Au début du mois, je parlais déjà de Dashlane qui avait eu la bonne idée, en période de rentrée scolaire, de mettre en exergue les manquements de certains sites et applications utilisés par les enfants. Cette fois, l’éditeur du « meilleur gestionnaire de mots de passe et portefeuille numérique du monde » s’en prend aux adultes en dénonçant les pratiques des sites de rencontre mais je vous rassure toujours sur l’aspect sécurité des mots de passe. Il n’y a pas un mois sans qu’on entende parler du piratage d’un site web et un des derniers en date est un site de rencontres dont vous avez certainement dû entendre parler, Ashley Madison.
Dashlane a donc décidé de réaliser une enquête pour voir comment ce type de site web assurait la sécurité de leurs utilisateurs. Le bilan présenté sous forme d’infographie n’est pas très rose…
Tout comme pour son étude sur les sites et applications utilisés par les enfants, Dashlane a analysé 24 sites de rencontre afin d’établir un classement en fonction de leur approche de la sécurité des mots de passe. L’étude a été réalisée du 2 au 9 septembre selon 19 critères. Concernant la sécurité, je pense que le site web ne peut être tenu entièrement responsable des mots de passe saisis par leurs utilisateurs mais il doit s’assurer que celui demandé à la création du profil est un minimum renforcé (nombre de caractères, alphanumérique,…) et qu’il n’accepte pas les mots de passe simples tels que « 12345 ». Le bilan de cette étude n’est vraiment pas bon. Alors que les grands sites (Apple, Hotmail, Gmail) ont déjà pris des dispositions pour renforcer la sécurité, les sites de rencontres n’ont pas encore entrepris ces démarches. Ce n’est pas comme si les informations contenues sur ces sites étaient personnelles et confidentielles. Par exemple, sur un score maximum de 100, celui atteint par Apple, le site de rencontres le mieux positionné dans ce classement, « OK Cupid », atteint le score de 62 et seuls 3 sites sur les 24 ont la moyenne (score supérieur ou égale à 50).
Encore une fois, Dashlane souligne les mauvaises pratiques et quand on lit certains exemples, on a vraiment l’impression d’être dans un autre monde tellement la sécurité est faible. Dashlane cite les sites Badoo ou Attractive World qui envoient à leurs utilisateurs les mots de passe en clair tandis que Match.com et Plenty Of Fish acceptent des mots de passe d’une seule lettre. Comment est-ce possible ? Comment peut-on proposer ce type de service avec une sécurité des mots de passe si faible ? Je ne suis pas sûr qu’il faille appeler cela une sécurité. C’est vraiment dingue ! Si on zoome sur le marché français, Dashlane indique qu’aucun des sites étudiés n’exige un mot de passe alphanumérique (composé de lettres et chiffres). De plus, en cas de changement de mot de passe, seul la moitié des sites envoie un email à l’utilisateur. Enfin, pour ceux qui n’auraient pas été refroidis par le scandal Ashley Madison doivent savoir que les sites de rencontres extra-conjugales comme justement Ashley Madison ou encore Gleeden obtiennent respectivement des scores de 30 et 32. Avec des scores si bas, leurs utilisateurs devraient plutôt se rapprocher de leur conjoint(e) respective au lieu d’aller voir ailleurs en utilisant des sites qui ne garantissent pas toute la sécurité nécessaire à leur accès.
A propos de la sécurité des sites de rencontre, Guillaume Desnoës, Responsable des Marchés Européens chez Dashlane, a déclaré ceci :
« Ces résultats sont préoccupants pour les utilisateurs des sites de rencontre, qui sont généralement à juste titre préoccupés par la confidentialité de leurs activités. Beaucoup de sites de rencontre font preuve de laxisme au sujet de la sécurité des mots de passe. On ne le répétera jamais assez : un mot de passe fort, c’est votre ceinture de sécurité sur Internet. Si les sites de rencontre font preuve de légèreté sur la sécurité des mots de passe, leurs utilisateurs peuvent légitimement se poser la question de leur politique de sécurité en ligne dans son ensemble. Les données sur l’activité de l’utilisateur sont-elles bien sécurisées ? Dans un monde post Ashley Madison où on se demande si la vie privée existe encore, c’est crucial. »
Lors d’une étude, il est important de souligner ce qui ne va pas et donc ce qui peut ou plutôt doit être amélioré mais il est encore mieux de proposer des solutions. Dashlane le fait en listant les bonnes pratiques que ces sites devraient rapidement intégrer à leur politique de sécurité des mots de passe :
- Demander des mots de passe > 8 caractères
- Exiger des mots de passe alphanumériques
- Conseilleur l’utilisateur pendant la création de son mot de passe
- Rejeter les mots de passe trop courants
- Ne pas envoyer de mots de passe en clair dans les mails de confirmation d’inscription
- Notifier les utilisateurs lorsqu’un mot de passe est changé
Désormais, les utilisateurs et les webmasters de ces sites sont prévenus…Que ce soit pour des sites utilisés par les enfants ou par les adultes, les règles fondamentales de sécurité listées par Dashlane et dont certaines ont été reprises dans mon précédent article restent valables en toute circonstance.
Wsh les gas