Chaque fois que vous vous inscrivez sur un site web, vous confiez des données personnelles sensibles : votre adresse e-mail, et souvent bien plus, y compris votre mot de passe.
Mais comment vérifier si le site protège efficacement ces informations ? Pourquoi le stockage en clair des mots de passe est-il si dangereux ? Et que faire pour minimiser les risques ?
Le texte en clair signifie que votre mot de passe est stocké exactement tel que vous l'avez saisi, sans aucune transformation.
Imaginez un piratage : un hacker accède à la base de données et lit directement votre mot de passe, comme "Pa$$w0rd". Peu importe sa complexité, il devient immédiatement exploitable.
C'est particulièrement risqué si vous réutilisez le même mot de passe sur plusieurs sites – une pratique déconseillée par tous les experts en cybersécurité, dont MakeUseOf.
Les pirates peuvent alors compromettre vos comptes bancaires, Facebook ou autres services. On estime que 30 % des sites e-commerce stockent encore les mots de passe en clair. Même des géants comme la LNH, Match.com, LinkedIn ou Vodafone ont été pris en faute par le passé, avant d'adopter des pratiques plus sécurisées.
L'alternative au texte en clair repose sur le hachage : votre mot de passe est transformé en une chaîne de caractères aléatoires. Lors de la connexion, le site hache à nouveau l'entrée et compare les résultats.
Cependant, les hachages simples (comme MD5) sont vulnérables aux attaques par force brute. Optez pour des hachages salés (ajout d'un sel unique) ou lents (comme bcrypt), qui ralentissent les tentatives de craquage.
Il est rare d'y accéder directement sans être employé du site. Un indicateur clair : si un e-mail de confirmation ou de réinitialisation contient votre mot de passe en clair, c'est un problème majeur.
Les e-mails ne sont pas chiffrés et peuvent être interceptés. Un site sécurisé propose uniquement une réinitialisation après vérification.
Testez : inscrivez-vous avec un mot de passe unique, demandez une réinitialisation et vérifiez votre boîte mail. Consultez aussi Plaintext Offenders pour une liste des contrevenants.
Contacter le site par e-mail pour signaler le problème et exiger des améliorations. Ne vous contentez pas d'une réponse vague sur le "chiffrement".
Limitez les dégâts : utilisez des mots de passe uniques partout. Vérifiez les fuites via Have I Been Pwned ? en entrant votre e-mail.
Ils sécurisent votre stockage local, pas celui du site. Vos identifiants restent lisibles en cas de piratage du serveur. Ils restent toutefois essentiels pour générer et gérer des mots de passe forts.
En résumé, évitez les sites envoyant vos mots de passe par e-mail. Protégez-vous en adoptant des pratiques expertes : mots de passe uniques, vérification des fuites et signalements proactifs.
