Wordpress: mots de passe stockés en clair?

[CM63]

Bonjour,
J'ai eu récemment un problème avec un site Wordpress d'une administration publique, où j'ai pu établir de façon certaine que les mots de passe sont stockés en clair. Je ne peux pas entrer dans le détail, mais j'en eu ai la certitude, quand j'ai vu une partie de mon mot de passe s'afficher en lieu et place de la question anti-bot posée, suite à ma demande de régénérer mon mot de passe.

Or, comme vous le savez, cela est illégal. Les CMS ne doivent stocker dans la base de donnée que les mots de passe cryptés et, ensuite, lorsque l'utilisateur se connecte, crypter ce qu'il a saisie et comparer (ceci, grâce à une clef de cryptage stockée, elle, en clair, dans la base de donnée, évidemment).

L'objet de cette discussion est de confirmer ou d'infirmer mon soupçon. J'imagine qu'il existe des plugins permettant de crypter les mots de passe, mais je trouve édifiant que cela ne soit pas de base dans le core, et non pas à la merci de quelque(s) plugin(s) évidemment cibles des hackers.

Pour citer deux CMS que je connais : Drupal et Backdrop, j'espère que les mots de passe sont cryptés, j'en étais bien persuadé jusqu'à présent, mais maintenant je doute, je vais regarder.
-----

[pm42]

L'objet de cette discussion est de confirmer ou d'infirmer mon soupçon.

C'est facile d'infirmer : Wordpress utilise le MD5 comme tout le monde qui n'est pas encore passé à un truc plus sécurisé.
Cela se trouve en 2 sec en faisant une recherche sur le Net ou en regardant la table wp_users d'une installation Wordpress.

[CM63]

Ok, je viens de vérifier dans un de mes sites Wordpress, où il n'y a pas de plugin de cryptage.

[CM63]

Mais alors je ne comprends pas ce que j'ai observé sur ce site public, j'ai vu en clair la fin de mon mot de passe s'afficher en guise de question anti-bot.
En fait, sur ce site public, il y a eu un changement de CMS. Ils sont passés d'un ancien outil (CMS ou autre) à Wordpress. Ce serait lors de l'import de l'ancien vers le nouveau que le problème serait survenu, c'est comme cela que j'interprète les choses.

Sur le nouveau site, je n'arrivais pas à me connecter, en tapant mon identifiant et mon mot de passe. J'ai donc cliqué sur le lien de régénération du mot de passe, et là j'ai eu, à la place de la question secrète anti-bot, la fin de mon mot de passe en clair.

Mon mot de passe contenait un point virgule au milieu. Disons que c'était "toto;titi". J'ai vu afficher "titi" à la place de la question anti-bot.

J'ai pu enfin me connecter en tapant "toto" seulement comme mot de passe, en devinant que les infos étaient probablement décalées, suite à l'export/import du changement de site.

Mon interprétation est qu'ils auraient fait les export/import par l'intermédiaire de fichiers CSV, sans modifier le séparateur ";", et donc évidemment les infos contenant des ; ont été vérolées.

[A voir en vidéo sur Futura]

[pm42]

Mon interprétation est qu'ils auraient fait les export/import par l'intermédiaire de fichiers CSV, sans modifier le séparateur ";", et donc évidemment les infos contenant des ; ont été vérolées.

Je ne sais pas mais je suis d'accord que c'est bizarre. Déjà, cela veut dire qu'ils avaient ton mot de passe en clair dans l'ancien système.
Ou alors qu'ils gardaient une fin de mot de passe comme "hint" ?
Ou comme tu dis, qu'il y a un truc bizarre lors du transfert.

Je doute qu'on ait jamais la réponse (mais on arrivera à survivre )

[gienas]

Bonjour à tous

Mais alors je ne comprends pas ce que j'ai observé sur ce site public, j'ai vu en clair la fin de mon mot de passe s'afficher en guise de question anti-bot …

Je me garde d’émettre la moindre hypothèse sur ce qui peut se passer hors de chez soi, puisque j’en suis bien incapable.

Ma seule hypothèse "rassurante" pourrait être une facétie du presse papier. Certains sites ou navigateurs ne permettent pas de vérifier que la frappe que l’on est en train de faire est la bonne. Pour les mots de passes complexes et longs, j’ai souvent recours au presse papier, en allant chercher mon mot de passe mémorisé dans un endroit secret, pour le coller à l’endroit demandé.

