Discussion :

[Stéphane le calme]

Une enquête révèle un fossé entre les générations dans les habitudes en matière de sécurité et vie privée,
la génération Y peu soucieuse des données de l'entreprise ?

L’américain Fortinet, spécialiste dans les solutions de sécurité pour les réseaux et les ordinateurs, a étudié les différences dans les habitudes liées à la gestion des mots de passe, aux données personnelles entre la génération X et la génération Y. Pour ce faire, l’entreprise a étudié un univers relativement petit en respectant la parité homme-femme ; 150 individus de la génération X (âgés entre 33 et 48 ans) et 150 de la génération Y (âgés entre 18 et 32 ans).

Les résultats révèlent que la plupart changent leur mot de passe de façon périodique, ne serait-ce qu’une fois par an. 16% d’entre eux (19% génération Y, 13% génération X) indiquent le changer mensuellement, 30% (25% génération Y, 35% génération X) le font trimestriellement, et 9% (11% génération Y, 7% génération X) le font chaque année. Néanmoins, plus de 40% des deux générations ont déclaré n’avoir jamais changé de mots de passe, à moins d’y être contraints. 70% du panel affirme conserver le même mot de passe partout. Quatre répondants sur dix utilisent pour leur part des mots de passe uniques pour chaque site qu’ils visitent.

Lorsqu’il a été question de mots de passe pour accéder au téléphone, près de la moitié (49%) de la génération X a déclaré ne pas y avoir recours, contre 37% pour l’autre génération. Parmi ceux qui ont déclaré l’utiliser, le système le plus populaire est de loin le code PIN à quatre chiffres avec 47% des suffrages. Les mots de passe complexes qui incluent les caractères alphanumériques viennent en seconde position avec 26%. Ils sont suivis par les mots de passe qui consistent à reproduire une forme géométrique enregistrée comme « clé » (21%). Les mots de passe biométriques comme la reconnaissance faciale ou encore d’empreinte digitale n’ont récolté que 5% des suffrages.

Pour déterminer la valeur des données personnelles, chaque groupe a été invité à classer par ordre d’importance le type de données qu’ils auraient le plus peur de perdre : information médicale, boîte email, déclarations de revenus, fichiers personnels, fichiers de travail, mots de passe en ligne, le contenu de courriels, historique de navigation sur Internet, historique des achats en ligne et adresse IP. Pour les deux groupes, le numéro de sécurité sociale était la donnée qu’ils avaient le plus peur de perdre et en troisième position les deux ont placé les mots de passe en ligne.

La génération Y a classé les déclarations de revenus en second, puis l’historique des achats en ligne en quatrième et le contenu de courriels en cinquième position. La génération X pour sa part a placé les adresses mail en second, l'historique de la navigation en quatrième et les fichiers de travail en cinquième position.

John Maddison, vice-président marketing pour le compte de Fortinet, n’a pas manqué d’exprimer son inquiétude : « il est intéressant de noter que si les courriels de travail sont venus en cinquième pour la génération X, ils ne sont pas classés dans le top cinq pour la génération Y », a-t-il déclaré. Une enquête précédente de Fortinet a révélé que 51% de la génération Y ignore les politiques de l'entreprise qui recommandent de limiter l'utilisation de leurs propres appareils ou services Cloud au travail. « Dans l'ensemble, la génération Y se dit essentiellement, 'nous ne nous soucions pas de ce que nos employeurs disent. Nous allons utiliser n'importe quel appareil au travail et si les données de entreprises se perdent ou disparaissent, tant pis. »

Source : Fortinet

Et vous ?

Qu'en pensez-vous ? Êtes-vous d'accord avec les conclusions de cette étude ?

Qu'est-ce qui, selon vous, peut expliquer cette différence dans les habitudes des deux générations en matière de sécurité ?

[tetanos]

Bon,
que les utilisateurs soient stupide et peu informé, on le savait et cette étude ne permet que de mettre des chiffres derrière ce que tout le monde savait plus ou moins.

Une petite histoire qui en dit long sur le manque de considération de ces problèmes de mots de passe des utilisateurs:
Récemment j'ai changé mon mot de passe sur le site internet de mon assurance (qui vend aussi des prestations bancaires....). Je reçois immédiatement un mél me confirmant que XXXX est mon nouveau mot de passe.
Recevoir un email avec mon nouveau mot de passe???? C'est problématique en ce qui concerne la sécurité.
J'écris au webmaster pour lui indiquer le problème:

1. Envoyer un mot de passe par mél est un risque car les boites mél font souvent l’objet d'attaques. Dont c'est à utiliser que dans le cas où l'utilisateur perd ses identifiants.
2. Comme il est capable de renvoyer les mots de passe en cas de perte, il les stocke en clair dans une base de donnée. Ce qui pose un problème de sécurité en cas de vol de la base.

