La semaine dernière, lors de l’inscription à un site de commerce en ligne, j’ai reçu une confirmation d’inscription qui prenait la forme suivante.
Le gros rectangle noir est mon mot de passe qui a été envoyé en clair, sans être crypté. Je croyais cette pratique révolue…
Envoyer un mot de passe en clair dans un courriel équivaut réellement à divulguer celui-ci à qui le veut. Les protocoles et les mécaniques reliées à l’envoi de courriel sont tout sauf sécuritaires. Du moins, pas au point d’y envoyer son mot de passe de cette façon.
Le problème est à deux niveaux. En premier lieu, il s’agit d’une confiance qui a été brisée entre moi et ce marchand. Ses services de spas et de massage sont dignes de mention, mais son service en ligne doit être significativement amélioré. Ensuite, il y a clairement un problème d’incompétence lors de la réalisation de ce site de commerce en ligne.
En tant que consommateur, j’avais confiance en ce marchand pour qu’il puisse gérer mes informations de connexion de façon sécuritaire. Sans me douter de la suite, j’y ai entré un mot de passe que j’utilise régulièrement sur des sites de commerce en ligne. Maintenant, ce mot de passe est potentiellement exposé et moins sécuritaire. Offrir une expérience en ligne sécuritaire ne se limite pas seulement à activer le chiffrement de connexion (HTTPS).
Il n’y a pas d’excuses à inventer. Cela peut être de l’insouciance, un manque de budget ou même, encore pire, un requis spécifique. Aucune raison valable ne peut expliquer d’envoyer un mot de passe de cette façon par courriel. Le concept de la gestion de l’authentification par l’entremise d’un formulaire est un concept testé et éprouvé.
Qui plus est, mon mot de passe a été envoyé en clair dans un courriel. Il serait, par la suite, légitime de se demander si le mot de passe a été initialement crypté avant d’être enregistré dans la base de données du site. Encore pire, s’il a été crypté, l’algorithme qui a été choisi fait en sorte qu’une clé secrète peut être décryptée facilement. C’est encore une moins bonne nouvelle.
Je ne connais pas l’identité de la boîte qui a développé la plateforme de commerce en ligne pour le Strom Spa Nordique, mais cette pratique doit arrêter le plus rapidement possible.
Dans le passé, j’ai déjà mentionné que j’ai travaillé pour une agence qui développait des solutions de commerce en ligne. J’y ai côtoyé des individus passionnés par le commerce en ligne et qui connaissaient leur affaire dans ce domaine. Ce que j’ai retenu de mon passage là bas est que de mettre en place une expérience d’achat en ligne n’est pas une aventure simple et demande énormément de réflexion.
La leçon à retenir ici est qu’il est possible de faire mieux. Beaucoup mieux. Le principal levier que nous avons est l’éducation. Il est primordial de partager le principe qu’une navigation sécurisée arrive avec beaucoup d’implications que le développeur web doit gérer avec grand soin.
Souvenez-vous: « Le programmeur est la dernière frontière entre l’imagination d’un client et la réalité technologique« .
French Coding 
Une réflexion sur “Développeurs web, un conseil, juste comme ça: n’envoyez pas de mot de passe par courriel!”