Contact : Pierre Santamaria Business development & Marketing Europe pierre.santamaria@dashlane.com Cell : +33 6 17 04 08 12 Office : +33 1 82 72 60 69 63, bd de Ménilmontant 75011 Paris, France
er Notre analyse du 1 baromètre sur la protection des données personnelles des consommateurs sur Internet
Janvier 2014
er sur la protection des données personnelles1 Baromètre –Notre analyse - Janvier 2014
Sommaire 1 Introduction..................................................................................................................................... 3 2 Synthèse .......................................................................................................................................... 3 3 Analyse des résultats ....................................................................................................................... 4 3.1 Résultats globaux par critère................................................................................................... 6 3.2 Répartition des sites par tranche de note entre -100 et +100................................................ 7 3.3 Notes détaillées ....................................................................................................................... 9 4 Zoom sur le site de vente de vêtements et chaussures (V&C)...................................................... 11 4.1 Comparaison toutes catégories vs V&C seulement .............................................................. 14 4.1 Comparaison des rangs ......................................................................................................... 14 5 Quelques anecdotes ...................................................................................................................... 15
Liens relatifs à cette étude
La méthodologie :https://s3-eu-west-1.amazonaws.com/blogimages.dashlane.com/frblog/wp-content/uploads/2014/01/Dashlane-Méthodologie-de-létudevF1.pdf
Les résultats bruts :
https://s3euwest1.amazonaws.com/blogimages.dashlane.com/frblog/wp Avec les notes : content/uploads/2014/01/RésultatsBrutsaveclesnotesvF.pdfhttps://s3euwest1.amazonaws.com/blogimages.dashlane.com/frblog/wp Sans les notes : content/uploads/2014/01/RésultatsBrutssanslesnotesvF.pdf
Le communiqué de presse :https://s3-eu-west-1.amazonaws.com/blogimages.dashlane.com/frblog/wp-content/uploads/2014/01/Dashlane-Barometre_Protection_Soldes-dhiver-vF-v-blog.pdf
A propos de DashlaneDashlane est une solution gratuite pour le grand public permettant de résoudre le problème des mots de passe sur Internet. Son application multiplateforme (PC, smartphone, tablette) permet de stocker, générer et réutiliser les mots de passe en un clic partout sur internet, tout en les protégeant avec un mot de passe maître que l’utilisateur est seul à connaître. Dashlane facilite les activités courantes comme la connexion à des sites, la création de nouveaux comptes ainsi que les achats sur Internet.
Dashlane est une start-up française installée à Paris et New York et dirigée par Emmanuel Schalit. Fondée en en 2009 en France par Bernard Liautaud, Alexis Fogel, Guillaume Maron et Jean Guillou, Dashlane a procédé à une levée de fonds de 9 millions de dollars auprès des fonds de Capital Risque Rho Ventures et FirstMark Capital aux Etats-Unis en 2011.Pour plus d’informations:www.dashlane.com
Janvier 2014
2
er sur la protection des données personnelles1 Baromètre –Notre analyse - Janvier 20141Introduction À mesure que les services en ligne se sont développés, les mots de passe sont devenus bien souvent l’unique rempart protégeant ses données personnelles d’un accès malveillant.
Cela ne suffit pas à protéger les utilisateurs à 100% pour plusieurs raisons.
Les mots de passe sont stockés par les sites eux-mêmes, et passent aux mains des hackers qui 1 exploitent les brèches de sécurité de plus en plus nombreuses. Or 42% des français réutilisent le même mot de passe, un mot de passe dérobé permet alors d’accéder alors à tous leurs autres services web, au premier rang desquels figurent les grands sites e-commerce ou les réseaux sociaux.
Et si cela ne suffit pas, les hackers vont tout simplement tester ces mots de passe dérobés pour accéder aux services de messagerie. Ils savent que les utilisateurs y stockent tous leurs messages, y compris les messages automatiques envoyés par les sites eux-mêmes au moment de la création des comptes et, dont certains contiennent les mots de passe « en clair ».
Enfin, les mots de passe sont récupérables par un processus de réinitialisation de mot de passe ou dit 2 de « mot de passe perdu». Mal mis en œuvre, ces processus sont détournés par les hackers qui arrivent à récupérer les mots de passe et à les utiliser ou à enretrouver d’autres en remontant, de proche en proche, de services web en servicesweb, jusqu’à en retrouver un qu’ilspourront exploiter pour détourner des données, de l’argent ou des commandes.
Ces différents exemples montrent que la façon dont les sites e-commerce gèrent les mots de passe impacte directement le niveau de sécurité des Internautes.