Réponse: Son site est sûr puisque la communication est chiffrée pas SSL!

À quand une étude sue le manque de compétence sur la sécurité informatique des webmaster?

[gangsoleil]

Lorsqu’il a été question de mots de passe pour accéder au téléphone

Cette question n'a pas lieue d'etre, puisque les possibilites ne sont pas les memes sur les differentes machines ! La reconnaissance biometrique n'est dispo que sur les iPhones5S et C, alors que le dessin geometrique n'est pas du tout dispo sur Apple...

La génération X a classé [...] le contenu de courriels en cinquième position. La génération Y pour sa part a placé [...] les fichiers de travail en cinquième position.

John Maddison, vice-président marketing pour le compte de Fortinet, n’a pas manqué d’exprimer son inquiétude : « il est intéressant de noter que si les courriels de travail sont venus en cinquième pour la génération X, ils ne sont pas classés dans le top cinq pour la génération Y », a-t-il déclaré.

"Il est interessant de noter que si les fichiers de travail sont en 5eme position pour la generation Y, ils ne sont meme pas dans le top 5 de la generation X". Faut-il en conclure que les plus anciens n'ont aucune consideration des fichiers de travail ???? Bien sur que non.

Une enquête précédente de Fortinet a révélé que 51% de la génération Y ignore les politiques de l'entreprise qui recommandent de limiter l'utilisation de leurs propres appareils ou services Cloud au travail. « Dans l'ensemble, la génération Y se dit essentiellement, 'nous ne nous soucions pas de ce que nos employeurs disent. Nous allons utiliser n'importe quel appareil au travail et si les données de entreprises se perdent ou disparaissent, tant pis. »

Des conclusions tres tres hatives d'un melange de 2 etudes, qu'il ne faut surtout pas prendre au pied de la lettre.

Il faut aussi voir que les employeurs ne demandent pas les memes choses a differentes personnes : si tu demandes a un quadra/quinqua de consulter ses mails a la maison, beaucoup vont te repondre "file-moi le materiel pour me connecter et je le ferai (peut-etre)", alors qu'une majorite des employes de la generation Y repondra "OK, donnez-moi les informations pour que je me connecte avec MA machine", et l'employeur le fait.


Cette etude est a mon sens nulle et non avenue.

[fredoche]

Recevoir un email avec mon nouveau mot de passe???? C'est problématique en ce qui concerne la sécurité.
J'écris au webmaster pour lui indiquer le problème:

1. Envoyer un mot de passe par mél est un risque car les boites mél font souvent l’objet d'attaques. Dont c'est à utiliser que dans le cas où l'utilisateur perd ses identifiants.
2. Comme il est capable de renvoyer les mots de passe en cas de perte, il les stocke en clair dans une base de donnée. Ce qui pose un problème de sécurité en cas de vol de la base.

Réponse: Son site est sûr puisque la communication est chiffrée pas SSL!

À quand une étude sue le manque de compétence sur la sécurité informatique des webmaster?

"Marrant" j'ai vécu la même chose avec mon hébergeur et leur nouvel extranet.
Le mot de passe n'est peut être pas stocké en clair, il est peut-être chiffré, mais la clef traîne quelque part, puisque qu'il te le déchiffre...

Le webmaster a le dos large. Le nombre de compétences qu'il faut cumuler pour quelqu'un de sérieux dans ce métier dépasse de beaucoup ce que l'on peut imaginer. Cependant tu as raison.
Mais je crois que tu peux élargir cette réflexion à l'ensemble des développeurs/programmeurs quel que soit le langage et l'environnement de développement.
Et de mon constat :
- soit la sécurité est la spécialité
- soit le développement est la spécialité

et il est rare que l'on cumule à un bon niveau ces 2 compétences. Qu'elles soient en plus reconnues ?

[tetanos]

Le webmaster a le dos large. Le nombre de compétences qu'il faut cumuler pour quelqu'un de sérieux dans ce métier dépasse de beaucoup ce que l'on peut imaginer. Cependant tu as raison.
Mais je crois que tu peux élargir cette réflexion à l'ensemble des développeurs/programmeurs quel que soit le langage et l'environnement de développement.

