Fortuneo mon amour

Il y a parfois des sites qui m’énervent, soit parce qu’ils ont été codés avec les pieds, soit parce qu’ils implémentent des règles de gestion à la con. C’est particulièrement pour le deuxième cas que j’ai décidé de faire un article aujourd’hui. C’est Fortunéo qui va en prendre un peu dans la tronche, mais il prendra aussi pour tous les autres sites qui lui ressemblent et qui ont développé des règles de gestions aussi compliquées à satisfaire qu’à  coté résoudre une équation mathématique à 15 inconnus deviendrai un jeu d’enfant…

Sécurité sécurité…

Chez Fortunéo, on ne déconne pas avec la sécurité, bah ouais, c’est une banque donc faut mettre l’artillerie lourde pour pas qu’on puisse entrer sur ton espace client et te voler tout ton argent. Donc comme sur beaucoup de sites du genre, ils ont mis en place des sytèmes anti brute-force qui t’empêchent de saisir plus de 3 fois de suite un mauvais mot de passe. Cool à priori. Sauf qu’à chaque fois, je dis bien à chaque fois, je me fais avoir car je ne me souviens pas du mot de passe que j’ai saisi sur leur site. Le problème se situe donc entre la chaise et le clavier me direz-vous…eh bien non, pas tout à fait. Voyons ça en détail.

“Votre mot de passe doit satisfaire la suite de fibonacci”

Derrière ce titre accrocheur, je vais vous faire une liste des règles de gestion auxquelles j’ai été confronté et qui font qu’à chaque fois je ne peux saisir le mot de passe que je souhaite car celui-ci, je cite, ne respecte pas les règles de sécurité.

“Votre mot de passe contient des caractères non autorisés”

J’ai toujours entendu dire que les mots de passes avec des caractères spéciaux étaient meilleurs que des mots de passes simples (on peut éventuellement remettre ça en cause avec l’utilisation de longues passphrases mais là n’est pas le sujet), raison pour laquelle j’ai adopté il y a quelques années déjà des caractères spéciaux dans mes mots de passe qui d’ailleurs sont uniques sur chaque site (j’en parlais sur le blog il y a 5 ans déjà).

Je vous la fait court, chez Fortunéo, vous n’avez pas le droit d’utiliser des “!” ou autres “#,?,:,%,$,€…”. Wow!

fortuneo_2

“Votre mot de passe ne doit pas contenir plus de 3 chiffres identiques”

Je précise que cette règle de gestion ne se contente pas de vérifier que les 3 chiffres identiques sont consécutifs, mais juste qu’il n’y a pas 3 fois le même chiffre dans votre mot de passe. Le mot de passe Put1n*2Mot2passe2merde!# est donc moins secure pour eux que tatajacquie75. (Ceci étant dit, je n’ai rien contre tata Jacquie non plus!).

Que tu vérifies à la limite que l’utilisateur ne saisisse pas qu’une date de naissance je veux bien mais là faut pas abuser sur les règles de gestion quoi…

fortuneo_3

“Votre mot de passe doit contenir 16 caractères maximum.”

Bon du coup, on a pas le droit d’utiliser des caractères spéciaux ni trop de chiffres, je ne voyais qu’une seule solution pour avoir un mot de passe un tant soit peu sécurisé: la passphrase. Même si il est bon d’utiliser dans une passphrase des caractères spéciaux car c’est aussi ce qui la rends encore plus secure, j’ai vite oublié cette solution après m’être manqué l’erreur suivante: “Votre mot de passe doit contenir 16 caractères maximum”. Fail.

fortuneo_4

“verification-robustesse-mot-de-passe.jsp”

J’ai voulu chercher pour cet article l’ensemble des règles de gestion disponibles dans cette appli, et je n’ai malheureusement pas pu le faire car je suis tombé sur du code qui envoyait une requête ajax à chaque nouvelle tentative de saisie de mot de passe.

L’url appelée est de la forme:

https://mabanque.fortuneo.fr/fr/prive/verification-robustesse-mot-de-passe.jsp?nouveauMdp=MOTDEPASSEENCLAIRL&dateDeNaissanceCryptee=cw8RrcRTHLKY8x5xhmG1qA==

Et ça c’est beau.

 

Ma mère cherche encore à trouver un mot de passe satisfaisant à toutes ces règles farfelues

Moi aussi par la même occasion, car je veux un mot de passe que je serai capable de retenir, donc qui possède le même pattern de mots de passe que j’utilise PARTOUT sur les autres sites. (J’ai pas dit que j’avais le même mot de passe partout, juste le même pattern).

Bref tout cela, pour vous dire qu’à l’heure où j’écris ce billet, j’ai abdiqué et j’ai saisi un mot de passe à la con que je réinitialiserai à la prochaine connexion (et ainsi de suite…) car il y a une dernière règle de gestion dont je ne vous ai pas parlé (la moins idiote de toute et donc la plus secure), on ne pas utiliser deux fois le même mot de passe saisi dans l’année.

fortuneo_1
Pour finir sur une note plus légère, tous ces déboires ne sont pas sans me rappeler une image qui tournait pas mal sur le net à ce sujet:

Créez votre mot de passe
carotte

Désolé, votre mot de passe doit faire plus de 8 caractères
carottegéante

Désolé, votre mot de passe doit contenir un chiffre
1carottegéante

Désolé, votre mot de passe ne doit pas contenir de caractère accentué
50putaindecarottesgeantes

Désolé, votre mot de passe doit contenir au moins une majuscule
50PUTAINdecarottesgeantes

Désolé, votre mot de passe ne doit pas contenir deux majuscules consécutives
50PutainDeCarottesGeantesQueJeVaisTeMettreDansLeCulSiTuNeMeDonnesPasImmediatementUnAcces!

Désolé, votre mot de passe ne doit pas contenir de caractère de ponctuation
AttentionJeVaisTeTrouverEtVraimentTeMettreLes50CarottesDansLeCulSiTuContinues

Désolé, ce mot de passe a été déjà été utilisé…

Bonus track

Et sinon Fortuneo, quitte à me faire chier avec la sécurité, j’aimerai que tu n’utilises pas de “third party” dans tes espaces clients (où transitent masse de mes informations personnelles et critiques), ça passe pour commencer par retirer ton script Google Analytics de l’espace client.

Si demain Google Analytics venait à se faire pirater (oui ça relève plus de la science fiction que de la réalité, mais soyons prudents), le fait d’inclure leur script même dans l’admin du site pourrait permettre à ce service tiers de récupérer des infos sur la page sur lequel l’utilisateur se trouve, et ça, c’est pas cool du tout…Puis j’ai pas envie que Google en sache davantage sur moi qu’il n’en sait déjà.

Je prends l’exemple de Google Analytics, mais il y en a peut-être d’autres sur le site…

fortuneo_5

Je vous laisse un peu de doc la dessus si vous souhaitez en savoir plus:

One thought to “Fortuneo mon amour”

  1. Je plussoie sur ces fichues règles.
    Ils ont pas essayé de mettre un système de double authentification par sms ? Car beaucoup de banques ont desormais le nº de mobile pour le 3d secure, ce qui faciliterait pas mal la gestion du mot de passe.

Leave a Reply

Your email address will not be published. Required fields are marked *