Codes et mots de passe

E-commerce: vos données personnelles sont en danger

70% des sites de vente en ligne français protègent mal les données personnelles des consommateurs, selon une étude de Dashlane. eBay.fr est le plus sécurisé, Decathlon.fr parmi les moins bien notés.

Les sites internet de vente en ligne français sont encore très majoritairement imprudents (70%) en matière de protection des données personnelles des consommateurs, notamment concernant la gestion des mots de passe de leurs comptes, relève jeudi une étude de Dashlane.

Cette société spécialisée dans la sécurisation informatique des comptes clients a étudié 12 critères de sécurité et 24 processus de gestion des mots de passe de 100 sites de e-commerce français.

L'étude montre que seuls 30% des sites étudiés ont réellement mis en oeuvre une politique responsable afin de minimiser les risques de vol ou d'utilisation frauduleuse des données personnelles.

Usurpation, fraude à la carte bancaire, etc. Ainsi, 87% des acteurs e-commerce acceptent encore des mots de passe "basiques" comme "123456" ou "motdepasse" qui sont les premiers que les pirates informatiques vont essayer.

Concernant la sécurité, 83% des sites français ne bloquent pas les accès aux comptes de leurs clients, même après 10 tentatives erronées, permettant ainsi aux hackers d'essayer tranquillement plusieurs combinaisons.

Par ailleurs, près d'un site sur deux (45%) continue d'envoyer en clair les identifiants et les mots de passe sur les boîtes mail de ses clients, ce qui fait qu'un pirate ayant accès à une ou plusieurs messageries pourra également faire aussi des achats sur internet en utilisant les données personnelles voire bancaires des utilisateurs piratés.

Obliger à complexifier les mots de passe

En revanche, note l'étude, seuls 14% des sites étudiés ont mis en place des processus obligeant les utilisateurs à complexifier leurs identifiants et mot de passe, par exemple en combinant lettres et chiffres, ou en mettant des majuscules.

Selon le classement établi par Dashlane, c'est eBay.fr qui, avec une note de 50 sur 100, est à ce jour le site français qui assure la meilleure sécurité des données personnelles de ses clients. Leboncoin.fr, Vente-privée.com et Pixmania.fr viennent juste derrière. Les sites des grands distributeurs comme E-leclerc.com (5e), Carrefour.fr (6e) et Auchan.fr (7e, ex-aequo avec Amazon) sont également bien placés.

En bas de classement, on retrouve quelques grands noms de la distribution comme Toupargel.fr, Etam.com, Boulanger.fr ou Decathlon.fr, où les dispositifs de sécurisation vis à vis des risques de piratage des comptes clients apparaissent encore insuffisants, selon Dashlane.

L'enseigne Decathlon a réagi jeudi après-midi en précisant que son site ne stockait aucune des données bancaires de ses clients et que son service de paiement en ligne était entièrement sécurisé, via un prestataire spécialisé et un cryptage des informations de compte lors de la connexion des consommateurs sur le site.

"Il n'y a donc aucun risque pour les clients qui font confiance à Decahtlon.fr lors de leurs achats en ligne", assure le numéro un des enseignes sportives en France.

Concernant la question du mot de passe, le groupe indique avoir effectivement raccourci depuis l'an dernier "les clefs de dix caractères initialement générées (...) suite à la sollicitation de nombreux clients". Il s'engage en revanche à bloquer la création de mots de passe dits "simples".

Bien choisir ses mots

Le principe est simple : il faut éviter tout mot qui peut se trouver dans un dictionnaire. Vous pourrez ainsi vous protéger des "logiciels de craquage" : la plupart d'entre eux fonctionnent avec un dictionnaire. Idem pour les prénoms, les noms de chiens, de chats ou de poisson ou les dates de naissance. Par exemple, si vous vous appelez Sophie et que vous avez choisi votre prénom comme mot de passe, une de vos connaissances - mais aussi un pirate - peut facilement le deviner.

Autre piège à éviter : utiliser le même code pour votre login et votre mot de passe. Plusieurs sites web ont été piratés parce qu'ils avaient choisi le mot "admin" pour ces deux codes. Le piratage de l'hébergeur Multimania en 1999 a montré à quel point les utilisateurs étaient imprudents dans ce domaine : parmi les codes les plus utilisés, on trouvait "123456", "abcdef" ou encore "password" et "internet". Très faciles à deviner, ces mauvais mots de passe se trouvent désormais dans les listes des logiciels crackeurs : le pirate à l'origine de l'affaire Multimania avait pris le soin de publier les 70 000 mots de passe déchiffrés sur son site, offrant ainsi à toute la communauté de hackers une base de données des codes les plus utilisés.

Pas de mémo sur le clavier

Votre mot de passe est personnel et confidentiel. Ne le donnez à personne et ne le notez nulle part, pour éviter qu'il ne soit découvert. Le mettre sur un post-it sur le clavier ou sur l'écran, ou pire encore le stocker dans un fichier informatique sont bien sûr à éviter.

Utiliser des caractères exotiques

Vous le savez désormais : un bon mot de passe ne doit pas être un mot standard. Il est conseillé de mélanger des lettres, des chiffres et des caractères exotiques pour obtenir un code sûr.

Par exemple, il sera très difficile à un pirate de deviner un code comme "h5x!m+73". Mais le problème, c'est que vous aurez aussi du mal à vous en souvenir, surtout s'il ne faut le noter nulle part !

Un code doit être facile à retenir mais difficile à deviner. Il existe des moyens pour créer des mots des passes complexes mais facilement mémorisables. La première méthode consiste à choisir une phrase, un vers de poème ou le titre d'un film que vous connaissez et de prendre les premières lettres pour constituer le mot de passe.

Exemple : Les premières lettres du film "Le fabuleux destin d'Amélie Poulain", donnent "Lfdap". Vous pourrez ajouter à ce code le nombre de lettres qui composent chaque mot : 2, 8, 1, 6 et 7 dans notre exemple. Votre mot de passe devient ainsi "Lfdap28167".

Vous pouvez jouer à volonté avec cette formule en ajoutant des "+", des "!" ou encore "/". Pour vous rappeler du code, vous n'avez qu'à penser à Amélie Poulain.

D'autres méthodes comme coller différents mots (ex: "bytheway02", pour les fans de Red Hot Chili Peppers) peuvent également être efficaces. Mais la protection est moindre face aux logiciels spécialisés qui peuvent chercher des mots juxtaposés.

Pour les plus sceptiques, il existe sur Internet des générateurs automatiques de mots de passe. Selon les critères donnés -longueur, type de caractères - ils peuvent créer un mot de passe aléatoire.

Changer régulièrement

On ne choisit pas un mot de passe à vie. Il est conseillé de le changer régulièrement : dans ce cas, même si un pirate arrive à le découvrir, il ne pourra pas s'en servir très longtemps.