Gmail ne badine pas avec la sécurité

Je dispose comme beaucoup d’internautes de plusieurs « identités » sur internet, chacune associée à un compte de messagerie différent. Il y a quelques jours, j’ai voulu utiliser une vieille adresse Gmail dont je ne m’étais pas servi depuis longtemps. Problème : impossible de retrouver le mot de passe. J’ai donc fait appel au système de récupération de mot de passe de Google.

Je sélectionne le problème que je rencontre, « je ne connais pas mon mot de passe », j’indique l’adresse e-mail concernée et j’appuie sur le bouton Continuer.

Le système me demande de fournir le dernier mot de passe dont je me souvienne. J’ai totalement oublié le mot de passe que j’avais utilisé à l’occasion de la création du compte, je clique donc sur le bouton Je ne sais pas.

Les choses sérieuses commencent, comme semble l’indiquer la barre de progression qui s’affiche à l’écran (une barre de progression pour la récupération d’un mot de passe ?) Le système me réclame une adresse e-mail à laquelle je peux être joint. Je m’exécute et je valide avec le bouton Continuer.

On rentre dans le vif du sujet. Le système me réclame cette fois – et les réponses sont obligatoires :
• la date de ma dernière connexion (sous la forme peu française mois / jour / année) : pas toujours facile de s’en souvenir (impossible dans mon cas) ;
• la date de création du compte ! Sérieusement, il y a beaucoup de gens qui se souviennent de la date de création de leur compte e-mail ?

J’entre des dates très approximatives et je valide.

Cette fois, le système me réclame plusieurs adresses de contacts à qui j’ai fréquemment envoyé des e-mails. Pas trop compliqué pour une personne qui utilise régulièrement son compte. Plus étrange, le système réclame également les noms de quatre libellés au maximum : je vois bien de quoi il s’agit, mais je ne suis vraiment pas certain que ce soit le cas de tous les utilisateurs de Gmail… Pour finir, on me demande la première adresse (il y en a eu plusieurs ?) de récupération de mot de passe dont je me souvienne. Euh…

Google a tout de même prévu un bouton permettant de passer ces questions. Sage décision. Je passe à la suite.

Dans cette dernière étape, le système me demande les noms des autres produits de Google que j’utilise, ainsi que leur date (approximative) de première utilisation.

Quelques remarques au passage :
• Les menus déroulants trop court pour afficher tout le texte, ça ne fait pas très sérieux, ça ne ressemble pas à du Google (ou alors à du Google translate.)
• La gestion des erreurs est à revoir : si par mégarde j’entre un nom de produit mais que je fournis pas de date de première utilisation, le message suivant s’affiche :

Problème, il n’est pas possible de désélectionner le produit Google. La seule façon de procéder, c’est de revenir à la page précédente avec le bouton du navigateur. Pas évident.

Je clique sur le bouton Envoyer, et…

Victoire ! Je vais enfin pouvoir accéder à ma boîte mail !

(Au passage, j’apprécie beaucoup la dernière phrase de cette page. « Si vous n’avez pas reçu d’e-mail de réinitialisation de mot de passe et que votre dossier de spam est vide, essayez d’accéder à votre compte d’une autre manière. » Qu’est-ce que ça peut bien vouloir dire ?)

Je comprends très bien l’importance de la sécurisation de ce genre de données, et je pense qu’une récupération complexe est vraiment une bonne chose. Pour autant, certaines données réclamées ici (date de création du compte, libellés – heureusement facultatifs, date de première utilisation des autres produits Google…) semblent particulièrement inaccessibles.

Expérience utilisateur : interlude sécurité

L’une de mes premières notes traitait du site d’Ameli et de la sécurité toute relative qu’offre un mot de passe composé uniquement « de 8 à 13 chiffres ». En ajoutant les contraintes « pas de numéro de sécu, pas de suite de chiffres ni de date de naissance personnelle », je tablais sur un grand nombre de dates de naissance (enfant, conjoint) et de numéros de téléphone.

J’ai aujourd’hui trouvé plus fort. Chez Verspieren, le mot de passe doit impérativement être… une suite de 4 chiffres. Je table cette fois sur un (très) grand nombre de dates de naissance et de codes de carte bleue (ou de codes PIN, ce qui revient au même, non ?)