Ce qui est affligeant n'est pas l'incompétence, mais quand un utilisateur rapporte un problème la conscience professionnelle veux qu'un cherche à corriger le problème.
Ici, on a certainement à faire à un de ces web-master qui comme tout "cadre" n'est capable que de déléguer et non de résoudre les problèmes.
Il est plus simple dans ce cas de nier le problème.
Non franchement ce web-master n'est pas forcément incompétent, il se dit simplement que pour l'instant il n'a pas de problèmes de sécurité... C'est de l'inconscience ou plus grave de la fainéantise.

[lilington]

. C'est de l'inconscience ou plus grave de la fainéantise.

hihi petit hors sujet. pour moi c'est plus grave d'etre inconscient que faineant. le premier peut meme couter la vie

[fredoche]

Quand à la fainéantise, il est prétendu par beaucoup que c'est la caractéristique d'un bon programmeur.

Notamment en matière de sécurité applicative

Comprenne qui pourra

[sevyc64]

"Marrant" j'ai vécu la même chose avec mon hébergeur et leur nouvel extranet.
Le mot de passe n'est peut être pas stocké en clair, il est peut-être chiffré, mais la clef traîne quelque part, puisque qu'il te le déchiffre...

Et même dans ce cas là, c'est une ignominie et une absurdité la plus absolue.
Et c'est malheureusement une pratique plus que courante.

Message aux webmasters et autres développeurs :
ON NE STOCKE JAMAIS UN MOT DE PASSE DE CONNEXION MÊME CRYPTÉ, ON NE STOCKE QU'UN HASH SALÉ


Ceci dit, je connais une boite où les mot de passe des utilisateurs sont imposés par l'admin, 5 caractères, majuscules (uniquement) et chiffres. Et ils n'ont pas changé depuis 4 ans.

[fredoche]

bah on est d'accord

m'enfin au bout d'un moment... c'est pas comme si on était en 2014

Ce que je ne comprends pas, c'est que c'est un extranet tout neuf, il est mis en production à moitié buggué.
Mes mots de passe, je les recevais en créant un nouveau ticket ou un nouveau message sur l'application. Message qui disait "votre mot de passe vient d'être modifié".
Il a fallu que je crée un ticket pour qu'il prenne en compte et corrige le problème, recevant à nouveau mon mot de passe, en gras dans le courrier bien sur, avec le sujet ci-dessus.
Et je leur fais donc la remarque que ces mots de passe doivent être stockés en clair dans l'applicatif, puisque je les reçois.

réponse de l'hébergeur :

Le mot de passe n'est pas stocké en clair, mais lorsque vous vous connectez, il est vérifié dans une première base et redéfini dans une deuxième (pour raisons historiques/de compatibilité descendante).
Nous avons fait les modifications nécessaire pour qu'il n'y ait plus d'envoi d'email.

Vas-y je t'embrouille...

C'est un hébergeur ayant pignon sur rue, très ancien.

Bref moi je suis tout seul, je dois veiller à ne pas avoir ce genre de problèmes sur mes applis, avoir une procédure clean pour les mots de passe, jamais de transmission, rotation des mots de passe, réinitialisation avec du temporaire.
Et là t'as un hébergeur dont c'est censé être la spécialité, sont payés pour ça, ils sont au moins 30 ou 40 dans la boite, et tu constates ce genre de truc.

marrant...

Sinon les rotations tout ça c'est de la connerie. Il vaut mieux un bon et long mot de passe, que tu gardes jusqu'à qu'il soit compromis, que des rotations à 42 jours, avec une forme à la con impossible à retenir pour le quidam, et qui finit en fin de compte sur un post-it sur l'écran ou en azerty123 puis 456 puis...

[Matthieu Vergne]

Quand à la fainéantise, il est prétendu par beaucoup que c'est la caractéristique d'un bon programmeur.

Notamment en matière de sécurité applicative

Comprenne qui pourra

Pas de sécurité, de qualité générale : l'idée est qu'un programme n'a pas besoin d'être compliqué pour bien fonctionner, bien au contraire. Il s'agit d'être fainéant en maintenance, donc on n'attend pas que quelqu'un nous dise que ça plante 3 mois après, quand on se rappelle plus de rien dans ce code spaghetti, pour nettoyer et simplifier le code (on ne parle pas de simplifier des fonctionnalités).

Comme on dit, il y a bonne et mauvais fainéantise.

[fredoche]

Bien sur de qualité générale
et les idées derrière la fainénantise est de faire juste ce qui est nécessaire, de prendre en compte dès aujourd'hui les problèmes de demain, notamment la maintenance, faciliter la lecture future...

mais c'est aussi applicable à la sécurité :

The Lazy Programmer's Guide to Secure Computing

Mark Stiegler a vraiment une drôle de voix, ce n'est pas forcément facile à écouter, mais il présente des concepts intéressants, avec l'idée d'être fainéant