L'histoire d'un password à 6 chiffres...
Nous sommes en 2023 et suite aux derniers sujets critiques apparus sur des grosses plateformes comme Twitter, CircleCI, Slack, LastPast (même si je n'utilise pas ce dernier), j'ai décidé de faire un tour d'horizon de mes différents comptes. Chose que je fais régulièrement (environ tous les 6 mois) mais exception pour le cas présent. Pour certains où j'update simplement le mot de passe (>= 100 caractères quand c'est possible), d'autres où j'active le 2FA car maintenant disponible (ce qui n'était pas le cas à l'époque). Puis pour certains où j'active l'authentification biométrique (pour ne pas dire le must), le cas par exemple chez Apple, Boursorama et DocuSign pour ne pas les citer 👌.
Jusqu'ici tout était pour le mieux. Néanmoins le premier cas où je rencontre un problème est celui de Sony puisqu'il me donne une belle erreur 500 (an error has occurred) lors de la connexion, sans autre explication. L'erreur est côté serveur, il est donc impossible pour moi de diagnostiquer ça... Bref l'affaire est assez vite réglée puisque je ne peux pas me connecter à mon compte (et 3 semaines après, j'ai toujours l'erreur)...
Survient ensuite le deuxième cas, et surement de loin le pire que j'ai rencontré ! Il s'agit de Amundi, un service de gestion d'épargne salariale & retraite. Pour ne pas perdre de temps, voici le soucis : impossible de définir un mot de passe autre que 6 chiffres ! Oui vous avez bien lu, uniquement 6 chiffres et rien d'autre ! Franchement... Nous sommes en 2023, comment ce genre de sécurité peut encore être présente ? Évidemment c'est sans oublier qu'eux même font un rappel à l'ordre sur la sécurité... J'en rigole encore (de sueur), même un forum pour kids fait bien mieux. Je n'ose même pas me demander si les password sont bien hashés en base de données.
Bref j'ai contacté le service en charge du support, pour savoir comment il est possible de définir un mot de passe beaucoup plus fort que ces 6 chiffres. La réponse jusqu'ici me laisse sans voix...
J'ai forcément fait un retour négatif, et la dernière réponse stipule que :
- Cela respecte bien le niveau de sécurité auquel elle est tenue
- Conformément aux recommandations relatives aux mots de passe adoptées le 21 Novembre 2018 par la CNIL, la complexité du mot de passe peut varier en fonction des mesures complémentaires mises en place pour fiabiliser le processus d'authentification
Ce n'est pas cité dans la réponse "pour des raisons de sécurité" mais j'ai pu voir qu'il y a effectivement une mesure supplémentaire, via le module reCAPTCHA de Google, qui a pour effet de déposer un cookie (de Google donc) dès lors où l'on rentre son identifiant. Et tout cela sans le consentement de l'utilisateur. Vous pouvez toujours vous rendre dans "Gestion des cookies" en bas de page pour en savoir plus mais ça ne fonctionne pas (aucun lien). Néanmoins quelques informations sur ces cookies sont disponibles dans la page "Protection des données personnelles" (rubrique "Politique d'utilisation des cookies") mais absolument rien concernant ceux de Google.
Bref d'après eux, tout ça "respecte les recommandations et les exigences minimales de la CNIL" (une des phrases dans la réponse). Ce n'est pas mon avis mais bon... 🤯
Mais j'ai tout de même reçu une réponse quelques jours plus tard :
A ce stade, j'ai arrêté de chercher plus loin, y'a plus grand chose à faire... J'espère juste que les autres établissements "bancaires" de ce type n'utilisent pas la même chose 🤔.
Pour votre banque, et l'accès à votre espace client, c'est bien différent et sécurisé. Alors oui c'est également sur une base de chiffres (très souvent entre 6 et 8) mais le traitement est bien différent. Vous avez forcément remarqué que les chiffres ne sont jamais au même endroit.
Pour une rapide explication technique (mais sans trop), je vais prendre l'exemple de Boursorama. Lorsque vous êtes sur la page de connexion (espace client), vous devez obligatoirement entrer votre numéro de compte client pour avoir accès au code. Lorsque la première étape est passée, une chaîne de caractère est générée, ce qui permet derrière d'avoir une association des chiffres à des lettres (1 chiffre = 3 lettres). Et lorsque vous cliquez sur "Je me connecte" ce sont ces lettres qui sont renvoyées. Le serveur connait le chiffre associé derrière chacune de ces 3 lettres (grâce à la chaîne de caractère). Bien évidemment cela change à chaque refresh de la page. C'est bien sécurisé (pour ma part) mais attention car ça reste au premier niveau d'authentification, j'entends par là que vous devez avoir du 2FA dès que possible !