C’était une fin appropriée à une semaine dominée par des nouvelles de violations de mots de passe dans les principales sociétés Internet. J’avais envoyé une demande de réinitialisation de mot de passe à un fournisseur d’hébergement que j’utilisais depuis des années pour héberger un serveur de fichiers en ligne, et j’ai reçu une réponse alarmante : l’entreprise m’a envoyé mon mot de passe en texte brut, à l’exception de la publicité qu’ils n’ont aucune considération pour la sécurité des informations privées de leurs clients.
Le site était utilisé pour stocker des fichiers et des images sans importance, mais j’ai néanmoins annulé mon abonnement car la réponse de l’entreprise à ma demande de réinitialisation de mot de passe a prouvé qu’elle stockait mon mot de passe sans même faire les tentatives les plus faibles pour chiffrer les informations ou les stocker dans un format protégé. .
Malheureusement, cette pratique semble être assez courante, en particulier chez les hébergeurs à bas prix. J’ai confronté l’entreprise, Hébergement Métroà propos de ses pratiques, mais n’a reçu aucune réponse matérielle à mes plaintes à part un e-mail automatisé « désolé de vous voir partir ».
J’ai également envoyé une capture d’écran expurgée de l’e-mail de réinitialisation du mot de passe à plaintextoffenders.com, un site qui publie régulièrement des images soumises par les utilisateurs d’e-mails de réinitialisation de mot de passe provenant d’entreprises qui font preuve d’un manque total de respect pour la sécurité des mots de passe des clients. J’encourage tous les lecteurs à faire de même pour tout site qui envoie des mots de passe en clair.
Comme beaucoup visiteurs précédents à plaintextoffenders.com, j’ai été surpris de voir que la fonction de recherche du site ne fonctionnait pas. Les administrateurs du forum semblent en être conscients et ont noté que les visiteurs peuvent effectuer une recherche par nom d’entreprise via Google, en utilisant la convention de recherche « site:plaintextoffenders.com » suivi d’un site Web ou d’un nom d’entreprise. Je saluerais le développement d’un plugin de navigateur qui utilise une base de données de sites incriminés pour avertir les utilisateurs lorsqu’ils visitent un site qui pratique une sécurité de mot de passe impardonnable. Le fait de nommer et d’humilier est peut-être le seul moyen de changer cette pratique trop courante.