Bonjour,
J'écris ce message pour vous faire part de l'effroi qui m'a frappé suite à mes tentatives répétées de modifier mon mot de passe de messagerie Orange.
A. L'interface permettant de modifier un mot de passe de messagerie via le site orange.fr est étonnament compliquée. Un utilisateur de messagerie secondaire ne peut pas changer son mot de passe lui-même. L'identité principale ne peut pas le faire non plus en cliquant sur “changer mon mot de passe” dans le menu qui porte son nom (message d'erreur “service inaccessible”) . Il faut cliquer d'abord sur “supprimer une boîte aux lettres” sous le lien “préférences” de l'onglet “mail”, ce qui est incohérent et très confus. Cette confusion de l'interface est très inquiétante pour les utilisateurs de la messagerie car :
1. Elle est révélatrice d'un manque de soin évident dans le développement du site orange.fr. N'importe quelle équipe sérieuse et expérimentée aurait remarqué et corrigé ces incohérences.
2. Changer régulièrement de mot de passe est une recommandation basique pour garantir la sécurité de ses données. En compliquant cette tâche, le site orange.fr compromet la sécurité des utilisateurs les moins expérimentés qui s'arrêteront aux premiers messages d'erreur.
B. La longeur des mots de passe est limitée à 16 caractères, et les mots de passe ne peuvent pas contenir de caractère spécial comme & ou `. Etes-vous conscient que ces contraintes simplifient grandement la tâche des algorithmes de cassage de mot de passe par force brute ? On ose espérer que ces limitations ne proviennent que de l'amateurisme du site orange.fr et ne sont pas la conséquence de failles plus graves côté serveur, mais on ne peut s'empêcher de penser le contraire. Avez-vous connaissance de la découverte, dans les années 50, des fonctions de hachage (voir https://fr.wikipedia.org/wiki/Fonction_de_hachage ou de nombreux cours d'introduction à l'informatique) qui permettent d'associer une chaîne de caractères de taille fixe et sans caractères spéciaux à une chaîne de caractères de taille arbitraire et contenant n'importe quel caractère ? Avez-vous connaissance de l'importance de stocker des mots de passe “hachés” et non pas en clair sur votre serveur ? Est-ce effectivemente implémenté ? Les limitations imposées par votre interface laissent penser que non.
C. La modification du mot de passe de messagerie est impossible depuis une adresse IP étrangère, “pour des raisons de sécurité”. Vous conviendrez avec moi que cette contrainte n'en est une que pour les utilisateurs essayant légitimement de changer de mot de passe depuis l'étranger. Les pirates, eux, savent très bien comment se procurer une IP en France ou ailleurs pour déjouer votre amateurisme patent. Il est difficile de comprendre pourquoi une authentification à deux facteurs (https://en.wikipedia.org/wiki/Two-factor_authentication) n'est pas utilisée lorsqu'un nouveau navigateur est détecté.
Sans réponse précise de votre part sur ces trois points, je continuerai de penser que le service de messagerie d'Orange, et par extension tous les services en ligne offerts par Orange, ne sont que des prototypes préliminaires et immatures limités à l'expérimentation mais en aucun cas des services offrant un niveau de sécurité suffisant pour une utilisation effective, y compris personnelle.
Cordialement,
Tristan Glatard
