Digitick stocke votre mot de passe en clair

Il y a quelques temps, j’avais acheté des billets via digitick. Je n’avais pas à me plaindre du service, jusqu’à ce que je reçoive dernièrement un email qui contenait mon identifiant, et surtout, mon mot de passe. Pas un nouveau mot de passe, non, le mot de passe que j’avais utilisé pour m’inscrire au site.
Lorsque ce genre de chose arrive, il n’y a qu’une conclusion qui s’impose : digitick enregistre les mots de passe en clair dans sa base de données.
Faut-il vraiment rappeler que c’est mal ? TRÈS mal ? J’espère que non, mais si quelqu’un a le moindre doute sur les problèmes de sécurité que cela cause, qu’il se signale.

Et maintenant, la preuve. Pas besoin d’être une brute en informatique pour voir ça. Le simple fait de recevoir le mot de passe par email plusieurs mois après l’inscription est déjà une preuve en soit.
Mais si besoin de faire une deuxième vérification, il suffit de se rendre sur le formulaire permettant de modifier son mot de passe et là il n’y a plus qu’à afficher la source HTML pour se faire une belle frayeur :
Source HTML du formulaire de modification de mot de passe sur le site digitick

Comme il faut toujours vérifier une deuxième fois, j’ai changé mon mot de passe pour faire une deuxième vérification :
Source HTML du formulaire de modification de mot de passe sur le site digitick
(Le site nous limite a un mot de passe d’une longueur comprise entre 6 et 8 caractères, ça a grandement limité ma créativité pour cette deuxième preuve.)

Et si ça ne suffit pas, on peut toujours tester le formulaire de récupération de mot de passe pour voir ce qu’il va se passer :
Récupération du mot de passe digitick

Digitick, le « N°1 du e-ticket », a donc un gros soucis avec sa base de données. Aucune idée du nombre de personnes inscrites au site. Le chiffre n’est pas révélé, même pas dans un communiqué de presse. Éventuellement, on peut se faire une petite idée avec le nombre de factures éditées qui, si la numérotation est bien incrémentielle, dépasserait aujourd’hui les 5 millions.
Croisons les doigts et espérons qu’il n’y a personne de mal intentionné parmi les (ex-)employés et que leur base de données est bien sécurisée.

Pas de commentaire »

Pas encore de commentaire.

Flux RSS des commentaires de cet article. TrackBack URI

Laisser un commentaire