Le plugin All-In-One Security pour WordPress stockait les mots de passe des utilisateurs dans une base de données en texte plat à laquelle les administrateurs pouvaient accéder à la volée.
Pourquoi convertir les mots de passe en hachages et ne les utiliser que dans des bases de données sécurisées, alors qu’il est possible d’enregistrer les identifiants de connexion sous forme de texte ? Il y a de nombreuses bonnes raisons, mais aucune ne peut convaincre All-In-One Security (AIOS). C’est un plugin de sécurité pour WordPress installé sur plus d’un million de sites web.
Texte plat
AIOS permet à un site web d’autoriser les utilisateurs à se connecter. Le plugin doit donc gérer les mots de passe de ces utilisateurs. Les développeurs n’ont pas trouvé de meilleure solution que de stocker ces mots de passe en texte plat dans une base de données. Les administrateurs du site sur lequel fonctionne le plugin ont accès à cette base de données.
Un administrateur, ou un pirate qui a obtenu les identifiants de connexion d’un administrateur, peut ainsi accéder à ces mots de passe. AIOS prétend que le bogue n’est pas si catastrophique, puisque seuls les administrateurs disposant de privilèges élevés peuvent accéder à la base de données. Ce n’est pas le problème, car des décennies de bogues et de piratages ont montré que les attaquants parviennent régulièrement à accéder aux systèmes. Des bases de données contenant des mots de passe sont volées à intervalles réguliers.
Hachage salé
En général, ce n’est pas grave. Le stockage des mots de passe n’est pas une faille complexe pour laquelle la bonne solution est encore en discussion. La bonne façon de stocker un mot de passe est de ne pas le stocker. En entrant le mot de passe, il est converti en code hexadécimal par l’intermédiaire d’un algorithme de hachage cryptographique. Cet algorithme ne fonctionne que dans un sens : convertir le mot de passe en code est facile, démêler le mot de passe via le code est presque impossible.
Presque impossible, mais pas totalement : pour une sécurité totale, le hachage est salé. Un hachage salé contient des informations aléatoires supplémentaires qui rendent les mots de passe encore plus difficiles à déchiffrer. En se connectant à un site, le mot de passe est immédiatement analysé par l’algorithme et comparé au hachage dans la base de données. Pour des raisons de sécurité, votre mot de passe n’est jamais stocké. Aujourd’hui, une base de données volée avec des hachages salés n’a pratiquement aucune valeur pour les pirates. Seuls les mots de passe trop courts peuvent encore être récupérés.
Pas de meilleures pratiques
AIOS n’a pas reçu ce message. Stocker des mots de passe non chiffrés et lisibles est un faux pas embarrassant et non pas un bogue, mais une négligence grotesque. AIOS a depuis lors lancé une mise à jour de son plugin qui garantit que les mots de passe ne finiront plus lisibles dans une base de données accessible.
Reste à savoir dans quelle mesure AIOS s’est tenu au courant des dernières découvertes en matière de sécurité. Après tout, l’entreprise fournit quelques conseils et suggère à juste titre de s’assurer que le plugin AIOS est toujours à jour et que le 2FA est activé pour WordPress et d’autres comptes. Cependant, nous avons également lu le conseil de changer régulièrement de mot de passe. Il s’agit d’une pratique totalement dépassée, dont les recherches ont montré qu’elle conduisait à des mots de passe plus mauvais et à des comptes moins sûrs.
Changer son mot de passe après une faille de sécurité potentielle, par exemple si vous l’avez confié à AIOS qui l’a ensuite enregistré dans une base de données, est bien sûr une bonne idée.