IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    9 103
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 9 103
    Points : 209 940
    Points
    209 940
    Par défaut Une enquête révèle un fossé entre les générations dans les habitudes en matière de sécurité et vie privée
    Une enquête révèle un fossé entre les générations dans les habitudes en matière de sécurité et vie privée,
    la génération Y peu soucieuse des données de l'entreprise ?

    L’américain Fortinet, spécialiste dans les solutions de sécurité pour les réseaux et les ordinateurs, a étudié les différences dans les habitudes liées à la gestion des mots de passe, aux données personnelles entre la génération X et la génération Y. Pour ce faire, l’entreprise a étudié un univers relativement petit en respectant la parité homme-femme ; 150 individus de la génération X (âgés entre 33 et 48 ans) et 150 de la génération Y (âgés entre 18 et 32 ans).

    Les résultats révèlent que la plupart changent leur mot de passe de façon périodique, ne serait-ce qu’une fois par an. 16% d’entre eux (19% génération Y, 13% génération X) indiquent le changer mensuellement, 30% (25% génération Y, 35% génération X) le font trimestriellement, et 9% (11% génération Y, 7% génération X) le font chaque année. Néanmoins, plus de 40% des deux générations ont déclaré n’avoir jamais changé de mots de passe, à moins d’y être contraints. 70% du panel affirme conserver le même mot de passe partout. Quatre répondants sur dix utilisent pour leur part des mots de passe uniques pour chaque site qu’ils visitent.

    Lorsqu’il a été question de mots de passe pour accéder au téléphone, près de la moitié (49%) de la génération X a déclaré ne pas y avoir recours, contre 37% pour l’autre génération. Parmi ceux qui ont déclaré l’utiliser, le système le plus populaire est de loin le code PIN à quatre chiffres avec 47% des suffrages. Les mots de passe complexes qui incluent les caractères alphanumériques viennent en seconde position avec 26%. Ils sont suivis par les mots de passe qui consistent à reproduire une forme géométrique enregistrée comme « clé » (21%). Les mots de passe biométriques comme la reconnaissance faciale ou encore d’empreinte digitale n’ont récolté que 5% des suffrages.

    Pour déterminer la valeur des données personnelles, chaque groupe a été invité à classer par ordre d’importance le type de données qu’ils auraient le plus peur de perdre : information médicale, boîte email, déclarations de revenus, fichiers personnels, fichiers de travail, mots de passe en ligne, le contenu de courriels, historique de navigation sur Internet, historique des achats en ligne et adresse IP. Pour les deux groupes, le numéro de sécurité sociale était la donnée qu’ils avaient le plus peur de perdre et en troisième position les deux ont placé les mots de passe en ligne.

    La génération Y a classé les déclarations de revenus en second, puis l’historique des achats en ligne en quatrième et le contenu de courriels en cinquième position. La génération X pour sa part a placé les adresses mail en second, l'historique de la navigation en quatrième et les fichiers de travail en cinquième position.

    John Maddison, vice-président marketing pour le compte de Fortinet, n’a pas manqué d’exprimer son inquiétude : « il est intéressant de noter que si les courriels de travail sont venus en cinquième pour la génération X, ils ne sont pas classés dans le top cinq pour la génération Y », a-t-il déclaré. Une enquête précédente de Fortinet a révélé que 51% de la génération Y ignore les politiques de l'entreprise qui recommandent de limiter l'utilisation de leurs propres appareils ou services Cloud au travail. « Dans l'ensemble, la génération Y se dit essentiellement, 'nous ne nous soucions pas de ce que nos employeurs disent. Nous allons utiliser n'importe quel appareil au travail et si les données de entreprises se perdent ou disparaissent, tant pis. »

    Source : Fortinet

    Et vous ?

    Qu'en pensez-vous ? Êtes-vous d'accord avec les conclusions de cette étude ?

    Qu'est-ce qui, selon vous, peut expliquer cette différence dans les habitudes des deux générations en matière de sécurité ?

  2. #2
    Membre à l'essai
    Profil pro
    Inscrit en
    Novembre 2011
    Messages
    12
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Novembre 2011
    Messages : 12
    Points : 16
    Points
    16
    Par défaut Et les webmaster?
    Bon,
    que les utilisateurs soient stupide et peu informé, on le savait et cette étude ne permet que de mettre des chiffres derrière ce que tout le monde savait plus ou moins.

