Internet : une étude se penche sur la politique de gestion des mots de passe
86 % « n’arrivent pas au seuil minimum des règles de base »
Dashlane vient de publier son baromètre de la sécurité informatique au deuxième trimestre 2014. L'étude porte sur 44 sites internet et plus précisément sur leur gestion des mots de passe. Si une partie des utilisateurs doivent apprendre à changer leurs habitudes, c'est également l'occasion de voir qu'il en est de même pour certains sites.
Le monde de la sécurité informatique est souvent secoué par des failles de sécurité (même si toutes ne sont pas de l'ampleur de Heartbleed) et par les cyberattaques. Les données des utilisateurs sont alors parfois en vadrouille sur Internet, y compris en ce qui concerne les mots de passe (comme L'Équipe par exemple). On ne le répétera d'ailleurs jamais assez, mais la règle de base impose d'utiliser des mots de passe différents pour chaque site et de mélanger autant que possible les chiffres, les nombres et les caractères spéciaux.
Si une partie des utilisateurs doit revoir son approche de la sécurité, qu'en est-il des sites ? Dashlane, une société spécialisée dans la gestion des mots de passe, vient de publier son baromètre de la sécurité du deuxième trimestre. Bien évidemment, il s'agit de mettre en avant sa solution maison, mais les résultats de cette enquête n'en restent pas moins intéressants.
Pour 44 sites, pas moins de 22 critères différents sont analysés, mais 6 seulement sont regroupés dans un tableau récapitulatif par site. On y retrouve la longueur minimale du mot de passe (4 à 8 caractères), l'utilisation obligatoire de caractères alphanumériques, la présence d'un indicateur de robustesse, l'envoi d'un email de confirmation lors d'un changement, le verrouillage du compte après 10 tentatives infructueuses et, cerise sur le gâteau, autoriser des mots de passe du genre « motdepasse ». Un score final allant de - 100 à+ 100 est alors établi.
Voici une partie des résultats de leur enquête avec les 10 premiers sites :
Dans cette infographie, ils synthétisent les résultats... qui ont de quoi donner quelques sueurs froides. Ainsi, 52 % des sites acceptent des mots de passe comme azerty, abc123, motdepasse, 123456, 111111. De plus, les trois quarts des sites n'obligent pas à utiliser un mélange de chiffres et de lettres, tandis que plus de la moitié ne bloque pas le compte après dix tentatives de connexion.
Au total, la société indique que, selon son analyse, « 86 % des sites étudiés n’arrivent pas au seuil minimum des règles de base en matière de mots de passe ». Mais qui s'en sort le mieux ? Le trio de tête est composé d'Apple, de Live.com et d'UPS. Les trois derniers sont Spartoo, Meetic Afinity et Showrooprive. Si l'on regarde par catégorie, Dashlane précise que « le baromètre montre que ce sont les sites de rencontre qui obtiennent la plus mauvaise moyenne avec - 45. Suivent les sites de sécurité (- 23 de moyenne), de e-commerce (- 21) et de voyages (- 16) ».
La France n'est pas spécialement un bon élève. Dashlane indique que « 66% des sites français ont reçu des notes négatives (contre 53% sur l’ensemble de l’étude) » et ajoute que « 68 % des sites français acceptent « motdepasse » comme mot de passe ».
- Accédez à l'enquête de Dashlane ou bien téléchargez tous les documents par ici.
Commentaires (38)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 10/07/2014 à 16h12
Le 10/07/2014 à 16h18
Le 10/07/2014 à 16h25
Le 10/07/2014 à 16h26
Il faut utiliser LastPass les gens.
Ce truc est juste magique.
Le 10/07/2014 à 16h30
En quo l’utilisation obligatoire de caractères alphanumériques serait-il une bonne chose ? Au contraire, ça fragilise les mots de passe ! S’ils ne sont pas foutus de nettoyer (sanitize) les entrées utilisateur c’est un autre problème.
Et qu’est-ce que c’est que cette étude foireuse qui ne s’intéresse même pas à tout ce qui compte vraiment (mode de stockage des mdp, algo de hachage côté serveur, algo de chiffrement ssl côté, etc). Et pourquoi se focaliser sur “motdepasse” alors que des dizaines d’autres mdp sont très courants ?
C’est n’importe quoi cette “étude”.
Le 10/07/2014 à 16h47
Du coup Outlook.com n’est pas testé ?
