Gmail ne badine pas avec la sécurité

Je dispose comme beaucoup d’internautes de plusieurs « identités » sur internet, chacune associée à un compte de messagerie différent. Il y a quelques jours, j’ai voulu utiliser une vieille adresse Gmail dont je ne m’étais pas servi depuis longtemps. Problème : impossible de retrouver le mot de passe. J’ai donc fait appel au système de récupération de mot de passe de Google.

Je sélectionne le problème que je rencontre, « je ne connais pas mon mot de passe », j’indique l’adresse e-mail concernée et j’appuie sur le bouton Continuer.

Le système me demande de fournir le dernier mot de passe dont je me souvienne. J’ai totalement oublié le mot de passe que j’avais utilisé à l’occasion de la création du compte, je clique donc sur le bouton Je ne sais pas.

Les choses sérieuses commencent, comme semble l’indiquer la barre de progression qui s’affiche à l’écran (une barre de progression pour la récupération d’un mot de passe ?) Le système me réclame une adresse e-mail à laquelle je peux être joint. Je m’exécute et je valide avec le bouton Continuer.

On rentre dans le vif du sujet. Le système me réclame cette fois – et les réponses sont obligatoires :
• la date de ma dernière connexion (sous la forme peu française mois / jour / année) : pas toujours facile de s’en souvenir (impossible dans mon cas) ;
• la date de création du compte ! Sérieusement, il y a beaucoup de gens qui se souviennent de la date de création de leur compte e-mail ?

J’entre des dates très approximatives et je valide.

Cette fois, le système me réclame plusieurs adresses de contacts à qui j’ai fréquemment envoyé des e-mails. Pas trop compliqué pour une personne qui utilise régulièrement son compte. Plus étrange, le système réclame également les noms de quatre libellés au maximum : je vois bien de quoi il s’agit, mais je ne suis vraiment pas certain que ce soit le cas de tous les utilisateurs de Gmail… Pour finir, on me demande la première adresse (il y en a eu plusieurs ?) de récupération de mot de passe dont je me souvienne. Euh…

Google a tout de même prévu un bouton permettant de passer ces questions. Sage décision. Je passe à la suite.

Dans cette dernière étape, le système me demande les noms des autres produits de Google que j’utilise, ainsi que leur date (approximative) de première utilisation.

Quelques remarques au passage :
• Les menus déroulants trop court pour afficher tout le texte, ça ne fait pas très sérieux, ça ne ressemble pas à du Google (ou alors à du Google translate.)
• La gestion des erreurs est à revoir : si par mégarde j’entre un nom de produit mais que je fournis pas de date de première utilisation, le message suivant s’affiche :

Problème, il n’est pas possible de désélectionner le produit Google. La seule façon de procéder, c’est de revenir à la page précédente avec le bouton du navigateur. Pas évident.

Je clique sur le bouton Envoyer, et…

Victoire ! Je vais enfin pouvoir accéder à ma boîte mail !

(Au passage, j’apprécie beaucoup la dernière phrase de cette page. « Si vous n’avez pas reçu d’e-mail de réinitialisation de mot de passe et que votre dossier de spam est vide, essayez d’accéder à votre compte d’une autre manière. » Qu’est-ce que ça peut bien vouloir dire ?)

Je comprends très bien l’importance de la sécurisation de ce genre de données, et je pense qu’une récupération complexe est vraiment une bonne chose. Pour autant, certaines données réclamées ici (date de création du compte, libellés – heureusement facultatifs, date de première utilisation des autres produits Google…) semblent particulièrement inaccessibles.

Expérience utilisateur : interlude sécurité

L’une de mes premières notes traitait du site d’Ameli et de la sécurité toute relative qu’offre un mot de passe composé uniquement « de 8 à 13 chiffres ». En ajoutant les contraintes « pas de numéro de sécu, pas de suite de chiffres ni de date de naissance personnelle », je tablais sur un grand nombre de dates de naissance (enfant, conjoint) et de numéros de téléphone.

J’ai aujourd’hui trouvé plus fort. Chez Verspieren, le mot de passe doit impérativement être… une suite de 4 chiffres. Je table cette fois sur un (très) grand nombre de dates de naissance et de codes de carte bleue (ou de codes PIN, ce qui revient au même, non ?)

Interlude sécurité - un mot de passe à 4 chiffres chez Verspieren

Note : j’aime beaucoup la mention « site sécurisé » en bas à droite.

Verspieren est une mutuelle (entre autre). On trouve ainsi sur le site différentes données plus ou moins intéressantes : le nom du client, son adresse, son numéro de téléphone, son e-mail, son numéro de sécurité sociale, ses coordonnées bancaires, ses remboursements, etc.

Quatre chiffres pour protéger ce genre de choses ? 10000 possibilités, est-ce vraiment sérieux ?

J’en ai discuté avec une amie. Sa réaction m’a particulièrement étonné : « Tu sais, la Caisse d’épargne fait pareil ». Une banque ?!

Je me rends sur le site de la Caisse d’épargne, j’entre son identifiant client pour tester et je valide. La page se recharge et m’affiche ceci :

Interlude sécurité - le clavier spécial 4 chiffres du site de la Caisse d'épargne

Il s’agit bien d’un code confidentiel à 4 chiffres. Avec une petite différence toutefois : il est impossible de taper le code dans le champ dédié. L’utilisateur doit impérativement utiliser le clavier numérique affiché sur la page, clavier dont les numéros s’affichent dans un ordre aléatoire.