    Une petite histoire qui en dit long sur le manque de considération de ces problèmes de mots de passe des utilisateurs:
    Récemment j'ai changé mon mot de passe sur le site internet de mon assurance (qui vend aussi des prestations bancaires....). Je reçois immédiatement un mél me confirmant que XXXX est mon nouveau mot de passe.
    Recevoir un email avec mon nouveau mot de passe???? C'est problématique en ce qui concerne la sécurité.
    J'écris au webmaster pour lui indiquer le problème:
    1. Envoyer un mot de passe par mél est un risque car les boites mél font souvent l’objet d'attaques. Dont c'est à utiliser que dans le cas où l'utilisateur perd ses identifiants.
    2. Comme il est capable de renvoyer les mots de passe en cas de perte, il les stocke en clair dans une base de donnée. Ce qui pose un problème de sécurité en cas de vol de la base.


    Réponse: Son site est sûr puisque la communication est chiffrée pas SSL!

    À quand une étude sue le manque de compétence sur la sécurité informatique des webmaster?

  3. #3
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Manager / Cyber Sécurité
    Inscrit en
    Mai 2004
    Messages
    10 150
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Manager / Cyber Sécurité

    Informations forums :
    Inscription : Mai 2004
    Messages : 10 150
    Points : 28 130
    Points
    28 130
    Par défaut
    Citation Envoyé par Stéphane le calme Voir le message
    Lorsqu’il a été question de mots de passe pour accéder au téléphone
    Cette question n'a pas lieue d'etre, puisque les possibilites ne sont pas les memes sur les differentes machines ! La reconnaissance biometrique n'est dispo que sur les iPhones5S et C, alors que le dessin geometrique n'est pas du tout dispo sur Apple...


    La génération X a classé [...] le contenu de courriels en cinquième position. La génération Y pour sa part a placé [...] les fichiers de travail en cinquième position.

    John Maddison, vice-président marketing pour le compte de Fortinet, n’a pas manqué d’exprimer son inquiétude : « il est intéressant de noter que si les courriels de travail sont venus en cinquième pour la génération X, ils ne sont pas classés dans le top cinq pour la génération Y », a-t-il déclaré.
    "Il est interessant de noter que si les fichiers de travail sont en 5eme position pour la generation Y, ils ne sont meme pas dans le top 5 de la generation X". Faut-il en conclure que les plus anciens n'ont aucune consideration des fichiers de travail ???? Bien sur que non.

    Une enquête précédente de Fortinet a révélé que 51% de la génération Y ignore les politiques de l'entreprise qui recommandent de limiter l'utilisation de leurs propres appareils ou services Cloud au travail. « Dans l'ensemble, la génération Y se dit essentiellement, 'nous ne nous soucions pas de ce que nos employeurs disent. Nous allons utiliser n'importe quel appareil au travail et si les données de entreprises se perdent ou disparaissent, tant pis. »
    Des conclusions tres tres hatives d'un melange de 2 etudes, qu'il ne faut surtout pas prendre au pied de la lettre.

    Il faut aussi voir que les employeurs ne demandent pas les memes choses a differentes personnes : si tu demandes a un quadra/quinqua de consulter ses mails a la maison, beaucoup vont te repondre "file-moi le materiel pour me connecter et je le ferai (peut-etre)", alors qu'une majorite des employes de la generation Y repondra "OK, donnez-moi les informations pour que je me connecte avec MA machine", et l'employeur le fait.


    Cette etude est a mon sens nulle et non avenue.

  4. #4
    Membre extrêmement actif
    Profil pro
    Inscrit en
    Décembre 2003
    Messages
    1 616
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2003
    Messages : 1 616
    Points : 3 966
    Points
    3 966
    Par défaut
    Citation Envoyé par tetanos Voir le message
    Recevoir un email avec mon nouveau mot de passe???? C'est problématique en ce qui concerne la sécurité.
    J'écris au webmaster pour lui indiquer le problème:
    1. Envoyer un mot de passe par mél est un risque car les boites mél font souvent l’objet d'attaques. Dont c'est à utiliser que dans le cas où l'utilisateur perd ses identifiants.
    2. Comme il est capable de renvoyer les mots de passe en cas de perte, il les stocke en clair dans une base de donnée. Ce qui pose un problème de sécurité en cas de vol de la base.


