop facile si on récupère les hashs).

Tout ça pour dire que les webmasters ne sont pas du tout sensibilisés aux problématiques de gestion des mots de passe, et que la sécurité ne semble décidément pas être leur première préoccupation... on va encore en voir beaucoup des cas Monster...

Ajouter un commentaire

Les commentaires pour ce billet sont fermés.

Ma petite parcelle d'Internet...