Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

La sécurité des sites web : abus en tous genres

La sécurité des sites web : abus en tous genres
2013-06-242013-06-24Web/Techfr
Trop de sécurité tue la sécurité. Et cela traduit une immense incompétence de ceux qui oublient les règles indispensables d’une vraie sécurité...
Publié le 24 Juin 2013 par Eric Domage dans Web/Tech
la sécurité des sites web : abus en tous genres

20 min, 3 mails, 4 demandes de saisie de 9 caractères, 2 captchas (suite de caractères aléatoires à reproduire ici, écrits par un enfant de 6 mois en pleine crise de fou rire)... Voilà la punition pour qui aurait perdu le mot de passe de son compte de fidélité plus que célèbre en France.

A ce prix, je pense qu’il faut songer à oublier les 1 000 malheureux petits points de fidélité qui donnent accès à une demi-boîte de crayons de couleur  (il faut 5000 Points, soit 50 AR Paris Perpignan ou 70 Billets pour la Tour Eiffel, 2 tonnes de saumon de Norvège pour la boîte entière).

l’abus de sécurité est un des méfaits de notre époque

Pensant détenir des secrets d’Etats alors qu’ils ne sont assis que sur des bases de données de noms et d’adresses non-vérifiées (et souvent fausses car les utilisateurs ne veulent plus recevoir de pub abusive, vous savez combien il y a de Jean-Claude Duss/Van damme dans ces bases ?), les gestionnaires de sites Web vaguement transactionnels multiplient les prétendues mesures de sécurité au risque d’effrayer leurs clients.

Ces mesures agaçantes humilient mon père de 80 ans, ingénieur et plutôt agile avec son PC, dégouttent mes ados qui sentent le flicage paranoïaque - genre contrôle parental des années 90 - et rebutent mes amis qui me téléphonent pour que je les dépannent. Ce que je ne fais plus…

Ces décisions intellectuellement minimalistes et caricaturales sont prises en dépit du bon sens, celui qui veut que le client est roi et que la concurrence règle le marché.

Avec ces abus de sécurité, on défend quoi ? Quelques listes d’adresses non-vérifiées associés à des comptes de points de fidélité qui ne s'échangent que sur un seul site ? Une paire de décisionnaires techniques qui veulent pouvoir prouver à un tribunal imaginaire qu’ils ont fait le maximum pour éviter les attaques ? Quelles attaques ? Celle de leur imagination ? Pour voler quoi ? Des pages d’annuaires mal recopiées ?

l’oubli des règles indispensables d’une vraie sécurité

Ces mesures vexatoires et anxiogènes ne trahissent qu’une seule chose : une immense incompétence de ceux qui oublient les règles indispensables d’une vraie sécurité :

  • Evaluation du risque (le vrai, issu de l’intelligence humaine, pas celui des marchands de sécurité) et qui indique le niveau de sécurité dû. Ma banque en ligne m’identifie avec un mot de passe simple mais vérifie les scénarios de connexion et m’interroge quand je me connecte d’un endroit inédit, à une heure inédite, pour une action inédite… Je n’ai jamais eu besoin de resetter mon password, même quand il change : il est facile à retenir !
  • Proportionnalité de la réponse : imposer deux captchas (seules les geeks solitaires et mangeurs de pizzas froides retiennent le nom de ce procédé envahissant…) pour un site de points de fidélité, c’est faire plus que ma Banque… On se trompe de niveau de sécurité, on effraie l’utilisateur/client et on pense avoir raison. L’usage de la force légale ne se fait qu’au nom de la proportionnalité qui explique que l’on ne défend pas un bac à sable avec un char d’assaut ! Trop de sécurité tue la sécurité… et le business !
  • Assumer ses responsabilités. Faire porter la responsabilité de l’authentification à l’utilisateur final en multipliant les niveaux de contrôle, c’est oublier ses propres responsabilités ou tenter de les transférer sur l’utilisateur. Il n’est pas dit qu’en cas d’incident, un tribunal ne puisse pas renvoyer vers le fournisseur de service en ligne la responsabilité de la sécurité… Sur le site d’à côté, on ne me demande pas d’être le vigile du supermarché où je vais faire mes courses !

Alors voilà, moi, je vais désormais boycotter les sites et le services qui me cassent les pieds avec des mots de passe impossibles, des procédures de reset kafkaïennes,  des niaiseries de geek prétendument sécuritaires et dont nous savons par la presse qu’ils sont aussi robustes qu’est certaine la météo à 10 jours. 

Je veux surfer tranquille, je ne veux pas m’occuper de sécurité, je veux être en sécurité et je ne veux pas payer pour cela. Basta.

Débrouillez-vous, ou j’irais faire valoir ma loyauté de client sur un autre site Web !

Eric

Crédit photo : © ras-slava - Fotolia.com

2 Commentaires

  • 26 Juin 2013
    2013-06-26
    par

    Haha bien vu Thierry : on vient juste de le retirer pour une autre solution mystère... :-)

    Pour info le captcha, c'était pour lutter contre le spam. Est-ce un abus ? Je laisse Eric trancher ! :P

    Rémi

  • 25 Juin 2013
    2013-06-26
    par
    Thierry GUIBERT
    Mais pour poster un commentaire pour dire qu'Eric a bien raison, il faut passer par un captcha.....
    C'est con quand même

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage