Dans l’article précédent, on a vu les caractéristiques d’un mot de passe robuste. On a aussi vu que les gestionnaires de mots de passe étaient LA solution, car ils permettaient aux utilisateurs de créer des mots de passe longs, uniques et peu prévisibles pour chaque site qu’ils fréquentent.

Les éditeurs de sites Internet, de leur côté, doivent faire le nécessaire pour permettre aux utilisateurs de saisir ces mots de passe robustes. Concrètement, ils doivent autoriser les utilisateurs à saisir un long mot de passe composé d’une grande variété de caractères (chiffres, lettres, caractères spéciaux, etc), et leurs permettre d’importer ou de copier le mot de passe de leur gestionnaire.

Au-delà de l’autoriser, ils devraient même l’imposer comme l’a rappelé la CNIL1 récemment :

« [La commission] considère que […] la longueur et la complexité d’un mot de passe demeurent des critères élémentaires […][et] rappelle que […] le mot de passe doit comporter au minimum douze caractères - contenant au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial - ou le mot de passe doit comporter au moins huit caractères - contenant trois de ces quatre catégories de caractères »

Il n’est malheureusement pas rare que certaines sociétés ignorent ces recommandations et utilisent des mécanismes d’authentification alternatifs, contre toute logique.

Exemple : MIF Assur

Trois personnes décontractées sont assises ou couchées
Bannière du site mifassur.com. À leurs places, je ne serais pas aussi serein.

C’est le cas notamment de la société MIF Assur qui propose à ses utilisateurs de se connecter à leur espace personnel à l’aide d’un mot de passe composé uniquement de 6 chiffres.

Six chiffres ça veut dire un code entre 000000 et 999999 soit exactement un million de possibilités. C’est beaucoup pour un humain, mais une machine pourrait tester toutes les possibilités très rapidement.

Heureusement, à l’instar des cartes bancaires, le compte se bloque après trois tentatives infructueuses.

Les surprises ne s’arrêtent pas là. Les développeurs de MIFAssur ont aussi eu l’ingénieuse idée de demander à leurs utilisateurs de saisir ce code, non pas au clavier, mais en cliquant sur une grille composée de chiffres (aléatoirement ?) placés.

Le texte « mot de passe » suivi d’une grille avec des cases vides et des cases avec des chiffres
Saisie du code sur mifassur.com

L’intérêt d’un tel mode de saisie est discutable. Les experts de MIFAssur ont probablement pensé se prémunir des keyloggers2. En réalité, les bienfaits de ce type de saisie sont minimes par rapport aux inconvénients qu’apportent un tel dispositif.

En effet, ce système d’authentification n’est pas compatible avec la majorité des gestionnaires de mot de passe3. Et ne pensez même pas copier/coller le mot de passe que vous auriez noté au préalable, cela a aussi été bloqué.

Autant dire qu’il y a très peu de chances que les utilisateurs choississent un code aléatoire s’ils n’ont même pas la possibilité de l’enregistrer dans leur gestionnaire favori. Beaucoup se tourneront probablement vers les chiffres qu’ils connaissent le mieux, leur date de naissance ou pire, vers les codes 000000 ou 123456 que MIFAssur n’a pas pris le soin de bloquer.

Pour couronner le tout, ce système révolutionnaire n’utilise pas l’adresse e-mail de l’utilisateur comme identifiant, mais un « numéro de sociétaire ». En réalité, il ne s’agit pas d’un numéro, mais d’un ensemble de chiffres et de lettres (aléatoires ?), fourni lors de la souscription d’un contrat.

Cet identifiant devra, lui aussi, être mémorisé par l’utilisateur, en plus de son code à six chiffres. Et si par malheur il se trompe trois fois, il est bon pour appeler le service client qui réinitialisera le code à 000000 après avoir fait les vérifications4 d’usage. Le numéro n’est pas surtaxé, dieu merci.

Réponse de l’intéressée

MIFAssur a été contactée mais ils n’ont pas jugé utile d’expliquer leurs choix.

Morgan Schmiedt : « Pourquoi imposer uniquement 6 chiffres comme mot de passe pour son espace perso ? Et ne pas permettre de le saisir librement ou de le copier/coller ? »

MIFAssur : « Bonjour, l’outil informatique est paramétré de cette façon ce qui implique un mot de passe à 6 chiffres. »

Note : le choix s’est porté sur cette société car leur site illustrait au mieux les propos de cet article. L’objectif n’est pas de dénigrer leur travail, mais de faire comprendre au plus grand nombre les problèmes d’un tel dispositif et inciter les éditeurs de sites Internet à ne pas l’utiliser. Je me sens aussi obligé d’indiquer que je ne suis pas client auprès de cette société et ne l’ai jamais été. Je n’ai aucun lien avec cette société ni avec des sociétés d’assurance concurrentes.

Notes et références

  1. CNIL : Commission Nationale de l’Informatique et des Libertés.
  2. Un keylogger est un appareil physique ou un logiciel qui permet d’enregistrer les frappes du clavier, ou les interactions de l’utilisateur avec l’ordinateur. Ils sont utilisés essentiellement pour espionner une personne à son insu. Il semblerait que la traduction française soit enregistreur de frappe.
  3. Les gestionnaires de Firefox, Chrome et de LastPass n’ont pas réussi à saisir automatiquement le mot de passe. Seul Safari semble fonctionner.
  4. Les informations demandées sont le nom, le prénom, la date de naissance et le numéro du sociétaire. Le nom, prénom et la date de naissance n’étant pas considérés comme des informations confidentielles, il semblerait que toute la sécurité repose sur ce fameux numéro de sociétaire. Malheureusement il ne peut pas être changé.