L’éditeur EBP épinglé pour sa sécurité

La société EBP est une entreprise française qui développe des logiciels de facturation ou de gestion des devis. Mais celle-ci s’est attiré l’attention de plusieurs experts en sécurité qui ont fait remarquer sur Twitter que la société ne respectait pas les bonnes pratiques édictées par la CNIL en matière de mots de passe.

 

Comme le rapporte Nextinpact, une réinitialisation de mot de passe chez EBP provoque l’envoi d’un mail contenant le mot de passe de l’utilisateur en clair. Contacté par Next, EBP explique que les mots de passe en question sont chiffrés et non hashés, ce qui signifie que les administrateurs de la société sont techniquement capables d’accéder aux mots de passe des utilisateurs. Une méthode jugée obsolète par la CNIL qui précise dans son guide sur les mots de passe que ceux-ci doivent être « transformés au moyen d’une fonction cryptographique non réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé. » Si les administrateurs sont en mesure d’accéder aux mots de passe des clients, cela représente un risque de sécurité.

Faciliter les demandes de réinitialisation des mots de passe

EBP explique avoir choisi de privilégier cette approche afin de pouvoir répondre plus facilement aux demandes de réinitialisation des mots de passe client. EBP promet être en train de réfléchir à une remise à jour de leur système afin de ne plus être en mesure d’accéder aux mots de passe en clair et d’être donc dans les clous. Le problème est le même du côté de chez Free, mais contrairement à EBP ces derniers n’ont pas commenté l’affaire.

EBP a également été épinglé pour son implémentation de HTTPS, qui accepte encore les connexions utilisant SSLv3 et RC4, deux protocoles jugés obsolètes depuis 2015. Là aussi, c’est un choix assumé de la part d’EBP, qui préfère conserver ce protocole afin de ne pas venir bloquer la connexion de clients utilisant encore des navigateurs datés. EBP explique que ces protocoles doivent être peu à peu supprimés, mais qu’ils rencontrent encore des difficultés avec certains clients.

La CNIL a mis en ligne fin janvier un guide de bonnes pratiques concernant le stockage des mots de passe. La Commission ne manque pas de relever les manquements liés à la sécurité lors de ses contrôles, et ceux-ci peuvent justifier une sanction si la CNIL le juge nécessaire.