la sécurité des sites web : abus en tous genres

20 min, 3 mails, 4 demandes de saisie de 9 caractères, 2 captchas (suite de caractères aléatoires à reproduire ici, écrits par un enfant de 6 mois en pleine crise de fou rire)... Voilà la punition pour qui aurait perdu le mot de passe de son compte de fidélité plus que célèbre en France.

A ce prix, je pense qu’il faut songer à oublier les 1 000 malheureux petits points de fidélité qui donnent accès à une demi-boîte de crayons de couleur  (il faut 5000 Points, soit 50 AR Paris Perpignan ou 70 Billets pour la Tour Eiffel, 2 tonnes de saumon de Norvège pour la boîte entière).

l’abus de sécurité est un des méfaits de notre époque

Pensant détenir des secrets d’Etats alors qu’ils ne sont assis que sur des bases de données de noms et d’adresses non-vérifiées (et souvent fausses car les utilisateurs ne veulent plus recevoir de pub abusive, vous savez combien il y a de Jean-Claude Duss/Van damme dans ces bases ?), les gestionnaires de sites Web vaguement transactionnels multiplient les prétendues mesures de sécurité au risque d’effrayer leurs clients.

Ces mesures agaçantes humilient mon père de 80 ans, ingénieur et plutôt agile avec son PC, dégouttent mes ados qui sentent le flicage paranoïaque - genre contrôle parental des années 90 - et rebutent mes amis qui me téléphonent pour que je les dépannent. Ce que je ne fais plus…

Ces décisions intellectuellement minimalistes et caricaturales sont prises en dépit du bon sens, celui qui veut que le client est roi et que la concurrence règle le marché.

Avec ces abus de sécurité, on défend quoi ? Quelques listes d’adresses non-vérifiées associés à des comptes de points de fidélité qui ne s'échangent que sur un seul site ? Une paire de décisionnaires techniques qui veulent pouvoir prouver à un tribunal imaginaire qu’ils ont fait le maximum pour éviter les attaques ? Quelles attaques ? Celle de leur imagination ? Pour voler quoi ? Des pages d’annuaires mal recopiées ?

l’oubli des règles indispensables d’une vraie sécurité

Ces mesures vexatoires et anxiogènes ne trahissent qu’une seule chose : une immense incompétence de ceux qui oublient les règles indispensables d’une vraie sécurité :

  • Evaluation du risque (le vrai, issu de l’intelligence humaine, pas celui des marchands de sécurité) et qui indique le niveau de sécurité dû. Ma banque en ligne m’identifie avec un mot de passe simple mais vérifie les scénarios de connexion et m’interroge quand je me connecte d’un endroit inédit, à une heure inédite, pour une action inédite… Je n’ai jamais eu besoin de resetter mon password, même quand il change : il est facile à retenir !
  • Proportionnalité de la réponse : imposer deux captchas (seules les geeks solitaires et mangeurs de pizzas froides retiennent le nom de ce procédé envahissant…) pour un site de points de fidélité, c’est faire plus que ma Banque… On se trompe de niveau de sécurité, on effraie l’utilisateur/client et on pense avoir raison. L’usage de la force légale ne se fait qu’au nom de la proportionnalité qui explique que l’on ne défend pas un bac à sable avec un char d’assaut ! Trop de sécurité tue la sécurité… et le business !
  • Assumer ses responsabilités. Faire porter la responsabilité de l’authentification à l’utilisateur final en multipliant les niveaux de contrôle, c’est oublier ses propres responsabilités ou tenter de les transférer sur l’utilisateur. Il n’est pas dit qu’en cas d’incident, un tribunal ne puisse pas renvoyer vers le fournisseur de service en ligne la responsabilité de la sécurité… Sur le site d’à côté, on ne me demande pas d’être le vigile du supermarché où je vais faire mes courses !

Alors voilà, moi, je vais désormais boycotter les sites et le services qui me cassent les pieds avec des mots de passe impossibles, des procédures de reset kafkaïennes,  des niaiseries de geek prétendument sécuritaires et dont nous savons par la presse qu’ils sont aussi robustes qu’est certaine la météo à 10 jours. 

Je veux surfer tranquille, je ne veux pas m’occuper de sécurité, je veux être en sécurité et je ne veux pas payer pour cela. Basta.

Débrouillez-vous, ou j’irais faire valoir ma loyauté de client sur un autre site Web !

Eric

Crédit photo : © ras-slava - Fotolia.com

Eric Domage

Membre du comité de direction de la business unit sécurité d'Orange Business, je suis en charge de la proposition de valeur (positionnement, compétitivité), d'actions d'influence (marché, analystes) et de la posture concurrentielle. Je veille à maintenir les offres de sécurité d'Orange Business dans les classements internationaux et dans les esprits des décideurs. Je contribue à l'élaboration du Business Plan de la BU et au reporting. J'anime les équipes marketing sécurité hors de France (Europe, APAC et US). Je suis un des portes-parole de la BU sécurité et j'organise un cycle d'événements de marque autour des compétences sécurité du groupe Orange. Je contribue à l'éducation interne au groupe au sujet de nos solutions de sécurité.