Le 10/07/2014 à 16h49
Les mauvais élèves ont décidé de changer de nom, pour être en conformité avec ces résultats. Nous aurons donc :
Le 10/07/2014 à 16h50
il faut toutefois relativiser
ca n’est pas le site lui meme qui est mal sécurisé, c’est la génération du mot de passe qui ne repecte pas quelques regles simples
MAIS
si sur un de ces sites là vous utilisez un mot de passe deja fort, par essence, ca n’est pas leurs regles d’attribution/de gestion du mot de passe qui devrait vous inquieter mais des regles d’utilisation dans la gestion du mot de passe lui meme:
par exemple le processus de reset de mot de passe en cas d’oubli (question de secu avant de le balancer sur l’email enregistrée ? car si l’email est elle meme compromise…)
Le mot de passe est il stocké en clair ou avec du hash
l’acces aux coordonnées banquaires (si elles sont stockées) dispose t il d’une couche supplémentaire de sécurité (demande du cryptogramme, et/ou verification de l’adresse d’expedition et geolocalisation de l’ip de connexion au compte)
CA, en ce qui me concerne ce sont des criteres plus pertinents ! (exemple d’amazon descendu en flamme car amazon etant le grand satan du moment - prix des livres, etc- il convient de le basher, hors certaines precautions prises par le site pour les achats meme en cas d’utilisation du compte apres authentification sont nettement plus rassurantes)
d’autre part les mecs vous le disent sur la page de l’etude: ils sont tous nuls ou presque alors utilisez notre produit à nous pour le faire à leur place (hmmm? un peu de partialité)
plus loin ils disent que plusieurs site atteignent meme pas les 50 alors que les regles “de base” (selon la bienseance de ces messieurs) sont a 66 ce qui fait passer les sites ayat moins de 50 pour des grosses branques qu’on devrait carrement interdire de collecte/creation de données utilisateurs par le swat du coin
hors il n’y a QUE 3 sites qui brillent par leur score superieur à 66: apple, microsoft et ups. De là à dire que ce sont les plus gros qui auraient ET les moyens ET l’interet mediatique de fournir un gros cheque a dashlane pour ne pas etre montré du doigt par leur etude, pire pour leur faire un peu de pub et redorer leur blason ecorné par differentes affaires (mauvais traitements des salariés, nsa carpette style, fichage/flicage, espionnage et profilage commercial de leurs clients etc) et aussi les plus gros dont on a pas interet de s’attirer l’inimitié (car les gens de dashlane bossent tous sous win/office, ont un iphone et recoivent leurs marchandises par ups…)
traitez moi de parano, mais cette etude est de toute facon biaisée et ne sert qu’à faire frémir le populo et la menagere de +50 MEME SI une/plusieurs VRAIES etudes objectives avec de VRAIS criteres orientés du point de vue de l’utilisateur devraient etre faites sur le sujet
Le 10/07/2014 à 16h59
Le 10/07/2014 à 17h07
Le 10/07/2014 à 17h15
Bon, c’est un peu space l’étude.
En plus, moi, la solution, c’est un mot de passe bien chiadé 20 caractères minuscule, majuscule, non alpha et chiffre. Différent pour chaque site. Le tout stocké bien au chaud dans un gestionnaire de mot de passe.
Sauf que …
Certains sites refusent des mots de passe trop long ! Le pire ? Celui de ma banque, pas plus de 8 caractères (pas moins) et pas de non alpha ! Pas rassurant tout cela. Heureusement qu’ils envoient un SMS de confirmation à chaque virement.
Donc, étude très (trop) incomplète pour un vrai intérêt.
Le 10/07/2014 à 17h40
Le 10/07/2014 à 18h10
Le 10/07/2014 à 18h19
Le 10/07/2014 à 18h33
Le 10/07/2014 à 21h03
Le 13/07/2014 à 20h14
Ca a été déjà dit j’suis d’accord c’est clairement très flippant de voir encore des mots de passes envoyées par email, et plus que transitant en clair, ils sont donc stocké en clair ou déchiffrable depuis le serveur.
" />
Le 15/07/2014 à 01h51
Le 15/07/2014 à 02h11
trop tard pour éditer, autre approximation a la pelleteuse : 500 mots.
" />
(there are about 500,000 words in the English language)
@Djaron : très bon ton lien, a lire jusqu’au bout!
Le 10/07/2014 à 15h42
Bof, rien d’illogique.
