Code postal : le dernier refuge de la sécurité

  • Écrit par Alvin
  • 2 mars 2008

Les sites web vous demandent classiquement, pour vous authentifier, un login et un mot de passe.

Certains sites, par contre, ne sont que des extensions d’un service que vous connaissiez déjà avant l’ère internet (carte de fidélité de votre magasin, compte client sur un site marchand, etc.) et demandent votre numéro client et date de naissance, par exemple.

Avantages: Ces sites partent du principe qu’il est peu probable que quelqu’un tombe sur votre numéro client ET votre date de naissance « par hasard »: la seule manière d’y arriver est de venir consulter vos factures chez vous. L’avantage est qu’il vous suffit d’avoir une facture ou un courrier de leur part, pour pouvoir vous authentifier, sans retenir un 250ème mot de passe.

Inconvénients: Si quelqu’un ouvre votre courrier, tombe sur ledit numéro client, et connaît votre date de naissance, il est quasiment impossible de modifier ces deux valeurs et sécuriser à nouveau votre compte. Mais bon, la facilité prime…

Jusque là, tout va bien (ou presque). Mais dans certains cas, vous n’avez pas accès à votre numéro client, et là, les sites web ont trouvé la bonne solution : vous authentifier à partir de

  • Votre nom ;
  • Votre prénom ;
  • Votre date de naissance ;
  • Votre code postal.

C’est tout. En clair : n’importe qui vous connaissant (ou trouvant ces informations en ligne) peut accéder à votre compte sur le site en question. Et ainsi :

  • Avoir accès à votre adresse postale complète, e-mail inclus ;
  • Modifier votre nom, prénom, adresse, mail, etc.
  • Passer commande d’options et débiter autant sur votre compte (cas des prélèvements automatiques) ;
  • Modifier votre abonnement (cas des abonnements).

… le tout sans envoyer au propriétaire légitime du compte un seul e-mail, courrier de confirmation, ou autre : il le verra bien en se faisant débiter, et pourra s’amuser à expliquer cette faille au service client téléphonique basé dans un pays du tiers-monde où le français est la langue vivante 7 après le roumain et le serbe.

C’est simplement ahurissant : le code postal devient un élément clé de la sécurité de vos comptes : ne dites à personne où vous habitez, et espérez que les cinq chiffres nécessaires (dont parfois deux ou trois sont triviaux !) seront suffisants pour ne pas vous faire pirater de suite. Ou faites comme moi, et fournissez des données erronnées à ces services (« Alllvin » au lieu d’ « Alvin », 14050 au lieu du 54010, etc.), tant que vous pouvez vous en souvenir vous-mêmes.

P.S.: nous passerons sur les noms des services concernés, mais il ne faut pas chercher trop loin non plus.

Informations et liens

Rejoignez le mouvement en commentant, en suivant ce que les autres ont à dire, ou en faisant un lien vers ce post depuis votre blog.

Informations
mars 2nd, 2008
Pas de réponse
Flux et liens
Flux commentaires
De cet auteur
Del.icio.us
Digg
Technorati
Catégories
Idées

Autres posts

Écrire un commentaire

Prenez un moment pour commenter et nous dire ce que vous pensez. Vous pouvez formater votre texte avec des balises HTML.

Commentaires

Soyez le premier à laisser un commentaire !