Cette problématique est d’autant plus délicate que les utilisateurs ne comprennent pas à quel point il y a une relation entre la qualité des processus de gestion de mot de passe et leur sécurité.
2Synthèse Les résultats bruts indiquent que sur les 100 sites analysés :
45% envoient l’identifiant et les mots de passe en clair dans les emails83% ne bloquent pas la saisie des mots de passe après 10 saisies erronées 87% acceptent comme mot de passe 123456 ou motdepasse 14% seulement obligent les utilisateurs à saisir au moins une lettre et un chiffre
Ces résultats cachent une réalité très hétérogène car ce classement montre que les sites qui respectent le plus l’orthodoxie en la matière sont aussi ceux qui réussissent le mieux sur Internet. Ce classement révèle donc qu’il est possible d’avoir de l’audience et du chiffre d’affaires tout en pénalisant moins la sécurité des données.
Acheter sur des « petits » sites se révèlent donc beaucoup plus dangereux que sur des « grands » sites. 1 ÉtudeDashlane IFOP Mars 20132 La mésaventure du journaliste Mat Honanracontée dans son article de Wired d’aout 2012 explique dans le détail comment il en a été personnellement victime d’une telle attaque (http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/all/) 3 Janvier 2014
er 1 Baromètre sur la protection des données personnelles–Notre analyse - Janvier 20143Analyse des résultats Seuls 30 sites sur 100 ont une note positive ou nulle. Cela signifie que 30% des sites e-commerce français mettent en danger la sécurité des données de leurs clients en ayant négligé la façon dont ils gèrent leurs mots de passe.
La note maximale est 50 contre -100 pour la note la plus faible. À eux seuls, ces extrêmes illustrent la globalité du classement. Aucun site n’approche la note de 100, tandis que beaucoup approchent la note minimale révélant le chemin restant à parcourir par l’ensemble des sites.
La moyenne s’établit à-29. Cette moyenne négative indique que la plupart des sites font prendre des risques plutôt que de protéger la sécurité des mots de passe. En fait, 52% des sites ont une note entre -30 et -80.
Le top 3 est occupé par les poids lourds de l’internet: Ebay, Le bon coin et Vente-privée. Plus loin dans le top 15 figurent les plus gros sites marchands Amazon, Cdiscount, Voyage-sncf et Pixmania. Le succès commercial de cessites montrent que la sécurité ne nuit pas au chiffre d’affaires ni à l’audience.Ils démontrent même l’inverse, une bonne gestion de la sécurité va depair avec le succès commercial.
3 4 sites du top 5 sont des « pure players», c’est-à-dire des marques nées sur Internet. Preuve que la maturité sur le média joue sur la façon dont la sécurité est à la fois perçue est implémentée.
4 On trouve 4 acteurs de la grande distribution traditionnelle dans le top 15 Carrefour, Auchan et Casino (via Cdiscount) et Leclerc.C’est surprenant compte tenu de la variété des sites e-commerce étudiés. Les moyens informatiques importants dont disposent ces groupes et la forte sensibilité à gérer des bases de données de plusieurs millions d’utilisateurs expliquent vraisemblablement ce résultat.
Aux exceptions notables de Voltex, Parlonsjardins, Madeindesign et de Vikingdirect, tous les 30 sites ayant une note positive sont des sites à forte notoriété, c’est-à-dire leader dans leur catégorie voir leader tout court.Les critères d’évaluation montrent ainsi leur pertinence.
Les enseignes « brick and mortar» n’ont rien à envier aux «». Au contraire, lespure players premiers ont une moyenne de -24 tandis que les deuxièmes atteignent -32. Ce résultat, contre-intuitif, illustre une problématique de sécurité peu connue. Les « brick and mortar » ont une politique sécuritaire naturellement plus importante du fait de leur activité off line. Ils ont donc une tendance à privilégier la sécurité au confort d’utilisation, démarche souvent critiquée car pénalisant l’ergonomie des sites marchands au détriment de la conversion et du chiffre d’affaires. C’est ainsi que les « pure players » se sont imposés dans le e-commerce. Mais cette priorité à l’ergonomiese fait au détriment de la sécurité, et particulièrement chez les « petits » sites e-commerce.D’ailleurs, ce sont ces petits sites qui tirent la moyenne des pure players vers le bas (44d’entre eux ont une note inférieure à la moyenne générale et « plombent » la moyenne des pure players en totalisant une moyenne de -62, à comparer aux 15 autres sites pure players qui ont une moyenne proche de 1.2).
