Comments on: Le formulaire de login de la GMF

By: Bouazza

Bouazza — Wed, 07 Jan 2009 14:05:43 +0000

Non mais, tous ces “systèmes” de sécurités sont totalement inutiles …

C’est la faute de la banque si un c*n va télécharger britney_spears_nue.jpg.exe, l’exécuter et choper un keylogger ?

Un bon vieux champ pour saisir ses ID suffit ( et peut-être un petit avertissement affiché à l’utilisateur avec quelques conseils de sécurités ) .

By: Revue de presse

Revue de presse — Sat, 22 Nov 2008 16:07:30 +0000

[…] 3 . Le formulaire de login de la GMF […]

By: Stéphane

Stéphane — Sat, 22 Nov 2008 15:38:34 +0000

Désolé Fred A.

Tu devrais conseiller à tes collègues CrazyEgg, cet excellent service qui est capable de constituer des zones de chaleurs dans le but de mieux cerner le comportement des utilisateurs sur une page web. Je suis près à parier que la zone autour de ce bouton Effacez sera aussi chaude que celle du bouton Ok. En tout cas, bonne continuation pour la suite de ton projet !

By: Fred A.

Fred A. — Thu, 20 Nov 2008 20:30:25 +0000

Argh, tu me fends le coeur, Stéphane…
Moi qui venais te remercier pour ta collaboration à l’E-book de Nicolas Bassot, dont j’ai même fini par parler sur mon blog dont le sujet est le même que le tien (en bien moins abouti, çà, c’est clair, mais je débute… je désespère pas…http://grainedidee.blogspot.com/ au cas où ça intéresse quelqu’un), voilà que j’y lis ce billet…

Certes, tu ne pouvais pas savoir, mais voilà 11 ans que je suis à la Direction Informatique de la GMF (pas dans le web, par contre…), alors, ça fait mal!
Mais je vais relayer ton billet en interne, et je pense que cela pourrait donner lieu à quelques échanges piquants entre collègues à moi
Je te tiens au courant de ce que cela pourrait donner!
Et lorsque j’aurai créer mon entreprise web 2.0, de toute façon, je pourrai arrêter de compter les années

By: Stéphane

Stéphane — Sun, 16 Nov 2008 18:21:47 +0000

Ca fait très web 2.0 cette nouvelle interface de la Société Générale ;). Par contre, on perd encore une fois en lisibilité à cause de cette présentation 3 colonnes avec le contenu au milieu (il serait vraiment tant que ces grosses boîtes investissent un peu d’argent dans des sessions d’eyes tracking).

Marcopolo : ah non, je me suis concentré uniquement sur l’utilisabilité, je n’ai pas regardé l’accessibilité ;). En passant, je me suis rendu compte cette semaine à Paris Web 2008 que je suis ~~bien~~ très loin de connaître ce domaine.

Sinon j’ai eu la même réflexion que toi ElDiablo en me disant qu’il faut maintenant que je cache mon écran lorsque je spécifie mon mot de passe. Mais je suppose que c’est malgré tout plus sûr (il n’y a pas de solution parfaite).

En effet Imrallion, je ne vois pas non plus l’intérêt d’avoir ce comportement sans clic. Encore une fois, il y a des usages en place, pourquoi les contourner (et encore, on est à mon avis qu’au tout début de ce genre de problématiques avec l’avènement des interfaces riches) ?

By: Cédric

Cédric — Sat, 15 Nov 2008 14:14:15 +0000

Bonjour

Au Crédit Agricole de Champagne-Bourgogne, c’est “old school” en matière de désign pour la partie Comptes persos mais très lisible et plutôt rapide (je suis moins rapide que le script à la souris : jamais réussi à le prendre en défaut !)

Je n’ai par contre jamais trop regardé côté accessibilité… mais je doute que ce soit la panacée !!! Déjà que leurs imprimés bancaires sont souvent illisibles pour le “bien voyant” je doute que les écrans web soient corrects de ce côté !

