Dans la catégorie « recherche sociale accidentelle », on a rarement fait mieux. Suite à un vol d’identité chez un fournisseur de service de Facebook et MySpace, 32 millions de mots de passe se sont brièvement retrouvés en ligne, accessibles à tous. Des chercheurs en sécurité informatique ont eu le réflexe de copier ces mots de passe afin d’en retirer de précieux indices sur le comportement des internautes face à cet élément clé de notre identité en ligne. Le tout est documenté dans cet article du New-York Times, If Your Password Is 123456, Just Make It HackMe. On peut aussi lire le rapport de la firme de sécurité qui en a fait l’analyse.

Mon dada, c’est la qualité de l’expérience utilisateur. Tout ce qui touche le comportement des humains en ligne me fascine. L’aspect « sécurité informatique » est important, mais ce n’est pas ce que je trouve le plus intéressant dans cette histoire. C’est plutôt le fait que ce crime, une fois dévoilé, se transforme ni plus ni moins en un énorme test utilisateur pour une seule micro-tâche. C’est comme si on avait pu demander à un échantillon énorme d’utilisateurs (32 millions de participants, représentatifs en plus!) de choisir un mot de passe et d’avoir pu ensuite analyser les résultats. C’est le rêve!

Mais quelles leçons UX peut-on retenir de tout ça? Étonnamment, la meilleure leçon ne provient pas des résultats, un peu prévisibles : que 20% des utilisateurs se partagent les même 5000 mots de passe, que 123456 est le mot de passe le plus populaire, etc.

La meilleure leçon provient, d’après moi, de la lecture des recommandations de la firme de sécurité, qui illustrent à merveille le fossé souvent encore très grand qui existe entre ingénieurs, analystes, programmeurs et les utilisateurs des système qu’ils conçoivent. On y suggère encore les classiques: avoir un mot de passe différent pour chacun des sites que vous visitez (!); créer des mots de passe d’au moins 8 caractères;  inclure des symboles du genre #, &, !; ne pas inclure des mots courants, etc.

Toutes des recommandations absolument sensées et que j’essaie de suivre moi-même. De l’aveu même de la firme de sécurité (le comportement était exactement le même dans  d’autres cas semblables en 1990 et en 2000), même après 30 ans de conseils du genre, la preuve est faite que ces recommandations ne sont jamais suivies. Pourquoi?  Tout simplement parce qu’elles sont quasi-impossibles à respecter d’un point de vue cognitif. C’est comme dire à un joueur compulsif qu’il ne devrait pas jouer. Il le sait, nous le savons, mais il le fait quand même.

Alors, quelle serait la solution qui tiendrait mieux compte des limites cognitives des pauvres mortels que nous sommes? Tout d’abord, comprendre les risques réels quand vient le temps de créer un mot de passe et comprendre qui en serait la vraie victime.

Les banques semblent avoir réglé le problème en combinant un mot de passe et un élément visuel ou cognitif que seul vous pouvez associer (une phrase et une image par exemple). Même si le mot de passe est faible, la combinaison mot de passe-phrase-image rend exponentiel le nombre de permutations. On se sent protégés et la banque aussi.

Tous les sites auxquels on s’inscrit ne gèrent pas notre avenir financier. Quelle serait la conséquence de voir mon compte Facebook ou Twitter « hacké » par un malfrat? Franchement, pas très grande d’un point de vue individuel, mais du point de vue de Facebook ou Twitter, c’est une catastrophe de relations publiques (allo, Mirador?). C’est à ce niveau que les firmes de sécurité font de bonnes affaires.

Dernièrement, j’ai conseillé un organisme bien connu qui veut ajouter une panoplie de fonctions Web 2.0 sur leur site qui requiert la création de comptes utilisateurs. Dans le concept initial, l’utilisateur ne choisissait pas son mot de passe; il lui était attribué par le système et envoyé par courriel. D’un point de vue d’un analyste en sécurité informatique, c’est le rêve. Un mot de passe tout point conforme aux normes les plus sévères. Mais du point de vue du spécialiste en expérience utilisateur que je suis, c’est un cauchemar, sans parler du point de vue de l’analyste d’affaires ou marketing. Pourquoi? Le mot de passe si gentiment fourni devient littéralement une clôture de 6 pieds qui entoure votre site Web. Très sécuritaire, mais pas très amicale pour vos clients. Il est vrai que le concept prévoyait qu’on pouvait modifier son mot de passe par la suite. Mais pourquoi faire passer vos utilisateur par Toronto pour aller à Québec en partant de Montréal?

Mon avis? Laissez les utilisateurs choisir leur mot de passe. Si vous devez absolument les générer via le système, soyez gentils et rendez-les un peu faciles à mémoriser (du type non-sens mais prononçable comme paddlipatum88!). Il n’est pas interdit de suggérer des mots de passe de ce genre à même l’interface. Surtout, évaluez bien qui court le plus grand risque de sécurité et quel serait le coût réel de ne pas voir revenir vos utilisateurs les plus précieux : ceux qui ont fait un effort de s’inscrire à votre site Web.