La politique de sécurité de Virgin Mobile : une passoire

Si Virgin Mobile n’a pas spécialement pignon sur rue en France pour les opérateurs mobiles, ce n’est pas le cas au Royaume-Uni ni aux USA, où l’opérateur est plus populaire. Pourtant, peu importe de quel côté de l’Atlantique ou de la Manche on se situe, Virgin Mobile ne sait pas gérer la sécurité. La preuve par deux.

Chez nos amis Américains, lorsque l’on ouvre un compte sur le site de Virgin Mobile, on doit bien entendu créer un mot de passe pour accéder à l’interface Web. Problème, la politique de mot de passe de l’opérateur est quelque peu en retard. Les utilisateurs doivent entrer un code à 6 chiffres uniquement, sans utiliser ni de lettres, que ce soit en majuscule ou en minuscule, ni de caractères spéciaux.

Tiquant sur ce point, Kevin Burke, client de l’opérateur, a donc écrit un petit script testant les 999 999 possibilités de mots de passe. Il teste son brute-force avec son propre compte et pour éviter d’attirer l’attention, il limite son attaque en envoyant une requête par seconde sur un laps de temps de quelques heures. Affinant son script, il procède également au nettoyage des cookies après chaque connexion.

Je vous invite à lire sa TL car ses trouvailles sont assez sympathiques. 

Embarrassé par la « découverte » de Kevin Burke, un porte-parole de l’entreprise a fait savoir que les règles de sécurité de Virgin Mobile seraient bientôt mises à jour, afin de répondre aux exigences actuelles.

On pourrait rétorquer en disant que mettre en place un brute-force n’est pas forcément à la portée de tout le monde et que pour attaquer, il faut déjà être sûr(e) que la victime a bien comme opérateur Virgin Mobile. Cela pourrait effectivement être recevable s’il n’existait pas aux Etats-Unis des services permettant d’identifier l’opérateur téléphonique d’une personne. On en trouve aussi en France.

Mercredi, Kevin Burke annonçait que Virgin Mobile avait partiellement corrigé le problème de brute-forcing en mettant en place une 404 après 20 tentatives de connexions  provenant d’une même adresse IP. Si ce dernier est optimiste quant à cette correction, on ne peut s’empêcher de penser à ceux qui développeraient un petit script permettant de brute-forcer une interface Web et qui procéderaient à des changements d’IP aléatoires.

De la même manière, il serait très intéressant de savoir à quel pourcentage correspond les mots de passe « 123456 », « 654321 » ou encore « 987654 » ou bien « 456789 », sans parler des dates de naissance.

Mais il n’y a pas que sur ce point que Virgin Mobile a des progrès à faire. En procédant à une rapide recherche pour savoir si cette politique de mots de passe était la même en France, je suis tombée sur le message suivant :

Bonjour,

Les mots de passe sont envoyés en clair dans les emails. Au-delà du fait que c'est dangereux en termes de sécurité (si on pirate ma boite email on peut avoir aussi accès à mon compte Virgin), cela signifie surtout que les mots de passe sont stockés en clair dans vos bases de données. C'est là aussi une faille de sécurité très importante !
En effet tous les sites se font pirater un jour ou l'autre et vous permettez ainsi à un pirate d'avoir tous les mots de passe de vos clients sans aucune protection.

Je vous invite à lire [lien mort] qui explique parfaitement les risques que vous faites prendre à vos clients avec une sécurité si faible.

On rappellera que votre pendant américain subit actuellement un buzz très négatif suite à leur manque de sécurité. 

Merci de protéger correctement vos clients.

La réponse de l’opérateur est assez éloquente.

Cet utilisateur ne semble pas être le seul à ne pas être heureux de cette politique de mot de passe comme le montre cette réclamation ou encore celle-ci. 

Par ailleurs, lorsque l’on est sur l’interface de connexion à son compte client, on se retrouve sur une interface qui n’apparaît pas comme sécurisée malgré la présence d’un https et ce, à cause d’extensions complémentaires.

L’outil ayant mis en lumière la non-sécurisation de la page est Chrome Sniffer. Cette incohérence de l'interface de connexion utilisateur n'est pas critique à proprement parler mais ça reste une petite étourderie. 

On peut s’interroger sur ces pratiques relatives à la sécurité mises en place chez Virgin Mobile, qui semblent dater d’un autre âge et surtout, sur l’absence de poursuites judiciaires à leur encontre. Si tel n’est pas encore le cas en France, il faut savoir que depuis 2002, une loi américaine permet de poursuivre les entreprises qui n’auraient pas fait preuve de diligences en matière de sécurité informatique et de leur demander des dommages et intérêts en cas d’attaques. Gageons que les entreprises Européennes vont bientôt toutes se mettre aux normes élémentaires de sécurité informatique avant qu’une telle législation ne soit mise en application dans Union Européenne. 

[MAJ du 26/09/2012] Certains internautes ont fait savoir qu'ils rencontraient des problèmes de sécurité avec Virgin Mobile. En voici un exemple :