By: philippe

philippe — Thu, 13 Nov 2008 16:26:32 +0000

Niveau ergonomie, les limitations imposées au choix du mot de passe, peuvent aussi être contre productives.
Chez LCL, par exemple, l’utilisateur ne peut pas choisir librement son mot de passe (Je me rappelle avoir passé un moment particulièrement désagréable à modifier le miens). Non seulement les dates de naissance sont interdites (ce qui ne me semble pas aberrant, loin de là), mais toutes les suites le sont aussi. Interdit aussi d’avoir 2x le même chiffre, d’avoir un code trop ressemblant au précédent, etc, etc… Je comprend bien la logique de sécurité derrière cela : on interdit tout ce que l’on considère comme trop simple.

Mais ce faisant on diminue fortement l’ensemble des codes possibles et -surtout- on enlève toute chance à l’utilisateur de se souvenir de son mot de passe… Utilisateur qui va devoir noter ce mot de passe sur un bout de papier, et pourquoi pas mettre ce bout de papier dans son porte-feuille.

Je me rappelle être passé dans des entreprises qui avaient une politique analogue pour la gestion des mots de passe… et ceux-ci finissaient immanquablement sur des post-it collés aux écrans.

Mieux vaudrait surement d’indiquer à l’utilisateur le niveau de sécurité de son mot de passe, tout en lui permettant plus de latitude…

By: Imrallion

Imrallion — Thu, 13 Nov 2008 12:33:26 +0000

Le même genre de pavé est dispo sur la banque postale, depuis bien 2 ans environ. Le système est louable, c’est une excellente sécurité à mon humble opinion. Reste à voir comment le pavé envoie ses informations au serveur, en clair ou pas.
Celui de la banque postale diffère de celui de la SG, dans le sens où les chiffres sont “entrés” en survol. On reste 1 seconde sur un bouton, et le chiffre est entré. Pas de clic. Là, je ne vois clairement pas l’intérêt de la chose, ergonomiquement c’est une plaie, et ça n’apporte rien de plus par rapport au clic.

By: Julien

Julien — Wed, 12 Nov 2008 18:14:13 +0000

Salut,

Je suis du même avis que tous, surtout pour le site de la Société Générale (Logitelnet pour les intimes), cependant je trouve leur nouveau site (merci Nabil) pas si chouette que ça, surtout sur quelques points:

- Les dégradés coupés a 1/4 de la hauteur ?
- Les textes des menus principaux en images, dommage quand même, surtout pour utiliser une police assez standard (Tahoma non ?)
- compression des images abusive :/ les bleus sont franchement vilains
- Le formulaire de recherche… C’est joli les incrustations dans des beaux divs rondelés, mais beaucoup de sites oublient le outline:none; qui est indispensable sur des browsers comme Safari…

Je travailles actuellement dans une entreprise presque Publique (Epic) et nous devons coder pour le navigateur standard dans la boite: IE 6 On fais un peu de forcing pour adopter Firefox comme standard et orienter nos devs un max vers le W3C mais l’Accessibilité et les Standards ne sont pas encore une grande mode Française visiblement

By: Antoine

Antoine — Wed, 12 Nov 2008 16:28:55 +0000

Entièrement d’accord avec la critique étayée du site de la GMF. Je profite de ce billet pour confirmer que les claviers virtuels de saisie de mot de passe ne sécurisent pas davantage les informations saisies : cela fait bien longtemps que les concepteurs de keyloggers ont développé des versions clavier-écran-souris de leur logiciel de capture de saisie-visualisation. Une meilleure méthode - au sens de l’accessibilité, de l’ergonomie et de la sécurité - consiste à :
1) laisser saisir l’internaute son id et son pwd (bien sûr on profite pour logger tout ce que l’on peut : adresse ip, nature du client, etc)
2) pour chaque opération “risquée” (virement externe ou désignation de bénéficiaire dans le cadre de virements réguliers par exemple), on demande à l’internaute un mot de passe supplémentaire qui lui a été envoyé par courrier Postal (en RAR ou non)
On varie ainsi les vecteurs de communication des secrets. Déjà un bon pas en direction de la défense en profondeur.