Je ne sais pas ce que cette méthode vaut en terme de sécurité (mais 4 chiffres, ça m’inquiète un peu). Je ne sais pas non plus ce qu’elle vaut en terme d’accessibilité (mais j’ai une petite idée). Ce que je sais, c’est qu’en terme d’expérience utilisateur, cette méthode n’est pas satisfaisante du tout.

Je suis très surpris de voir des sites aussi importants imposer des mots de passe aussi faibles.

Il y a quelques jours, une personne a hacké (je suppose) mon compte Vimeo. Je ne sais pas comment ça s’est passé*, j’ai simplement constaté qu’une vidéo au titre particulièrement explicite avait été postée sur mon compte. Mon mot de passe n’était pas extrêmement sécurisé (j’utilise différents mots de passe, je les sélectionne entre autre en fonction de l’importance des données protégées) mais présentait tout de même 8 caractères alphanumériques.

Interlude sécurité - compte Vimeo hacké

S’il est si facile de récupérer un mot de passe potentiellement complexe, j’ai bien peur que quatre petits chiffres ne résistent pas longtemps à une personne mal intentionnée et un peu douée…

Bonus

On trouve à l’inverse de très bonnes initiatives visant à sécuriser l’accès à un compte personnel. Chez Twitter par exemple, l’utilisateur est assisté lorsqu’il crée un mot de passe. Un message lui indique en temps réel le niveau de sécurité du code utilisé. (L’image ci-dessous est un gif animé, apparemment elle ne s’anime pas lorsqu’elle est redimensionnée… Il faut cliquer dessus pour l’afficher.)

Interlude sécurité - assistant de création de mot de passe Twitter

* Je me suis toujours connecté depuis mon ordinateur portable, que je n’ai jamais prêté et que j’avais avec moi le jour où c’est arrivé. J’ai peut-être commis une erreur, j’aimerais bien savoir laquelle.

Changement de mot de passe : Amazon lit dans mes pensées !

Mise à jour : comme le signale très justement Rémi dans les commentaires, le problème ne vient pas directement d’Amazon mais de Firefox, qui pré-remplit un champ de façon assez cavalière…

Après avoir effectué une commande sur amazon.fr, je me suis rendu sur mon compte client afin de supprimer la carte de paiement mémorisée sur le site (une fonctionnalité d’Amazon dont je ne suis pas très fan : si quelqu’un trouve mon mot de passe, il peut commander et se faire livrer tout ce qui lui passe par la tête.) J’en profite pour changer de mot de passe.

Une fois sur mon espace client, je clique sur le lien « nom, adresse e-mail et mot de passe » de la catégorie « paramètres du compte ». Je suis redirigé sur une page me permettant de changer chacun de ces paramètres.

Amazon : nom, adresse e-mail et mot de passe

Note : les étoiles affichées ici en tant que mot de passe n’ont à première vue pas grand intérêt : le mot de passe n’est pas visible, le nombre de caractères n’est même pas correct… Cela dit, ces étoiles permettent de conserver une mise en page claire (une colonne <nom-du-paramètre>, une colonne <paramètre> et une colonne <modifier-le-paramètre>) et ne perturbent pas la lecture. Elles peuvent même servir à rassurer le visiteur (« chez Amazon, mon mot de passe est bien crypté »). A la limite, un utilisateur dont le mot de passe contient 20 caractères pourrait être surpris de ne voir que 8 étoiles affichées, mais il s’agit là d’un cas assez particulier je pense.

Je clique sur le bouton « modifier » en face du mot de passe et le site me renvoie sur la page correspondante. Surprise : mon nouveau mot de passe est déjà saisi !

Amazon : nouveau mot de passe

Amazon a sélectionné un mot de passe pour moi et l’a pré-rempli. Très fort ! Dommage qu’il ne soit pas lisible…

Plus sérieusement je suppose qu’il s’agit d’un bug et que c’est le champ « mot de passe actuel » qui aurait dû être pré-rempli. C’est toutefois assez surprenant de la part d’Amazon.

Je suis également étonné de trouver un captcha sur cette page. Quel est son intérêt dans le cas présent ? Il doit y en avoir un mais je n’arrive pas à le comprendre. Ce dont je suis sûr en revanche, c’est qu’il s’agit d’une étape pénible pour de nombreux utilisateurs.

J’entre mon nouveau mot de passe deux fois, je saisis mon mot de passe actuel, je recopie le captcha et je valide. La page se recharge et un message m’indique que j’ai fait une erreur.

Amazon : problème de changement de mot de passe

Ce message est malheureusement peu compréhensible : comment peut-il y avoir « une erreur de combinaison E-mail/Mot de passe » alors qu’aucun champ e-mail n’est présent sur la page ? Les champs problématiques n’étant pas mis en valeur, je n’en saurais pas plus. Le nouveau mot de passe, quant à lui, est à nouveau pré-rempli…

Une petite question pour finir : le message publicitaire en haut à droite du site, tout le monde a droit au même ? Je suis assez surpris (décidément) qu’on me propose une offre spéciale sur des couches…