Si les internautes ne sont pas réputés pour le soin qu'ils apportent à la solidité de leurs mots de passe, les services en ligne ne sont pas non plus exemplaires : une étude montre par exemple que les sites de rencontres n'ont pas une politique de sécurité très rigoureuse.

C'est un constat qui semble immuable : malgré les innombrables initiatives destinées à les sensibiliser à la sécurité informatique, les internautes dans leur grande majorité choisissent très mal leurs mots de passe. Et en la matière, les Français ne sortent vraiment pas du lot. Pire : ils seraient même les moins précautionneux en Europe, selon une étude publiée en fin d'année dernière.

Mais il ne faut pas se tromper de cible : si les internautes ne font pas beaucoup d'effort pour choisir des mots de passe robustes, c'est aussi parce que la politique de sécurité mise en place par les services en ligne est trop permissive. C'est vrai pour les sites généralistes, déjà épinglés là-dessus l'été dernier, mais aussi pour des services plus spécialisés, comme les sites de rencontres.

La société Dashlane, qui commercialise un gestionnaire de mots de passe, a voulu vérifier le niveau d'exigence que ces plateformes ont mis en place pour sécuriser l'accès aux comptes. Le bilan n'est pas fameux du tout : sur les 24 sites les plus représentatifs (dont 12 français), plus des deux tiers (70 %) obtiennent une note inférieure à 50 (la notation allant de 0 à 100).

MEETIC, ADOPTE UN MEC, BADOO…

En tout, dix-neuf critères ont été sélectionnés pour évaluer la politique de sécurité des sites de rencontres en ligne concernant les mots de passe. Cela va de la longueur minimale acceptée à la structure du mot de passe, en passant par les mesures interdisant l'utilisation de mots de passe trop simples, comme 123456. Au final, un seul site s'en sort honorablement, avec une note de 88.

Il s'agit de Christian Mingle. Parmi les autres résultats notables, citons OK Cupid (62), Adopte Un Mec (50), Zoosk (50), Adult Friend Finder (30), Ashley Madison, Meetic (28) et Badoo (22).

Et ce n'est pas tout.

Au cours du test, Dashlane a aussi constaté que certains services envoient encore mes mots de passe en clair dans les e-mails, tandis que d'autres acceptent volontiers les mots de passe d'une seule lettre. Rares sont les sites à imposer le mot de passe alphanumérique et trop peu nombreux sont ceux qui envoient  un e-mail aux utilisateurs quand leur mot de passe est modifié.

Pour Dashlane, quelques règles simples devraient être appliquées sans tarder par ces sites :

  • Demander des mots de passe > 8 caractères ;
  • Exiger des mots de passe alphanumériques ;
  • Conseilleur l’utilisateur pendant la création de son mot de passe ;
  • Rejeter les mots de passe trop courants ;
  • Ne pas envoyer de mots de passe en clair dans les mails de confirmation d’inscription ;
  • Notifier les utilisateurs lorsqu’un mot de passe est changé.

( photo : CC BY-SA Kelly Boone )

Nouveauté : Découvrez

La meilleure expérience de Numerama, sans publicité,
+ riche, + zen, + exclusive.

Découvrez Numerama+

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !