Le coffre-fort de mots de passe Dashlane a publié son étude annuelle sur les systèmes de protection mis en place par certains des sites web, services et applications les plus populaires du marché. Les fins limiers de Dashlane ont examiné les pratiques de sécurité de 37 services grand public et 11 services destinés aux professionnels.

Cinq critères ont été scrutés à la loupe : le mot de passe pour accéder au service compte-t-il 8 caractères ou plus ? Ce mot de passe doit-il comporter des lettres, des chiffres et des caractères spéciaux ? Le site présente-t-il une jauge indiquant graphiquement le niveau de force du mot de passe ? Le site a-t-il mis en place des mesures de sécurité supplémentaires en cas de dépassement de 10 tentatives de mot de passe ? Enfin, le site propose-t-il un système d’identification à deux facteurs ?

À ce petit jeu, Apple récolte un score de 4 sur 5, le point en moins relevant de l’absence de mesures de sécurité passé 10 tentatives de saisie d’un mot de passe (cela peut être un CAPCHA par exemple). Parmi les bons élèves, GoDaddy affiche un solide 5/5. Le gruppetto est composé, entre autres, d’Amazon (2/5), de Dropbox, SoundCloud, Pinterest, Instagram et Evernote (1/5), tandis que Netflix, Spotify et Uber portent le bonnet d’âne avec très exactement 0/5.

46% des sites web grand public (et 36% des services aux entreprises) présentent des faiblesses au niveau de la gestion des mots de passe. 51% des sites grand public pèchent par la longueur trop faible (moins de 8 caractères) des mots de passe ; 48% d’entre eux n’exigent pas de mots de passe alphanumériques ; pour 76%, il manque une jauge indiquant la force du mot de passe ; plus de la moitié (51%) ne bloquent pas le compte après dix tentatives. Enfin, 32% ne prennent pas en charge l’A2F.