Dans l’application mobile de TD, une banque canadienne, il est inutile de vouloir coller le mot de passe qui permet d’accéder à ses données bancaires : cette possibilité a été supprimée il y a peu. C’est un vrai problème pour ceux qui utilisent des coffre-fort logiciels comme 1Password, qui génèrent des mots de passe longs… et difficiles à mémoriser. Pour « votre sécurité », explique le community manager de l’établissement bancaire dans un tweet ensuite supprimé, le mot de passe devrait être stocké dans la « mémoire » de l’utilisateur plutôt que dans un logiciel. Cela part peut-être d’un bon sentiment, mais TD n’a visiblement pas suffisamment réfléchi à la portée de cette suppression qui, en empêchant les gestionnaires de mots de passe de remplir leur office, force ses clients à utiliser des mots de passe moins forts.
AgileBits, l’éditeur de 1Password, est monté au créneau en expliquant que la meilleure protection possible pour empêcher les malandrins d’accéder à des données aussi sensibles que celles d’un compte bancaire était la mise en place d’un mot de passe long et complexe — une information pratiquement impossible à mémoriser par l’utilisateur donc (surtout quand on les multiplie), mais qui peut être prise en charge par une application tierce pour peu qu’il soit possible de coller le mot de passe dans les services qui le demandent. En empêchant cette fonction, TD fragilise la sécurité des informations confidentielles de ses clients. Il semble d’ailleurs que la bourde soit en passe d’être corrigée : la banque travaille sur une mise à jour de son application mobile qui devrait consacrer le retour du copier/coller dans les formulaires.
« Actuellement, les mots de passe sont un mal nécessaire », explique Megan O’Brien dans la lettre ouverte publiée sur le blog d’AgileBits. « Se rappeler [des mots de passe] ne devrait pas l’être ». Cela devrait être laissé aux bons soins d’un gestionnaire dédié. AgileBits n’oublie pas évidemment de rappeler l’existence de son API qui permet l’intégration de 1Password dans une application tierce, a fortiori pour les logiciels des banques.
