Les mots de passe de Call of Duty Elite envoyés par email en clair

Par Franck le

Activision est dans la tourmente car les joueurs ont découvert que lorsque l’on demande au site Call of Duty Elite à pouvoir récupérer son mot de passe, ce dernier était envoyé en clair comme montré dans la capture d’écran ci-dessous :

Je vous rassure, ce n'est pas mon vrai mot de passe 😉

Contacté, Activision se défend de stocker ses mots de passe en clair et assure qu’ils sont cryptés et qu’ils vont désactiver cet envoi de mail pour une procédure plus sécurisée :

All Call of Duty Elite personal data, including passwords are saved and stored using encryption. Call of Duty Elite does not store any sensitive data in plain text. […] We are in the process of altering our password recovery procedure so that passwords are no longer delivered in plain text

Autant l’intention est louable autant on peut se poser des questions sur la sécurité employée quand on connait la différence entre « cryptage » et « hachage ».

Dans un processus de cryptage (ou chiffrement si on veut respecter le français à la lettre), un algorithme tel que DES ou AES est utilisé pour transformer la chaîne en une autre chaîne. Pour schématiser, si le mot de passe fait 12 caractères, le mot de passe crypté fera 12 caractères aussi. L’inconvénient du cryptage est qu’il est justement prévu pour être décrypté et il est donc plus ou moins facile, en fonction de l’algorithme, de retrouver le mot de passe initial.

Dans un processus de hachage on utilise des algorithmes comme MD5 ou SHA1 pour calculer une empreinte pour la chaîne. Si votre mot de passe fait 12 caractères l’empreinte calculée pourra faire 8, 32 voire même plus de 100 caractères suivant l’algorithme utilisé. Il n’y pas de possibilité pour « dé-hacher » et il est impossible de retrouver la chaîne initiale. La seule manière de voir si un mot de passe est correct et de hacher celui reçu et de voir si l’empreinte des 2 mots est identique. Par contre, 2 mots de passes différents peuvent avoir la même empreinte. En effet, c’est la seule solution pour faire tenir des chaînes de 12 caractères sur une empreinte de 8 caractères.

Malheureusement il existe sur Internet de nombreux dictionnaires avec des mots et leurs empreintes déjà calculées pour permettre à des hackers de voir si le hachage qu’ils ont trouvé en piratant une base correspond à une chaîne connue. Pour contrer cela, les sites utilisent communément un « seed » qui consiste à concaténer au mot de passe initial une autre chaîne.
Si vous reprenez votre mot de passe de 12 caractères et lui appliquez un seed de 5 caractères vous aurez un mot de 17 caractères avec une empreinte toujours sur 8 caractères par exemple. Si le malandrin arrive à faire correspondre cette empreinte avec un mot connu il ne pourra toujours pas se connecter à votre compte puisque le site va appliquer le seed et du coup le calcul de la nouvelle empreinte sera différente.

Une fois ces concepts maîtrisés on ne peut qu’être inquiet de voir Activision continuer à employer le mot de cryptage et non de hachage car désactiver simplement l’envoi d’email va enlever une faiblesse du système mais ne vas pas forcément renforcer la sécurité. Pour être vraiment blindés ils devraient décrypter chaque mot de passe, le hacher grâce à un seed et sauvegarder cette nouvelle empreinte.

Sur Internet, les gens soucieux de la sécurité utilisent le hachage pour stocker vos mots de passe, les amateurs utilisent le cryptage. Il faudra voir dans quelle catégorie Activision voudra être classé. 4 millions d’utilisateurs, dont 1 million de payants, observent.

stopwatch 3 min.