Après la confusion causée hier, la communauté pour le partage de l’internet sans fil Fon s’est manifestée pour clarifier s’il fallait ou non utiliser des tactiques dangereuses pour stocker les mots de passe des utilisateurs. Un représentant de la société en France m’a envoyé un message m’avertissant que Fon avait publié une réponse aux critiques sur son blog officiel.
“Ici, chez Fon, nous prenons la sécurité très au sérieux et nous conservons à tout moment toutes les informations de nos clients en toute sécurité”, commence le message à ceux qui s’inquiétaient de savoir si Fon utilise texte en clair pour conserver les mots de passe sur le serveur, comme l’a accusé un développeur en Écosse, au Royaume-Uni.
Fon affirme qu’elle ne stocke pas le mot de passe de tous ses utilisateurs dans le monde ? plus de 6 millions, selon les derniers chiffres publiés par eux. La plupart de ces bases de données sont en fait gérées par les entreprises partenaires de Fon, notamment les opérateurs. Ici en France, Oi a récemment commencé à proposer des routeurs de marque Fonera compatibles avec la technologie Fon à Marseille, mais je n’ai aucune information sur qui gère les données des utilisateurs… J’imagine que c’est l’opérateur.
“Lorsque c’est le cas, Fon n’a pas accès aux mots de passe, car ils ne sont pas enregistrés dans la base de données de Fon.”
Pour les mots de passe qui sont stockés par Fon, il existe plusieurs “plateformes et structures” différentes, de sorte que les informations ne sont pas toutes stockées au même endroit. Ils disent utiliser des hashs et des digests car c’est l’une des meilleures pratiques, même s’ils admettent que tous les mots de passe ne sont pas stockés dans ce format.
Selon Fon, cette tactique fonctionne “mieux que le cryptage des mots de passe”. Eh bien, j’ai toujours compris que l’utilisation des hashs et des digests faisait partie de la cryptographie dans son ensemble, faisant partie de la chose, mais Fon dit que c’est encore mieux. Voilà donc leur position.
J’ai remarqué qu’à aucun moment Fon n’a déclaré dans son message publié qu’il n’utilisait pas de texte en clair. Soit c’est trop évident, soit ils omettent l’information. Je suis favorable à la première option.
Toujours sur ce sujet, je vous recommande la lecture : 5 façons de vous protéger sur Internet. Pour ceux qui l’ont lu, cela vaut la peine de l’envoyer à des tantes et des grands-mères qui apprennent à utiliser l’ordinateur en ce moment.