Dans l’article précédent[1], on a vu les caractéristiques d’un mot de passe robuste. On a aussi vu que les gestionnaires de mots de passe étaient LA solution, car ils permettaient aux utilisateurs de créer des mots de passe longs, uniques et peu prévisibles pour chaque site qu’ils fréquentent.

L’ANSSI, l’Agence Nationale de la Sécurité des Systèmes d’Information, recommande d’ailleurs aussi d’utiliser des gestionnaires de mots de passe, qu’ils appellent « coffre-forts numériques » :

« Il est recommandé d’utiliser un coffre-fort de mots de passe permettant facilement de générer des mots de passe robustes et différents pour chaque service »

Les éditeurs de sites Internet, de leur côté, doivent faire le nécessaire pour permettre aux utilisateurs de saisir ces mots de passe robustes. Concrètement, ils doivent autoriser les internautes à saisir un long mot de passe composé d’une grande variété de caractères (chiffres, lettres, caractères spéciaux, etc), et leurs permettre d’importer ou de copier le mot de passe de leur gestionnaire.

Au-delà de l’autoriser, ils devraient même l’imposer comme l’a rappelé la CNIL[2] récemment :

« [La CNIL] considère que […] la longueur et la complexité d’un mot de passe demeurent des critères élémentaires [et] rappelle que […] le mot de passe doit comporter au minimum douze caractères - contenant au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial - ou le mot de passe doit comporter au moins huit caractères - contenant trois de ces quatre catégories de caractères »

Il n’est malheureusement pas rare que certaines sociétés ignorent ces recommandations et utilisent des mécanismes d’authentification alternatifs, contre toute logique.

Exemple : MIF Assur

Trois personnes décontractées sont assises ou couchées
Bannière du site mifassur.com. À leurs places, je ne serais pas aussi serein.

C’est le cas notamment de la société MIF Assur qui propose à ses utilisateurs de se connecter à leur espace personnel à l’aide d’un mot de passe composé uniquement de 6 chiffres.

Six chiffres ça veut dire un code entre 000000 et 999999 soit exactement un million de possibilités. C’est beaucoup pour un humain, mais une machine pourrait tester toutes les possibilités très rapidement.

Heureusement, à l’instar des cartes bancaires, le compte se bloque après trois tentatives infructueuses.

Les surprises ne s’arrêtent pas là. Les développeurs de MIFAssur ont aussi eu l’ingénieuse idée de demander à leurs utilisateurs de saisir ce code, non pas au clavier, mais en cliquant sur une grille composée de chiffres (aléatoirement ?) placés.

Le texte « mot de passe » suivi d’une grille avec des cases vides et des cases avec des chiffres
Saisie du code sur mifassur.com

L’intérêt d’un tel mode de saisie est discutable. Les experts de MIFAssur ont probablement pensé se prémunir des keyloggers[3]. En réalité, les bienfaits de ce type de saisie sont minimes par rapport aux inconvénients qu’apportent un tel dispositif.

En effet, ce système d’authentification n’est pas compatible avec la majorité des gestionnaires de mot de passe[4]. Et ne pensez même pas copier/coller le mot de passe que vous auriez noté au préalable, cela a aussi été bloqué.

Autant dire qu’il y a très peu de chances que les utilisateurs choississent un code aléatoire s’ils n’ont même pas la possibilité de l’enregistrer dans leur gestionnaire favori. Beaucoup se tourneront probablement vers les chiffres qu’ils connaissent le mieux, leur date de naissance ou pire, vers les codes 000000 ou 123456 que MIFAssur n’a pas pris le soin de bloquer.

Pour couronner le tout, ce système révolutionnaire n’utilise pas l’adresse e-mail de l’utilisateur comme identifiant, mais un « numéro de sociétaire ». En réalité, il ne s’agit pas d’un numéro, mais d’un ensemble de chiffres et de lettres (aléatoires ?), fourni lors de la souscription d’un contrat.

Cet identifiant devra, lui aussi, être mémorisé par l’utilisateur, en plus de son code à six chiffres. Et si par malheur il se trompe trois fois, il est bon pour appeler le service client qui réinitialisera le code à 000000 après avoir fait les vérifications[5] d’usage. Le numéro n’est pas surtaxé, dieu merci.

Réponse de l’intéressée

MIFAssur a été contactée mais ils n’ont pas jugé utile d’expliquer leurs choix.

Morgan Schmiedt : « Pourquoi imposer uniquement 6 chiffres comme mot de passe pour son espace perso ? Et ne pas permettre de le saisir librement ou de le copier/coller ? »

MIFAssur : « Bonjour, l’outil informatique est paramétré de cette façon ce qui implique un mot de passe à 6 chiffres. »

Note : Il est important de préciser que le système d’authentification de MIFAssur n’est pas pour autant illégal, car les recommandations[6] de la CNIL autorisent les éditeurs à utiliser des mots de passe moins robustes si des mesures de protection complémentaires sont prises, comme c’est le cas ici avec la restriction du compte au bout de 3 tentatives, et si une information supplémentaire est demandée, comme c’est le cas ici avec le numéro du compte de l’utilisateur.

Note 2 : le choix s’est porté sur cette société car leur site illustrait au mieux les propos de cet article. L’objectif n’est pas de dénigrer leur travail, mais de faire comprendre au plus grand nombre les problèmes d’un tel dispositif et inciter les éditeurs de sites Internet à ne pas l’utiliser. Je me sens aussi obligé d’indiquer que je ne suis pas client auprès de cette société et ne l’ai jamais été. Je n’ai aucun lien avec cette société ni avec des sociétés d’assurance concurrentes.

MAJ du 11/10/2021 : ajout des recommandations de l’ANSSI.

Notes et références

  1. Les utilisateurs sont encouragés à utiliser un gestionnaire de mots de passe. Voir « Tous les mots de passe ne se valent pas ».
  2. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  3. Un keylogger est un appareil physique ou un logiciel qui permet d’enregistrer les frappes du clavier, ou les interactions de l’utilisateur avec l’ordinateur. Ils sont utilisés essentiellement pour espionner une personne à son insu. Il semblerait que la traduction française soit enregistreur de frappe.
  4. Les gestionnaires de Firefox, Chrome et de LastPass n’ont pas réussi à saisir automatiquement le mot de passe. Seul Safari semble fonctionner.
  5. Les informations demandées sont le nom, le prénom, la date de naissance et le numéro du sociétaire. Le nom, prénom et la date de naissance n’étant pas considérés comme des informations confidentielles, il semblerait que toute la sécurité repose sur ce fameux numéro de sociétaire. Malheureusement il ne peut pas être changé.
  6. Les recommandations de la CNIL sur la sécurité d’une authentification par mot de passe : Délibération n° 2017-012 du 19 janvier 2017.