L’apparition de ton mot de passe ne résulterait-il pas d’un collage "spontané", si bien sûr, tu as préalablement utilisé "ma" technique de mémorisation?

[CM63]

Je ne pense pas, je fais régulièrement comme toi pour coller mon mot de passe, je le copie depuis un traitement de texte, puis je fais "coller texte seul" pour répondre à la demande de mot de passe.
Je faisais aussi comme cela sur ce site, sans problème, jusqu'à ce qu'ils passent à Wordpress, et là plus moyen de se connecter.

J'ai soupçonné ce genre de problème de mémorisation abusive de buffer et je suis allé sur un PC où j'ai vidé l'historique, et sur lequel je n'ai pas tenté de me connecter. Donc ce PC n'a jamais connu ma saisie de mot de passe.
Je tente donc, non pas une connexion, mais tout de suite une régénération de mon mot de passe. Et bien j'ai eu le même problème : le site m'affiche une partie de mon mot de passe (la fin) en lieu et place de ma question secrète.

J'ai enfin réussi à me connecter en tapant l'autre partie de mon mot de passe (le début, entre les deux il y avait le ; ) , puis j'ai modifié mon passe et ressaie ma question secrète et sa réponse. Et maintenant ça marche.

Il est quand même évident que l'ancien site contenait les mots de passe en clair, et qu'ils étaient en clair au moment de l'import, puisqu'ils apparaissent dans le niveau site (à la "faveur" d'un problème de séparateurs CSV) alors qu'on ne l'a pas encore saisi.
Après je ne sais pas si il existe dans Wordpress une procédure pour crypter des mots de passe qui ont été importés en clair, mais je veux bien qu'on me rassure sur ce point.

Pour moi il y a toujours un problème légal ou de sécurité de l'information sur ce site. Je l'ai signalé.

[umfred]

Question bête, mais tu es sûr d'être sur le site officiel de ton organisme ? et non pas un site similaire de phishing ?

[CM63]

Bonne question. Et d'ailleurs lors de ma première visite de cette nouvelle version du site, j'ai eu une page de Firefox m'affichant que je prenais des risque etc..bien que le site soit en https(1). J'ai cliqué dans "je prends le risque".
Mais bon pour en revenir à ta question, je tape rigoureusement l'URL que cette administration m'a envoyée par mail (ou plutôt je fais un ctrl click sur un document à moi dans lequel j'ai recopié cette url), comment l'url pourrait-elle être détournée de cette façon?


(1) L'ancien site, lui, était en http, et on avait régulièrement le cadenas barré a coté du favicon (mais quand même pas cette page de "ce site est dangereux, vous prenez des risques...").

[CM63]

Déjà, cela veut dire qu'ils avaient ton mot de passe en clair dans l'ancien système.

C'est aussi la conclusion à laquelle je suis arrivé. Et donc, ayant fait l'import en clair dans Wordpress, ils avaient deux solutions:
- faire un agent qui crypte les mots de passe, one shot, en suite de quoi les mots de passes sont stockés cryptés,
- débrancher le décryptage du mot de passe lors de la saisie, et dans ce cas les mots de passe sont laissés en clair.

Si ils ne savent pas programmer (des web-masters qui ne savent pas programmer, ça existe) ils auraient choisi la deuxième solution, mais je n'en ai pas la certitude. Comme tu dis:

Je doute qu'on ait jamais la réponse (mais on arrivera à survivre )

[umfred]

tu ne veux pas nous donner cette adresse ? tu les as contacté pour leur signifier le problème potentiel ?

[CM63]

Non, je ne désire pas donner l'adresse de ce site, ce n'est pas si grave que ça, le problème est résolu maintenant. Je l'ai signalé à la hot-line, ils n'ont rien compris, je leur ai dit de faire passer mon message aux informaticiens, je ne sais pas si ils l'ont fait, puisque pour eux (la hot-line) il n'y avait pas de problème.
Le service rendu par ce site n'est pas très "sensible" je dirais, et donc je laisse tomber, je n'obtiendrai pas davantage d'infos d'eux.

Mais la question m'intéresse sur un plan général : peut-on dans Wordpress débrancher le processus de décryptage de la saisie du mot de passe et stocker les mot de passe en clair?

[pm42]

peut-on dans Wordpress débrancher le processus de décryptage de la saisie du mot de passe et stocker les mot de passe en clair?

Sans doute parce que Wordpress est en PHP et qu'on peut donc toucher à tout. Mais à ma connaissance, personne ne le fait.