    Réponse: Son site est sûr puisque la communication est chiffrée pas SSL!

    À quand une étude sue le manque de compétence sur la sécurité informatique des webmaster?
    "Marrant" j'ai vécu la même chose avec mon hébergeur et leur nouvel extranet.
    Le mot de passe n'est peut être pas stocké en clair, il est peut-être chiffré, mais la clef traîne quelque part, puisque qu'il te le déchiffre...

    Le webmaster a le dos large. Le nombre de compétences qu'il faut cumuler pour quelqu'un de sérieux dans ce métier dépasse de beaucoup ce que l'on peut imaginer. Cependant tu as raison.
    Mais je crois que tu peux élargir cette réflexion à l'ensemble des développeurs/programmeurs quel que soit le langage et l'environnement de développement.
    Et de mon constat :
    - soit la sécurité est la spécialité
    - soit le développement est la spécialité

    et il est rare que l'on cumule à un bon niveau ces 2 compétences. Qu'elles soient en plus reconnues ?

  5. #5
    Membre à l'essai
    Profil pro
    Inscrit en
    Novembre 2011
    Messages
    12
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Novembre 2011
    Messages : 12
    Points : 16
    Points
    16
    Par défaut
    Citation Envoyé par fredoche Voir le message
    Le webmaster a le dos large. Le nombre de compétences qu'il faut cumuler pour quelqu'un de sérieux dans ce métier dépasse de beaucoup ce que l'on peut imaginer. Cependant tu as raison.
    Mais je crois que tu peux élargir cette réflexion à l'ensemble des développeurs/programmeurs quel que soit le langage et l'environnement de développement.
    Ce qui est affligeant n'est pas l'incompétence, mais quand un utilisateur rapporte un problème la conscience professionnelle veux qu'un cherche à corriger le problème.
    Ici, on a certainement à faire à un de ces web-master qui comme tout "cadre" n'est capable que de déléguer et non de résoudre les problèmes.
    Il est plus simple dans ce cas de nier le problème.
    Non franchement ce web-master n'est pas forcément incompétent, il se dit simplement que pour l'instant il n'a pas de problèmes de sécurité... C'est de l'inconscience ou plus grave de la fainéantise.

  6. #6
    Membre chevronné
    Avatar de lilington
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juin 2005
    Messages
    681
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : Chine

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Juin 2005
    Messages : 681
    Points : 1 802
    Points
    1 802
    Par défaut
    Citation Envoyé par tetanos Voir le message
    . C'est de l'inconscience ou plus grave de la fainéantise.
    hihi petit hors sujet. pour moi c'est plus grave d'etre inconscient que faineant. le premier peut meme couter la vie

  7. #7
    Membre extrêmement actif
    Profil pro
    Inscrit en
    Décembre 2003
    Messages
    1 616
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2003
    Messages : 1 616
    Points : 3 966
    Points
    3 966
    Par défaut
    Quand à la fainéantise, il est prétendu par beaucoup que c'est la caractéristique d'un bon programmeur.

    Notamment en matière de sécurité applicative

    Comprenne qui pourra

  8. #8
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Janvier 2007
    Messages
    10 233
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 52
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Janvier 2007
    Messages : 10 233
    Points : 28 261
    Points
    28 261
    Par défaut
    Citation Envoyé par fredoche Voir le message
    "Marrant" j'ai vécu la même chose avec mon hébergeur et leur nouvel extranet.
    Le mot de passe n'est peut être pas stocké en clair, il est peut-être chiffré, mais la clef traîne quelque part, puisque qu'il te le déchiffre...
    Et même dans ce cas là, c'est une ignominie et une absurdité la plus absolue.
    Et c'est malheureusement une pratique plus que courante.

    Message aux webmasters et autres développeurs :
    ON NE STOCKE JAMAIS UN MOT DE PASSE DE CONNEXION MÊME CRYPTÉ, ON NE STOCKE QU'UN HASH SALÉ


    Ceci dit, je connais une boite où les mot de passe des utilisateurs sont imposés par l'admin, 5 caractères, majuscules (uniquement) et chiffres. Et ils n'ont pas changé depuis 4 ans.