Interlude sécurité - un mot de passe à 4 chiffres chez Verspieren

Note : j’aime beaucoup la mention « site sécurisé » en bas à droite.

Verspieren est une mutuelle (entre autre). On trouve ainsi sur le site différentes données plus ou moins intéressantes : le nom du client, son adresse, son numéro de téléphone, son e-mail, son numéro de sécurité sociale, ses coordonnées bancaires, ses remboursements, etc.

Quatre chiffres pour protéger ce genre de choses ? 10000 possibilités, est-ce vraiment sérieux ?

J’en ai discuté avec une amie. Sa réaction m’a particulièrement étonné : « Tu sais, la Caisse d’épargne fait pareil ». Une banque ?!

Je me rends sur le site de la Caisse d’épargne, j’entre son identifiant client pour tester et je valide. La page se recharge et m’affiche ceci :

Interlude sécurité - le clavier spécial 4 chiffres du site de la Caisse d'épargne

Il s’agit bien d’un code confidentiel à 4 chiffres. Avec une petite différence toutefois : il est impossible de taper le code dans le champ dédié. L’utilisateur doit impérativement utiliser le clavier numérique affiché sur la page, clavier dont les numéros s’affichent dans un ordre aléatoire.

Je ne sais pas ce que cette méthode vaut en terme de sécurité (mais 4 chiffres, ça m’inquiète un peu). Je ne sais pas non plus ce qu’elle vaut en terme d’accessibilité (mais j’ai une petite idée). Ce que je sais, c’est qu’en terme d’expérience utilisateur, cette méthode n’est pas satisfaisante du tout.

Je suis très surpris de voir des sites aussi importants imposer des mots de passe aussi faibles.

Il y a quelques jours, une personne a hacké (je suppose) mon compte Vimeo. Je ne sais pas comment ça s’est passé*, j’ai simplement constaté qu’une vidéo au titre particulièrement explicite avait été postée sur mon compte. Mon mot de passe n’était pas extrêmement sécurisé (j’utilise différents mots de passe, je les sélectionne entre autre en fonction de l’importance des données protégées) mais présentait tout de même 8 caractères alphanumériques.

Interlude sécurité - compte Vimeo hacké

S’il est si facile de récupérer un mot de passe potentiellement complexe, j’ai bien peur que quatre petits chiffres ne résistent pas longtemps à une personne mal intentionnée et un peu douée…

Bonus

On trouve à l’inverse de très bonnes initiatives visant à sécuriser l’accès à un compte personnel. Chez Twitter par exemple, l’utilisateur est assisté lorsqu’il crée un mot de passe. Un message lui indique en temps réel le niveau de sécurité du code utilisé. (L’image ci-dessous est un gif animé, apparemment elle ne s’anime pas lorsqu’elle est redimensionnée… Il faut cliquer dessus pour l’afficher.)

Interlude sécurité - assistant de création de mot de passe Twitter

* Je me suis toujours connecté depuis mon ordinateur portable, que je n’ai jamais prêté et que j’avais avec moi le jour où c’est arrivé. J’ai peut-être commis une erreur, j’aimerais bien savoir laquelle.

Sécurité et autres écueils sur ameli.fr

La sécurité sociale offre depuis plusieurs années à ses assurés la possibilité de s’inscrire sur son site internet afin de ne plus recevoir de relevés de remboursement par voie postale. Suite à la réception d’un courrier m’incitant à ouvrir mon compte en ligne, j’ai décidé de tester ce service il y a quelques jours.

Je me rends sur www.ameli.fr comme me le recommande le courrier, puis je clique sur l’encart en bas à gauche « Mes remboursements en temps réel … J’ouvre mon compte ».


(On ne met pas d’espace devant des points de suspension, mais ce n’est pas le propos.)

La page sur laquelle je suis redirigé me propose plusieurs choses :
• je peux commander un code provisoire (tiens, on me parle de code provisoire, alors que le courrier fait mention d’un simple code) si je n’ai pas encore de compte ameli ;
• je peux résoudre mes problèmes d’accès ;
• je peux consulter une démo pour connaître les avantages du compte ameli ;
• je peux me connecter à mon compte.
Et pour les gens qui ont reçu un code par courrier mais qui n’ont pas encore de compte ?

Cette page manque de précision. Un simple bouton « vous avez reçu un code par courrier et souhaitez créer votre compte » résoudrait cet écueil.


(Les astérisques présentes à côté des légendes ne renvoient à rien, mais ce n’est pas le propos.)

Par déduction, je choisis « connexion à votre compte » (compte que je n’ai pas encore créé : le choix des mots est à revoir.) Je saisis mon numéro de sécurité sociale, puis mon code confidentiel (tiens, on me parle de code confidentiel désormais), et je valide en cliquant sur « me connecter ».

La page suivante décrit les conditions d’utilisation du compte. Je clique sur continuer.


(Les boutons radio se baladent à droite des labels au lieu d’être proprement alignés à gauche, mais ce n’est pas le propos.)

Je suis désormais sur la page de création de compte. Première remarque : le langage utilisé dans le premier paragraphe ne correspond pas tout à fait à ce que l’on attend d’un organisme comme la sécurité sociale. La phrase « C’est votre première visite… » devrait être supprimée. Deuxième remarque : les 2 mentions « tous les champs sont à compléter obligatoirement », ainsi que le texte « de 8 à 13 chiffres » sont en verdana… 8pt ! Dire que la sécurité sociale ne rembourse quasiment pas les achats de lunettes…

Le premier champ à remplir est intitulé « Mon code confidentiel provisoire », le second « Mon code personnel ». Si je récapitule, jusqu’à maintenant, on m’a parlé de :
• code (dans le courrier que j’ai reçu) ;
• code confidentiel ;
• code provisoire ;
• code confidentiel provisoire ;
• code personnel.

Tout ceci est très confus. Il est indispensable d’utiliser un seul terme pour qualifier une seule chose. C’est d’autant plus vrai qu’ici le code personnel n’est pas le même que les 4 autres – qui eux se réfèrent tous au même code. Heureusement, la popup d’aide permet d’y voir un peu plus clair.

Je remplis le premier champ puis passe au second. Mon code personnel, de 8 à 13 chiffres ? Un second coup d’œil à l’aide me le confirmera, le code ne peut contenir que des chiffres ! D’un point de vue sécurité, c’est une catastrophe. Sans parler de la limitation de longueur, elle aussi très gênante. Une attaque type « bruteforce » viendrait à bout de cette sécurité en quelques heures.

L’aide précise qu’il n’est pas possible d’utiliser son numéro de sécurité sociale, une suite de chiffre ou sa date de naissance. Quelles possibilités reste-t-il ? Je me lance : je parie que plus de 80% des codes créés sont soit des dates de naissance (conjoint, enfant) soit des numéros de téléphone.

Des règles de sécurité pareilles sur le site de la sécurité sociale (63 millions d’assurés), en 2011, c’est difficile à croire. Pendant ce temps, la loi Hadopi sanctionne le défaut de sécurisation de l’accès à internet…

Je poursuis. Paragraphe suivant : « Votre question secrète vous sera demandée… ». Demander une question ? Il y a de gros efforts de français à fournir… Je poursuis (encore). « …en cas d’oubli ou de perte de votre code confidentiel ». De mon code confidentiel, ou de mon code personnel ?

Je poursuis (toujours). La question secrète permet donc de récupérer son code en cas d’oubli. Une fonctionnalité très pratique à laquelle il convient d’appliquer une règle de sécurité évidente : il ne faut pas que la réponse soit trop facile à trouver. C’est loin d’être le cas ici : le nom de votre chien, le prénom de votre premier enfant, le prénom de votre père etc. sont des données très faciles à retrouver sur internet.

Pour finir, un petit mot sur l’interface de l’ensemble. Le site utilise des codes plutôt datés : largeur limitée, polices minuscules… Une mise à jour semble nécessaire. Quant au bouton d’aide situé en haut à droite de toutes les pages, il peut induire en erreur : son contenu n’est pas relatif à la page consultée. Pas la peine d’y chercher des indications sur votre code personnel provisoire et confidentiel, il n’est question ici que de « résolution » (une aide sur la résolution d’affichage ?), de « compatibilité des environnements » et de « cookie ». Pas certain que cette popup aide qui que ce soit, finalement.

Bilan

langage peu adapté, fautes de français
taille de certaines polices
désignations approximatives de fonctionnalités et d’éléments importants
sécurité !