La politique de sécurité de Virgin Mobile : une passoire
Si Virgin Mobile n’a pas spécialement pignon sur rue en France pour les opérateurs mobiles, ce n’est pas le cas au Royaume-Uni ni aux USA, où l’opérateur est plus populaire. Pourtant, peu importe de quel côté de l’Atlantique ou de la Manche on se situe, Virgin Mobile ne sait pas gérer la sécurité. La preuve par deux.
Chez nos amis Américains, lorsque l’on ouvre un compte sur le site de Virgin Mobile, on doit bien entendu créer un mot de passe pour accéder à l’interface Web. Problème, la politique de mot de passe de l’opérateur est quelque peu en retard. Les utilisateurs doivent entrer un code à 6 chiffres uniquement, sans utiliser ni de lettres, que ce soit en majuscule ou en minuscule, ni de caractères spéciaux.
Tiquant sur ce point, Kevin Burke, client de l’opérateur, a donc écrit un petit script testant les 999 999 possibilités de mots de passe. Il teste son brute-force avec son propre compte et pour éviter d’attirer l’attention, il limite son attaque en envoyant une requête par seconde sur un laps de temps de quelques heures. Affinant son script, il procède également au nettoyage des cookies après chaque connexion.
Je vous invite à lire sa TL car ses trouvailles sont assez sympathiques.
Embarrassé par la « découverte » de Kevin Burke, un porte-parole de l’entreprise a fait savoir que les règles de sécurité de Virgin Mobile seraient bientôt mises à jour, afin de répondre aux exigences actuelles.
On pourrait rétorquer en disant que mettre en place un brute-force n’est pas forcément à la portée de tout le monde et que pour attaquer, il faut déjà être sûr(e) que la victime a bien comme opérateur Virgin Mobile. Cela pourrait effectivement être recevable s’il n’existait pas aux Etats-Unis des services permettant d’identifier l’opérateur téléphonique d’une personne. On en trouve aussi en France.
Mercredi, Kevin Burke annonçait que Virgin Mobile avait partiellement corrigé le problème de brute-forcing en mettant en place une 404 après 20 tentatives de connexions provenant d’une même adresse IP. Si ce dernier est optimiste quant à cette correction, on ne peut s’empêcher de penser à ceux qui développeraient un petit script permettant de brute-forcer une interface Web et qui procéderaient à des changements d’IP aléatoires.
De la même manière, il serait très intéressant de savoir à quel pourcentage correspond les mots de passe « 123456 », « 654321 » ou encore « 987654 » ou bien « 456789 », sans parler des dates de naissance.
Mais il n’y a pas que sur ce point que Virgin Mobile a des progrès à faire. En procédant à une rapide recherche pour savoir si cette politique de mots de passe était la même en France, je suis tombée sur le message suivant :
Bonjour,
Les mots de passe sont envoyés en clair dans les emails. Au-delà du fait que c’est dangereux en termes de sécurité (si on pirate ma boite email on peut avoir aussi accès à mon compte Virgin), cela signifie surtout que les mots de passe sont stockés en clair dans vos bases de données. C’est là aussi une faille de sécurité très importante !
En effet tous les sites se font pirater un jour ou l’autre et vous permettez ainsi à un pirate d’avoir tous les mots de passe de vos clients sans aucune protection.
Je vous invite à lire [lien mort] qui explique parfaitement les risques que vous faites prendre à vos clients avec une sécurité si faible.
On rappellera que votre pendant américain subit actuellement un buzz très négatif suite à leur manque de sécurité.
Merci de protéger correctement vos clients.
La réponse de l’opérateur est assez éloquente.
Cet utilisateur ne semble pas être le seul à ne pas être heureux de cette politique de mot de passe comme le montre cette réclamation ou encore celle-ci.
Par ailleurs, lorsque l’on est sur l’interface de connexion à son compte client, on se retrouve sur une interface qui n’apparaît pas comme sécurisée malgré la présence d’un https et ce, à cause d’extensions complémentaires.
L’outil ayant mis en lumière la non-sécurisation de la page est Chrome Sniffer. Cette incohérence de l’interface de connexion utilisateur n’est pas critique à proprement parler mais ça reste une petite étourderie.
On peut s’interroger sur ces pratiques relatives à la sécurité mises en place chez Virgin Mobile, qui semblent dater d’un autre âge et surtout, sur l’absence de poursuites judiciaires à leur encontre. Si tel n’est pas encore le cas en France, il faut savoir que depuis 2002, une loi américaine permet de poursuivre les entreprises qui n’auraient pas fait preuve de diligences en matière de sécurité informatique et de leur demander des dommages et intérêts en cas d’attaques. Gageons que les entreprises Européennes vont bientôt toutes se mettre aux normes élémentaires de sécurité informatique avant qu’une telle législation ne soit mise en application dans Union Européenne.
[MAJ du 26/09/2012] Certains internautes ont fait savoir qu’ils rencontraient des problèmes de sécurité avec Virgin Mobile. En voici un exemple :
Juste une petite interrogation
Bonjour Tris,
Je réagis à : Les mots de passe sont envoyés en clair dans les emails. Au-delà du fait que c’est dangereux en termes de sécurité (si on pirate ma boite email on peut avoir aussi accès à mon compte Virgin), cela signifie surtout que les mots de passe sont stockés en clair dans vos bases de données.
Tout d’abord, il faudrait savoir quand le mot de passe est envoyé en clair. Il n’est en effet pas rare qu’un site confirme une inscription en envoyant les identifiant (login et mot de passe) sans que pour autant le mot de passe soit stocké en clair dans la base. Il peut être envoyé par mail et dans le même temps être hashé et enregistré. Il peut aussi être chiffré de manière à être décodé à l’aide de la clé idoine. Donc, l’assertion « je reçois mon mot de passe en clair implique qu’il est stocké en clair » est fausse.
Ensuite, si on pirate la boite mail de la personne… C’est que la personne l’a mal protégée. Et si elle garde des emails contenant ses identifiants, ce n’est pas la faute de l’expéditeur du mail.
Sinon, je suis bien d’accord que la politique de sécurité de Virgin semble très légère, mais pas moins que celle de ameli.fr.
Notez que si vous appellez
Notez que si vous appellez les VirginAngels (le support), le conseiller vous demandera votre numéro et votre MOT DE PASSE pour vous identifier.
Il est donc bien EN CLAIR et visible à la demande pour le support.
(Quand j’ai expliqué que c’était hors de question que je donne mon passe et que c’était hors regle de sécurité, on m’a répondu « mais non ! Puisque je travaille chez Virgin ! « )
A défaut on vous demandera le montant de votre dernière facture. Avec un peu de chance vous n’avez pas dépassé votre forfait et le montant est celui standard affiché sur le site 😉
Hello le chat 🙂
Hello le chat 🙂
En fait, c’est un copier-coller du texte du client que j’ai fait. Tu as noté que pour une fois, je ne me suis pas prononcée 🙂
Dans le cas de Virgin, j’ai quelques doutes 😉 Et oui les mots de passe sont réenvoyés en clair lorsque l’on en fait la demande