  9. #9
    Membre extrêmement actif
    Profil pro
    Inscrit en
    Décembre 2003
    Messages
    1 616
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2003
    Messages : 1 616
    Points : 3 966
    Points
    3 966
    Par défaut
    bah on est d'accord

    m'enfin au bout d'un moment... c'est pas comme si on était en 2014

    Ce que je ne comprends pas, c'est que c'est un extranet tout neuf, il est mis en production à moitié buggué.
    Mes mots de passe, je les recevais en créant un nouveau ticket ou un nouveau message sur l'application. Message qui disait "votre mot de passe vient d'être modifié".
    Il a fallu que je crée un ticket pour qu'il prenne en compte et corrige le problème, recevant à nouveau mon mot de passe, en gras dans le courrier bien sur, avec le sujet ci-dessus.
    Et je leur fais donc la remarque que ces mots de passe doivent être stockés en clair dans l'applicatif, puisque je les reçois.

    réponse de l'hébergeur :
    Le mot de passe n'est pas stocké en clair, mais lorsque vous vous connectez, il est vérifié dans une première base et redéfini dans une deuxième (pour raisons historiques/de compatibilité descendante).
    Nous avons fait les modifications nécessaire pour qu'il n'y ait plus d'envoi d'email.
    Vas-y je t'embrouille...

    C'est un hébergeur ayant pignon sur rue, très ancien.

    Bref moi je suis tout seul, je dois veiller à ne pas avoir ce genre de problèmes sur mes applis, avoir une procédure clean pour les mots de passe, jamais de transmission, rotation des mots de passe, réinitialisation avec du temporaire.
    Et là t'as un hébergeur dont c'est censé être la spécialité, sont payés pour ça, ils sont au moins 30 ou 40 dans la boite, et tu constates ce genre de truc.

    marrant...

    Sinon les rotations tout ça c'est de la connerie. Il vaut mieux un bon et long mot de passe, que tu gardes jusqu'à qu'il soit compromis, que des rotations à 42 jours, avec une forme à la con impossible à retenir pour le quidam, et qui finit en fin de compte sur un post-it sur l'écran ou en azerty123 puis 456 puis...

  10. #10
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    Novembre 2011
    Messages
    2 273
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 2 273
    Points : 7 807
    Points
    7 807
    Billets dans le blog
    3
    Par défaut
    Citation Envoyé par fredoche Voir le message
    Quand à la fainéantise, il est prétendu par beaucoup que c'est la caractéristique d'un bon programmeur.

    Notamment en matière de sécurité applicative

    Comprenne qui pourra
    Pas de sécurité, de qualité générale : l'idée est qu'un programme n'a pas besoin d'être compliqué pour bien fonctionner, bien au contraire. Il s'agit d'être fainéant en maintenance, donc on n'attend pas que quelqu'un nous dise que ça plante 3 mois après, quand on se rappelle plus de rien dans ce code spaghetti, pour nettoyer et simplifier le code (on ne parle pas de simplifier des fonctionnalités).

    Comme on dit, il y a bonne et mauvais fainéantise.

  11. #11
    Membre extrêmement actif
    Profil pro
    Inscrit en
    Décembre 2003
    Messages
    1 616
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2003
    Messages : 1 616
    Points : 3 966
    Points
    3 966
    Par défaut
    Bien sur de qualité générale
    et les idées derrière la fainénantise est de faire juste ce qui est nécessaire, de prendre en compte dès aujourd'hui les problèmes de demain, notamment la maintenance, faciliter la lecture future...

    mais c'est aussi applicable à la sécurité :

    The Lazy Programmer's Guide to Secure Computing


    Mark Stiegler a vraiment une drôle de voix, ce n'est pas forcément facile à écouter, mais il présente des concepts intéressants, avec l'idée d'être fainéant

Discussions similaires

  1. enlever les slashes devant les apostrophes dans les mails
    Par laurentSc dans le forum Langage
    Réponses: 10
    Dernier message: 16/11/2010, 19h57
  2. Réponses: 3
    Dernier message: 06/08/2009, 18h09
  3. les classes et les templates dans les plugins
    Par asoka13 dans le forum C++
    Réponses: 22
    Dernier message: 24/01/2008, 18h11
  4. Réponses: 4
    Dernier message: 11/09/2006, 17h55
  5. Les polices dans les tables et les requêts
    Par zooffy dans le forum Access
    Réponses: 3
    Dernier message: 21/06/2006, 12h06

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo