Figaro.fr : des mots de passe en clair en vadrouille sur Google (màj)

Le site Figaro.fr a confirmé mercredi l'existence d'un défaut de sécurité par l'intermédiaire duquel les mots de passe et identifiants de certains comptes utilisateur ont pu circuler sur Internet. Ils étaient transmis, en clair, au sein d'adresses Web collectées et indexées par Google.

« Une faille informatique a permis de consulter en clair les mots de passe d'un petit nombre (moins d'1%) des internautes inscrits au Figaro.fr et ayant déposé récemment des commentaires. Le Figaro.fr présente ses excuses aux internautes concernés pour ce désagrément », a fait savoir mercredi, vers 13h, le site du quotidien. Les internautes qui disposent d'un compte sur le site sont sans surprise invités à modifier sans délai leur mot de passe, particulièrement s'ils l'utilisent aussi sur d'autres sites et services.

« Par mesure de sécurité, les mots de passe des internautes présents sur les moteurs de recherche seront réinitialisés d'office par nos équipes », souligne encore le Figaro. La particularité de cette « faille » réside en effet dans le fait qu'une partie des identifiants exposés l'a été par l'intermédiaire des moteurs de recherche.

Il semblerait que le site du quotidien ait pendant quelques temps généré des URL contenant, en clair, adresse email et mot de passe de l'internaute concerné, lorsqu'un utilisateur y publiait un commentaire. Ces URL ont ensuite été indexées par Google, sur lequel il était aisé de les retrouver par le biais d'une requête correctement ciblée. D'après le blogueur Korben, qui s'en est fait l'écho mercredi matin, l'existence de la fuite était évoquée sur le Web dès le 8 juillet au soir.

À ce stade, le Figaro indique que ses équipes techniques, saisies depuis le 10 juillet au soir, « travaillent activement à la correction de cette faille », qui se traduit déjà par la suppression de plusieurs des pages incriminées. Il écarte par ailleurs la piste d'une « éventuelle attaque informatique », un temps évoquée. Ne reste donc que l'erreur humaine.


Publication initiale : 11 juillet, 15h36

---

Mise à jour : Le Figaro a finalement expliqué mercredi soir ce qui avait rendu la fuite possible.

Le quotidien invoque un comportement inapproprié identifié dans la version 6 du gestionnaire de contenus (CMS) Drupal, qui équipe son site. Celui-ci se traduisait par la transmission des informations postées au sein d'un formulaire au travers des URL qui permettent la pagination des listes de commentaires.

Identifié, et considéré comme une faille de sécurité, il a dûment été corrigé par les équipes de Drupal. Les effets de la modification n'ont toutefois pas été correctement répercutés sur le site du Figaro, dont les formulaires font appel à des noms de variable différents.

L'affaire aurait pu se révéler sans gravité, puisqu'en théorie, seul l'internaute qui vient de poster un commentaire est exposé à cette URL contenant des informations personnelles. Problème : comme beaucoup de sites à fort trafic, Figaro.fr fait appel à un système de mise en cache, qui fait qu'une page dynamique est « stockée » pendant quelques minutes sous la forme d'une page statique, et potentiellement servie à d'autres visiteurs... ou aux robots d'indexation de Google.

Pour que les informations d'un compte soient exposées, il fallait donc, selon le Figaro, qu'un internaute s'identifie pour poster un commentaire, et publie juste après l'expiration du cache. « Cette combinaison, relativement rare, a impacté à notre connaissance 168 comptes, auprès desquels nous nous excusons vivement, et que le service client a contacté ».