Tout développeur doit impérativement crypter les mots de passe qu'il stocke dans sa base de données. Le mot cryptage est souvent utilisé mais dans les faits, il s'agit plus souvent de hachage, une technique plus sécuritaire, surtout si elle est combinée à une clé de salage.
Lorsque les mots de passe sont stockés en clair, les usagers ne bénéficient d'aucune sécurité, d'autant plus que nous savons que de nombreux usagers - vous en faites peut-être partie - utilisent le même mot de passe pour plusieurs sites.
Dans le cas où le mot de passe est crypté mais qu'il n'utilise pas de clé de salage, les hackers tenteront de deviner le mot de passe à l'aide d'une attaque par force brute.
Il est donc important d'offrir une sécurité optimale à vos usagers à l'aide du cryptage et du salage.
De nombreux sites sont piratés à chaque jour. Parfois, les pirates réussissent à mettre la main sur la base de données qui contient toutes les informations sur les usagers.
Ces bases de données sont d'une valeur inestimable. Elles se vendent à fort prix sur le marché noir.
Avec de telles informations, les hackers tenteront d'accéder aux principaux sites d'intérêt : sites bancaires, réseaux sociaux, etc. La première chose qu'ils feront, c'est de changer le mot de passe pour que le propriétaire d'origine d'y ait plus accès.
Si le code d'usager est une adresse de courriel, ils tenteront également d'accéder au courriel en ligne. Ceci peut sembler banal mais de nombreux sites utilisent le courriel dans leur processus de réinitialisation du mot de passe...
Dans d'autres cas, les hackers tentent d'extorquer de l'argent à leurs victimes. Là, on est vraiement dans le concret et ça fait mal.
Le site Web https://haveibeenpwned.com/ permet de vérifier si votre adresse de courriel a déjà été piratée.
Dans mon cas, je sais que des pirates l'ont déjà découverte lorsqu'ils ont piraté le site 000webhost.com, un hébergeur qui permettait de mettre gratuitement un site Web en ligne.
Des pirates m'ont d'ailleurs contactée à ce sujet quelques années après que la base de données ait été dérobée. Par chance, le mot de passe que j'avais utilisé sur ce site n'était réutilisé à nulle part alors j'ai simplement ignoré leur courriel.
J'ai fait une impression d'écran de ce fameux courriel. Mon vrai mot de passe y apparaissant en clair. Si jamais ça vous arrive, vous aurez comme moi des frissons dans le dos...
▼Publicité
