Aujourd’hui je reçois un mail de Codemasters, m’indiquant que leurs serveurs ont été victimes d’une intrusion. Parmi les données volées se trouvent les mots de passes « cryptés » des utilisateurs et leur adresse e-mail.
Le problème est que sans précision de comment étaient cryptés les mots de passes, je ne suis pas plus rassurés sur le fait que ces mots de passe restent indéchiffrables.
Je leur demande donc par e-mail s’ils étaient cryptés avec quelque chose de complètement inutile comme du MD5 ou quelque chose de beaucoup plus sûr tel que du SHA-256 ou autre.
La réponse a été la suivante :
Nous ne pouvons malheureusement pas vous fournir des informations sur notre système de protection. Toutes nos excuses pour le désagrément encouru.
Cette réponse me sidère. Comment aujourd’hui une entreprise comme Codemasters peut se plaindre de subir des intrusions quand elle n’est visiblement pas capable d’appliquer un des principes de base de la sécurité ?
Malheureusement, c’est une réaction qui n’est pas isolé à Codemasters. Il semble que de nombreuses DSI font encore reposer leur politique de sécurité sur l’obscurité. Combien de fois faudra-t-il leur expliquer que ça ne rend pas un système plus sûr de ne pas divulguer les mécanismes mis en œuvre pour sa protection.