Une faille dans le mail de Netscape

Pour aller plus vite, les internautes ont pris l’habitude de mémoriser leur mot de passe de connexion à leur serveur de messagerie électronique. Une habitude qui pose un sérieux problème de sécurité si l’on en croit les informaticiens de la firme américaine RST. Ils ont découvert que les mots de passe de Netscape étaient stockés sur l’ordinateur sous une forme cryptée mais facile à déchiffrer. Suivant la version de Netscape, le mot de passe peut même être récupéré par une page Web à l’aide d’un script qui lit le contenu du fichier de préférences de l’utilisateur. Si certains de ses dirigeants se sont expliqués dans la presse américaine, la firme n’a diffusé aucun communiqué de mise en garde pour ses clients.

Interrogé par le Wall Street Journal, un responsable de Netscape a expliqué que le mode de protection du mot de passe avait été conçu pour permettre aux experts de retrouver un mot de passe oublié par l’internaute. Grave erreur, affirme RST, qui souligne que les hackers et autres pirates sont, eux aussi, des experts informatiques. Les ingénieurs décrivent la méthode qui relève d’un simple jeu de permutation de caractères comme les enfants le pratiquent souvent pour échanger des secrets.

La récupération d’un mot de passe à l’insu de l’internaute peut engendrer de graves conséquences. Le pirate peut facilement se faire passer pour la victime et lire ou écrire du courrier sous son nom. De plus, les gens ont la mauvaise habitude d’utiliser le même mot de passe pour des logiciels et activités différentes. Mettre la main dessus permettra par exemple de pénétrer dans le réseau d’une entreprise.

En attendant que Netscape revoie sa copie, la seule protection est de désactiver l’enregistrement du mot de passe par défaut. Il faudra donc le communiquer au logiciel à chaque tentative de lecture de la boite aux lettres électronique. Un petit désagrément qui se paie par une sécurité accrue.

Le site de Reliable Software Technology