Salut à tous !
Je viens pester ici, car je n'en peux plus ! Je vais devenir dingue ! J'ai besoin de comprendre !
Et où à part sur un forum fréquenté par des développeurs professionnels pourrais-je avoir ne serait-ce qu'un début d'explication ?
Une chose qui commence à me taper sur le système est cette mode du digicode mot de passe à 4, 6 ou 8 chiffres, mais qu'est-ce que c'est que ce bins ?
C'est en train de se répandre sur internet comme une trainée de poudre, et surtout paradoxalement sur des sites à données sensibles, c'est dingue !
Comment les administrateurs et développeurs peuvent-ils implémenter ce genre de truc ? Sont-ils réellement incompétents ?
N'y a-t-il plus de formations en sécurité dans le développement web ? Dans l'administration de sites web ? Ça coûte trop cher ? Y a t-il autre chose sous-jacent de moins évident ?
Je ne comprends pas.
Ce qui est pire, c'est que parfois ce digicode est inexistant dans certaines parties de ces sites, c-a-d que la saisie du mot de passe se fait au clavier dans un champ de formulaire html, alors autant dire que pour faire un brute force sur un nombre à 4, 6 ou 8 chiffres, c'est du gâteau, et même s'il y avait un éventuel blocage sur un compte après x tentatives échouées, il est évident que l'on tombera inéluctablement sur un bon mot de passe de tel compte au bout d'un moment, et je suis certain que ça doit être encore plus simple.
Je ne suis pas un as en sécurité informatique, bien au contraire, ni même en crack de mots de passe (ça ne m'intéresse pas), je ne bosse pas dans l'informatique, mais quand même, pas besoin d'être sorti de saint-cyr pour se rendre compte que ces systèmes sont foireux.
Et si j'ai besoin d'entrer un mot de passe avec ce *!§%! de digicode dans un lieu public où n'importe qui peut zieuter mon écran, parce que oui, tant qu'à faire, faisons des digicodes gigantesques, histoire que tout le monde puisse le voir de loin ! Je dois amener une couverture avec moi pour faire une isolation entre moi et mon écran avec le reste du monde ?
Un autre exemple d'incompétence, j'ai modifié récemment mes coordonnées bancaires pour un service nécessaire duquel j'ai un prélèvement automatique chaque mois (type fournisseur de flotte, énergie, tél.), vous savez quoi ? Ces idiots m'ont envoyé un email de confirmation avec mes nouvelles coordonnées bancaire en clair dans l'email, aaaaahhhhhh, au-secours, pourquoi ? Mais pourquoi ?
Je suis conscient que la sécurité informatique est un domaine très pointu, mais tout de même, il y a des bases que tout développeur devrait connaître, et je suis certain que même pour un utilisateur lambda sensé, pour lequel se retrouver devant un écran ne rend pas bête comme ses pieds (bon ça court pas les rues je sais), doit aussi se rendre compte que c'est problématique d'un point de vue confidentialité et sécurité des données.
Aussi, mais pourquoi les sites de banques en lignes, ou autres types de sites avec données très sensibles viennent insérer des scripts google externes ou autres scripts de clouds alakon ? Au-secours !
Remarque, lorsqu'on voit que même sur un site de développeurs pros en informatique, on vient également insérer du javascript google, on comprend le pourquoi du comment (moinssez-moi pour ce tacle gratuit, je l'ai bien mérité).
Note: J'ai voulu écrire dans la partie débats sur le développement, mais je me suis ravisé, car mon sujet ne respecte sans doute pas la forme requise pour un vrai débat objectif, même si pour moi, ce sujet est bien sérieux.
Partager