" /> Relisez bien le contrat…
La sécurité est du ressort de l’utilisateur/client. On ne va quand même pas dépenser de l’argent pour ça, non ?
Le 10/07/2014 à 15h46
l’envoi d’un email de confirmation lors d’un changement,
J’espère qu’ils ont aussi pris en compte que dans certains email de confirmation d’inscription des sites te redonne ton mot de passe en clair et continue à le faire après chaque modification.
Sachant que les emails sont des cartes postales, bonjour la sécurité …
Le 10/07/2014 à 15h49
Le 10/07/2014 à 21h18
Ce que je trouve agaçant ce sont les sites qui affichent lors de l’inscription “mot de passe non conforme aux exigences requises” mais qui ne les précisent qu’après X tentatives obligeant à “dégrader” le mot de passe au fur et à mesure… une sorte de loterie avec remise
Le 10/07/2014 à 21h24
Le 10/07/2014 à 21h48
Le 10/07/2014 à 23h27
Moi ce qui m’énerve c’est les systèmes qui imposent un caractère spécial. Pour l’obligation d’une majuscule que je met généralement en début de mot ça me les cassent aussi.
« 68 % des sites français acceptent « motdepasse » comme mot de passe ».
En même temps, si on commence à bannir les mots de passe sensibles aux attaques par dictionnaire, ils mettent quoi à la place les utilisateurs ? leur date de naissance ? Il y a aussi une curieuse habitude qu’ont les utilisateurs insouciants qui est de mettre un mot de passe qui contient le login.
Le 11/07/2014 à 07h46
Un bon logiciel au passage pour les mots de passe :
keepass :http://keepass.info
Le 11/07/2014 à 08h14
J’aurais été amusé de voir les résultats de MyTF1.fr, qui te renvoie ton mot de passe en clair quand tu l’as oublié…
Le 11/07/2014 à 08h16
@Djaron : je suis pas certain de la méthode de calcul :/
je suis aussi preneur d’une étude ou d’un document à l’appui
autre que xkcd qui, je pense aussi, ne calcul pas correctement la chose (je peux me tromper hein, mais ca me semble très très bizare)
je considère que les mots aléatoires (correct horse stapple black) sont équivalent à un caractère (c h s b) car le brut force va les tester en tant que mot et non lettre par lettre, donc une grosse phase sera réduite à l’équivalent de 4 blocs si on veut, 4 blocs relativement simple qui plus est
alors que Fa_P9VMz23*$zZ par exemple, prend en compte un bien plus de combinaison possible (alors certes, pour les lettres, on sera limité a 26, chiffres a 10, etc) mais la totalité formera un ensemble quasi unique.
je ne comprends pas trop comment (correct horse stapple black) est plus sécurisé…
Le 11/07/2014 à 08h30
Le 11/07/2014 à 09h50
Le 11/07/2014 à 11h15
Encore une pseudo étude réalisé par une entreprise pour vendre son produit…
Le 11/07/2014 à 11h27
Le 11/07/2014 à 12h43
Le 11/07/2014 à 12h49
Le 11/07/2014 à 15h38
j’etais moi meme adepte des mots de passe de geek incomprehensibles mais lorsque j’ai du gerer de la securité avec d’autres personnes que juste moi (utilisateurs lambda non techniciens) j’avais été confronté au probleme du maillon faible:
a quoi ca serte des politiques de mot de passe “propres” (changement tous les xx jours, caracteres imposés, longueur minimum) si ensuite les gens mettent tout le temps le meme, se l’echangent, l’affichent sur un post it sur le clavier, etc…
du coup à cette époque j’etais tombé sur cet article
http://www.baekdal.com/insights/password-security-usability
entre autre
ce dessin aussihttp://www.journaldugeek.com/files/2011/08/mot-de-passe.png qui visiblement est mentionné ici dans les commentaires sous la reference xbcd
désolé de paraitre neuneuh mais objectivement j’avais trouvé ca censé et aupres du grand publique (clients, utilisateurs finaux ou stagiaires) cad non geek, j’ai tendance à m’appuyer dessus plutot que de leur recommander des pass aleatoires ou compliqués comme ceux que je me colle pour moi meme depuis des annees parce que chez moi je fais ce que je veux mais dans leur cas ca vaut toujours mieux que des mdp du style “peluche” ou “[datedenaissace][nomdel’amoureux]” ou “machindudepartement[xx]”
Le 11/07/2014 à 15h40
Le 11/07/2014 à 16h06