Les sites ont-ils accès à votre mot de passe ?

Les sites ont-ils accès à votre mot de passe ?

15 septembre 2018 32 Par KindleTune

Vous vous êtes sans doute déjà demandés, en créant un compte sur un site, si ce dernier aurait accès à votre mot de passe. Voici donc une petite explication sur le fonctionnement des bases de données utilisées par les sites pour l’inscription, et les diverses possibilités qui s’offrent à eux.

Ce qu’il se passe lors de votre inscription à un site

Illustration d'une base de données.

La plupart du temps, lorsque vous créez un compte sur un site, quel qu’il soit (Facebook, Google, …), ce site enregistre toutes les informations que vous lui fournissez (courriel, nom et prénom, mot de passe, …) dans une base de données. Cela lui permet de stocker toutes les données de votre compte, pour les afficher ultérieurement (sur votre page de profil par exemple), et vous permettre de vous identifier.

Depuis les lois européennes récentes (RGPD), les sites sont tenus de ne collecter que des informations «nécessaires», et d’avoir votre accord clair avant de le faire. Vous devriez également avoir accès toutes les données vous concernant détenues par le site, et avoir le droit de les supprimer sur simple demande. Mais alors, qu’en est-il de la sécurité de votre mot de passe lorsque vous le fournissez au site ? Peuvent-ils le ré-utiliser à votre insu s’ils sont malveillants ?

Cryptage (ou pas) du mot de passe

Illustration de cryptage de données.

Tout est question de savoir si le site en question crypte votre mot de passe, ou non, avant de l’ajouter à la base de données. La plupart des sites cryptent celui-ci à sens unique, en créant un hash du mot de passe.

Mais alors, quand je me connecte, comment savent-ils que j’ai le bon mot de passe, s’ils ne peuvent pas décrypter celui de la base de données ?

Il n’y a tout simplement pas besoin de le décrypter. Mais de crypter celui que vous entrez lors de votre connexion via le même algorithme, et voir si il correspond à celui de la base de données. Illustrons cela avec un exemple concret.

Vous vous inscrivez à un site avec le mot de passe pomme. Ce dernier est crypté avec l’algorithme SHA-1, de manière irréversible, le transformant en 752c14ea195c460bac3c3b7896975ee9fd15eeb7. C’est ce qui est enregistré dans la base de données. Par la suite, lorsque vous vous connectez, le site n’aura pas besoin de décrypter ceci (ce qui est d’ailleurs en pratique impossible). Il n’aura qu’à crypter votre tentative de mot de passe avec le même algorithme (ici le SHA-1), et voir si elle correspond à ce qui se trouve dans la base de données. Ainsi, le mot orange donnera une fois crypté une chaîne différente de celle de pomme, qui elle correspondra à celle détenue par le site. Ce dernier saura alors que vous avez entré le bon mot de passe, sans toutefois y avoir accès.

Illustration du hashing de mot de passe.

Vous l’aurez compris, si le mot de passe est crypté, il est impossible pour le site de retrouver celui original (dit «en clair»). Le seul moyen indirect de le faire est de tester très rapidement, par ordinateur, un grand nombre de possibilités en cryptant toutes ces combinaisons, en espérant tomber sur la bonne chaîne cryptée. C’est ce que l’on appelle le bruteforce. Si par pur hasard la machine tente de crypter le mot pomme et tombe sur la même chaîne cryptée que celle dans la base de données, elle saura donc que pomme est votre mot de passe. C’est pour cela qu’il est impératif de choisir un mot de passe fort, avec majuscules, chiffres et caractères spéciaux.

 

Puis-je faire confiance aux sites ?

Vous l’aurez compris, un site qui enregistre votre mot de passe de manière cryptée n’y a en théorie pas accès. Mais alors, un problème se pose : vous n’avez aucune réelle garantie qu’un site crypte votre mot de passe. Le cryptage d’un mot de passe lors de son enregistrement n’est pas un processus automatique et nécessite de mettre en place des fonctions particulières à l’inscription. Ainsi, il est tout-à-fait possible pour un site malintentionné ou tout simplement négligeant d’enregistrer le mot de passe en clair, directement comme entré par l’utilisateur, dans la base de données.

Loi Informatique et Libertés

Rassurez-vous toutefois, certaines lois vous protègent de ce genre de comportements. L’article 34 de la Loi Informatique et Libertés indique :

 Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès (…)

Ceci signifie que tout site enregistrant votre mot de passe est légalement responsable de la protection de ce dernier. En effet, il ne s’agit pas que de la confiance envers les sites. Il arrive que des pirates réussissent par des moyens illégaux (phénomène couramment appelé hacking) à obtenir un morceau, voire l’intégralité de la base de données d’un site. Il récupère donc logiquement tout son contenu, et donc toutes les données utilisateur qu’elle contient. C’est là que l’enjeu de cryptage du mot de passe est très important. Si le site sur lequel vous avez entré un mot de passe l’a crypté dans la base de données, alors le pirate n’obtiendra évidemment qu’une chaîne indéchiffrable. Dans le cas où votre mot de passe était enregistré en clair, le pirate n’a aucun effort, aucun bruteforce à effectuer pour le retrouver (qui serait d’ailleurs vain si votre mot de passe était sécurisé).

Les sites sont donc toutefois soumis à la réglementation de la CNIL qui les oblige à assurer la protection de votre mot de passe, en le cryptant. Si ce dernier est volé par des pirates, alors le site a également sa part de responsabilité dans le délit d’un point de vue légal.

Autre représentation du hashing de chaîne de caractère ou mot de passe.

En conclusion, veillez bien lors de votre inscription à un site à inspecter les mentions légales et autres documents précisant les modalités du traitement de vos données. Assurez-vous de la fiabilité du site sur lequel vous vous inscrivez. Paraît-il sérieux ? Pourrait-il être géré par une personne malintentionnée ? Il s’agit encore une fois de trouver un juste milieu. Inutile de devenir paranoïaque, tout site souhaitant se conformer un minimum aux obligations légales, ou se souciant de la sécurité de ses utilisateurs mettra en place cette simple fonction de cryptage. Vous connaissez donc maintenant les aspects de l’enregistrement et de la vérification des mots de passe par les sites, et ses enjeux !