By: Sylvain

Sylvain — Wed, 12 Nov 2008 14:39:37 +0000

Intéressant, cet article.
Un travail sur l’ergonomie, lors de la conception de ce genre d’interface, me semble indispensable. Peu de banques se mettent à la place de leur client : entre les internautes avertis et les occasionnels, il y a quand m bcp de gens qui consultent leur comptes bancaires depuis le web. Souvent, les formulaires de login manquent de clarté, les étapes ne sont pas bien présentées, les mots choisis pas clairs pour l’internaute, les boutons mal placés etc.
Le clavier virtuel n’est pas le plus sécurisé des systèmes, cela dit, l’exemple ci-dessous me semble plutôt bien conçu.
https://www.monabanq.com/client/

By: ElDiablo

ElDiablo — Wed, 12 Nov 2008 09:08:27 +0000

Je trouve que ces formulaires de “sécurité” sont une vraie plaie :
- une lenteur incroyable pour saisir le code de sécurité (cf le site de la Banque Postale avec le pavé numérique qu’il faut survoler et attendre pour chaque chiffre sans cliquer)
- la confidentialité du mot de passe est alors totalement compromise puisque n’importe qui visualisant votre écran peut voir très simplement votre code de sécurité en suivant votre souris
- dans tous les cas, un bon screenlogger peut enregistrer une zone de l’écran à chaque mouvement de souris et ainsi récupérer le code facilement

Donc mauvaise idée que ce pavé numérique calculatrice inbitable. A titre de contre exemple, lLe site de paypal est accessible via un simple champs password classique et je peux payer partout.

Les banques nous prennent pour des jambons et nous sous traitent LEUR problème de sécurité.

By: Nicolas

Nicolas — Wed, 12 Nov 2008 08:45:51 +0000

Bonsoir

Et si nos grandes Banques françaises s’inspiraient de ce qui se fait ailleurs en terme de sécurité internet au lieu de jouer au jeu des milliards (perdu..)

Cela fait 4 ans que j’utilise un Token http://www.rsa.com/node.aspx?id=1156 pour me connecter à ma banque.
3 codes , le login un mot de passe et le token et me voila en 3 secondes sur mon compte.
Au lieu de la souris, avec tab je passe d’un champs à l’autre, le vrai bonheur
Je fais aujourd’hui 100% de mes opérations bancaire via internet.

Saludos

By: Marcopolo

Marcopolo — Tue, 11 Nov 2008 18:10:16 +0000

Personnellement, je te trouve sévère avec la page d’accueil en 3 colonnes.
Ce n’est sûrement pas ce qu’il y a de moins bien sur ce site…
Tu aurais pu donner 1 point pour la page Accessibilité…

Je me rappelle avoir déjà pesté contre un de ces boutons “effacer” mal placé, mais impossible de retrouver où. Je me demande si ce n’était pas une ancienne version du site du Crédit Agricole IDF (sans garantie). Dans sa version d’aujourd’hui, ce site prévoit sur son formulaire de login une loupe pour ceux qui voient mal et différencie graphiquement le bouton de validation de celui destiné à effacer la saisie.
https://www.paris-enligne.credit-agricole.fr/g1/ssl/identification/nav1/acc_ide1_1.htm

A+

By: nabil

nabil — Tue, 11 Nov 2008 13:40:47 +0000

C’est vrai que le site de la société générale est pas mal du tout. Cela fait plusieurs années que je l’utilise pour consulter mon compte. Le pavé est numérique est bien fait, facile à utiliser et pour info, la société générale qui va changer le design de son site n’a pas touché à ce pavé. Pour voir ce que va donner le nouveau site c’est ici : https://alphaparticuliers.societegenerale.fr/index.html

By: Kynerion

Kynerion — Tue, 11 Nov 2008 09:53:06 +0000

Celui de la BNP (celui que j’utilise, donc) est un coup à prendre car il n’y a pas de bouton “Valider” : après avoir rentré son code, il faut choisir la partie que l’on veut accéder, entre ses comptes ou ses titres boursiers.