Récemment, Oi a commencé à proposer dans mon Marseille un routeur spécifique qui, lorsqu’il est connecté à Oi Velox, libère une partie de la connexion afin que les personnes qui en sont proches et les utilisateurs de leur propre “réseau social” puissent utiliser l’Internet. Ce réseau est Fon, qui n’a pas encore une présence aussi forte en France que dans d’autres pays.
Ce même Fon est accusé par un développeur web qui prétend : ils utilisent du texte en clair (ou “plain text”, un terme anglais que j’avoue ne pas connaître), sans cryptage, pour stocker les mots de passe des utilisateurs.
Pour ce faire, Peter Legierski, résident écossais au Royaume-Uni, a effectué un test très simple. Lorsqu’il a essayé d’utiliser la Fon, il s’est rendu compte que son mot de passe ne fonctionnait plus et a demandé un nouveau mot de passe en utilisant l’outil “J’ai oublié mon mot de passe”. Cependant, à la réception du message de Fon sur le sujet, il y avait son mot de passe dans le corps du courriel.
M. Legierski dit qu’il s’attendait à recevoir une nouvelle combinaison, à partir de laquelle il accéderait au site Fon et enregistrerait un nouveau mot de passe. Cependant, après avoir réalisé que le courriel est arrivé avec le mot de passe à cet endroit, pour que tout le monde puisse le voir, le développeur lance un appel : que tous les utilisateurs de Fon changent leurs mots de passe pour des mots de passe uniques – qui ne sont pas répétés dans un autre coin du réseau – et utilisent des applications de gestion des mots de passe.
Dans son article, un certain nombre de personnes se demandent si Fon conserve vraiment les mots de passe sans aucun cryptage. La discussion est bonne et le questionnement est valable, puisque le développeur ne présente aucune preuve indéniable que les serveurs de Fon manquent de sécurité. En revanche, si cela était vrai, une communauté de 6 millions d’utilisateurs serait en danger.
J’attends une réponse de Fon sur le sujet. Dès qu’ils parleront, je reviendrai ici pour obtenir des précisions.