3 note supérieure ou égale à 30 4 note supérieure ou égale à 20
Janvier 2014
4
er 1 Baromètre sur la protection des données personnelles–Notre analyse - Janvier 20145 Or les consommateurs, qui ont déjà une tendance importante à réutiliser leur mot de passe , ont une tendance à le faire plus particulièrement sur les « petits » sites, sur lesquels ils prévoient de ne faire qu’unseul achat, pensant que justement, cela ne vaut pas la peine d’utiliser un mot de passe plus compliqué puisqu’ils ne retrouveront pas. Or l’expérience montre que les «pluspetits » sites sont fragiles vis-à-vis des brèches de sécurité car précisément, ils ont moins les moyens d’investir sur la sécurité. Leurs bases de données sont plus volontiers attaquées, et par voie de conséquence, les mots de passe des utilisateurs, qu’ils testent alors sur plein d’autres sites web, connaissant très bien les habitudes des internautes. C’est ainsi que les données personnelles sont les plus exposées, et peuvent conduire à des détournements ou des usurpations d’identité.
D’ailleurs, le secteur de la distribution est le premier secteur victime d’attaques selon de dernier 6 rapport de Verizon, l’une des étudesles plus exhaustives sur ce sujet.
5 42%–Étude Dashlane Ifop Mars 2013 6 Étude qui a analysé 47000 attaques provenant de 19 différentes organisations dans le monde en charge de collecter les plaintes en matière d’intrusion informatiquesur :- disponible http://www.verizonenterprise.com/DBIR/2013/
Janvier 2014
5
er sur la protection des données personnelles1 Baromètre –Notre analyse - Janvier 20143.1Résultats globaux par critère Critère n° Sur 100 2 Invisibilité du mot de passe pendant la saisie 99 3 Testd’acceptation87du mot de passe 123456 3 Testd’acceptationdu mot de passe coucou 86 3 Testd’acceptation86du mot de passe 123321 3 Testd’acceptationdu mot de passe azerty 84 3 Testd’acceptationazertyuiop 86du mot de passe 3 Testd’acceptationmotdepasse 87du mot de passe 3 Testd’acceptationdu mot de passe chouchou 87 3 Testd’acceptationdu mot de passe 159753 85 3 Testd’acceptationdu mot de passe aqwzsx 84 3 Testd’acceptationdu mot de passe 987654321 85 4 Obligation de saisir chiffre et lettre 14 5 Sensibilité à la majuscule et minuscule 6 9 Affichage du nombre de caractères minimum à la saisie 62 6 Acceptation de l'ancien mot de passe 91 7 Acceptation de 4 saisies de mot de passe erroné 95 7 Acceptation de 10 saisies de mot de passe erroné 83 8 Confirmation de création de compte : envoi de l'identifiant et du mot de passe en clair 45 8 Changement de mot de passe : envoi du mot de passe en clair 44 8 Changement de mot de passe : envoi du mot de passe et de l'identifiant 36 8 Changement de mot de passe : envoi d'un lien par mail 45 10 Conseil sur la composition d'un mot de passe dans l'aide 2 11 Conseil sur la force du mot de passe au moment de la saisie 37
Moyenne de la taille minimale du mot de passe sur les 100 sites : 5
Janvier 2014
6
er 1 Baromètre sur la protection des données personnelles–Notre analyse - Janvier 2014
3.2Répartition des sites par tranche de note entre -100 et +100 0 2 4 6 8 10 12 Tranches au dessus de 50 et + entre 40 et 49 entre 30 et 39 entre 20 et 29 entre 10 et 19 entre 0 et 9 entre -10 et-1 entre -20 et -11 entre -30 et -21 entre -40 et -31 entre -50 et -41 entre -60 et -51 entre -70 et -61 entre -80 et -71 entre -90 et -81 entre - 100 et -91
Janvier 2014
Tranches de note au-dessus de 50 et + entre 40 et 49 entre 30 et 39 entre 20 et 29 entre 10 et 19 entre 0 et 9 entre -10 et-1 entre -20 et -11 entre -30 et -21 entre -40 et -31 entre -50 et -41 entre -60 et -51 entre -70 et -61 entre -80 et -71 entre -90 et -81 entre - 100 et -91
Nombre de sites dans la tranche 1 1 3 10 3 9 7 8 11 8 8 7 8 10 3 3
7
er 1 Baromètre sur la protection des données personnelles–Notre analyse - Janvier 2014Les « pure players » sont plus nombreux en bas du classement.
0 au dessus de 50 et +
Janvier 2014
entre 30 et 39
entre 10 et 19
entre -10 et-1
entre -30 et -21
entre -50 et -41
entre -70 et -61
entre -90 et -81
2
4
6
8
8
10
12
Brick & Mortar Pure player
er sur la protection des données personnelles1 Baromètre –Notre analyse - Janvier 2014